Frida Hook Native

Frida Hook Java Jni

demo:

function hook_java() {

    Java.perform(function () {

        const myapp = Java.use('com.gdