安卓Frida Hook进阶

windows 10
vscode
frida 16.2.1
jadx-gui
jeb

1.Frida写数据

//一般写在app的私有目录里，不然会报错:failed to open file (Permission denied)(实际上就是权限不足)
var file_path = "/data/user/0/com.zj.wuaipojie/test.txt";
var file_handle = new File(file_path, "wb");
if (file_handle && file_handle != null) {
        file_handle.write(data); //写入数据
        file_handle.flush(); //刷新
        file_handle.close(); //关闭
}

2.Frida_inlineHook与读写汇编

function inline_hook() {
    var soAddr = Module.findBaseAddress("lib52pojie.so");
    if (soAddr) {
        var func_addr = soAddr.add(0x10428);
        Java.perform(function () {
            Interceptor.attach(func_addr, {
                onEnter: function (args) {
                    console.log(this.context.x22); //注意此时就没有args概念了
                    this.context.x22 = ptr(1); //赋值方法参考上一节课
                },
                onLeave: function (retval) {
                }
            }
            )
        })
    }
}

将地址的指令解析成汇编

1
2
3

var soAddr = Module.findBaseAddress("lib52pojie.so");
var codeAddr = Instruction.parse(soAddr.add(0x10428));
console.log(codeAddr.toString());

Frida Api

arm转hex

直接改写汇编，改机器码

function patchCode(){
    var soAddr = Module.findBaseAddress("lib52pojie.so");
    var codeAddr = soAddr.add(0x10428);
    var codeasm = Instruction.parse(codeAddr);
    console.log(codeasm.toString());
    Memory.patchCode(codeAddr, 4, function(code) {
        const writer = new Arm64Writer(code, { pc: codeAddr });
        writer.putBytes(hexToBytes("20008052")); //     MOV             W0, 1
        // writer.putBytes(hexToBytes("200080D2")); //  MOV             X0, 1
        writer.flush();
    });
}

function hexToBytes(str) {
    var pos = 0;
    var len = str.length;
    if (len % 2 != 0) {
        return null;
    }
    len /= 2;
    var hexA = new Array();
    for (var i = 0; i < len; i++) {
        var s = str.substr(pos, 2);
        var v = parseInt(s, 16);
        hexA.push(v);
        pos += 2;
    }
    return hexA;
}

3.普通函数与jni函数的主动调用

frida关于nativefunction的文档：https://frida.re/docs/javascript-api/#nativefunction

支持的参数类型如下：

void
pointer
int
uint
long
ulong
char
uchar
size_t
ssize_t
float
double
int8
uint8
int16
uint16
int32
uint32
int64
uint64
bool

var funcAddr = Module.findBaseAddress("lib52pojie.so").add(0x1054C);
//声明函数指针
//NativeFunction的第一个参数是地址，第二个参数是返回值类型，第三个[]里的是传入的参数类型(有几个就填几个)
var aesAddr = new NativeFunction(funcAddr , 'pointer', ['pointer', 'pointer']);
var encry_text = Memory.allocUtf8String("OOmGYpk6s0qPSXEPp4X31g==");    //开辟一个指针存放字符串       
var key = Memory.allocUtf8String('wuaipojie0123456'); 
console.log(aesAddr(encry_text ,key).readCString());

jni函数还是原来那一套，比如下面输出返回值，并修改返回值为true

function hooktest(){
    Java.perform(function() {
        var securityUtilClass = Java.use("com.zj.wuaipojie.util.SecurityUtil");
        
        // 定义要调用的 JNI 方法
        var checkVipMethod = securityUtilClass.checkVip.overload();
        
        // 在 Frida 中调用 JNI 方法
        checkVipMethod.implementation = function() {
            console.log("Calling Java_com_zj_wuaipojie_util_SecurityUtil_checkVip method...");
            
            // 在这里可以添加自定义逻辑
            
            // 调用原始 JNI 方法
            var result = this.checkVip();
            
            // 输出结果
            console.log("Result: " + result);
            
            // 返回结果
            return true;
        };
    });
}

4.Trace

工具名称	描述	链接
jnitrace	老牌，经典，信息全，携带方便	jnitrace
jnitrace-engine	基于jnitrace，可定制化	jnitrace-engine
jtrace	定制方便，信息全面，直接在_agent.js或者_agent_stable.js 里面加自己的逻辑就行	jtrace
hook_art.js	可提供jni trace，可以灵活的增加你需要hook的函数	hook_art.js
JNI-Frida-Hook	函数名已定义，方便定位	JNI-Frida-Hook
findhash	ida插件，可用于检测加解密函数，也可作为Native Trace库	findhash
Stalker	frida官方提供的代码跟踪引擎，可以在Native层方法级别，块级别，指令级别实现代码修改，代码跟踪	Stalker
sktrace	类似 ida 指令 trace 功能	sktrace
frida-qbdi-tracer	速度比frida stalker快，免补环境	frida-qbdi-tracer
### 4.1 frida-trace
Frida-Trace 是 Frida 框架提供的一个功能强大的工具，用于追踪和监视目标应用程序中的函数调用。通过 Frida-Trace，用户可以轻松地跟踪函数的调用、参数和返回值，并实时查看这些信息。以下是 Frida-Trace 的一些主要特点和用法介绍：

主要特点：

动态追踪：Frida-Trace 可以实时监视目标应用程序中的函数调用，无需重启应用或重新编译代码。
灵活性：用户可以根据需要选择要追踪的函数，包括系统库函数和自定义函数。
函数参数和返回值：除了函数调用，Frida-Trace 还可以显示函数的参数和返回值，帮助用户更好地理解函数的执行过程。
易用性：Frida-Trace 提供了简洁的命令行接口，用户可以通过命令轻松设置和启动函数追踪。

- `-i` / `-a`: 跟踪 C 函数或 so 库中的函数。

PS:-a 包含模块+偏移跟踪，一般用于追踪未导出函数，例子：-a "lib52pojie.so!0x4793c"

包含/排除模块或函数：

- `-I` : 包含指定模块。
- `-X` : 排除指定模块。

Java 方法跟踪：

- `-j JAVA_METHOD`: 包含 Java 方法。
- `-J JAVA_METHOD`: 排除 Java 方法。

附加方式:

- `-f`:通过 spwan 方式启动
- `-F`:通过 attach 方式附加当前进程

日志输出:
`-o`:日志输出到文件

使用案例：

注意下面需要打开相应的app保持在屏幕上

1 2	#附加当前进程并追踪lib52pojie.so里的所有Java_开头的jni导出函数 frida-trace -U -F -I "lib52pojie.so" -i "Java_"

4.2 jnitrace

安装

1	pip install jnitrace==3.3.0

使用

//attach模式附加52pojie.so并输出日志，其中wuaipojie是进程名，可以通过frida-ps -U查看
jnitrace -m attach -l lib52pojie.so wuaipojie -o trace.json 

jnitrace -m spawn -l lib52pojie.so com.zj.wuaipojie

`-l libnative-lib.so`- 用于指定要跟踪的库

`-m <spawn|attach>`- 用于指定要使用的 Frida 附加机制

`-i <regex>`- 用于指定应跟踪的方法名称，例如，`-i Get -i RegisterNatives`将仅包含名称中包含 Get 或 RegisterNatives 的 JNI 方法

`-e <regex>`- 用于指定跟踪中应忽略的方法名称，例如，`-e ^Find -e GetEnv`将从结果中排除所有以 Find 开头或包含 GetEnv 的 JNI 方法名称

`-I <string>`- 用于指定应跟踪的库的导出

`-E <string>`用于指定不应跟踪的库的导出

`-o path/output.json`- 用于指定`jnitrace`存储所有跟踪数据的输出路径

4.3 sktrace

地址：https://github.com/bmax121/sktrace.git

这个类似 ida 指令 trace 功能，显示每个执行的汇编的寄存器的值

1	python sktrace.py -m attach -l lib52pojie.so -i 0x103B4 wuaipojie

5.控制流混淆对抗新发现

假如你看不到评论，可能是你访问Disqus被墙了，请使用代理访问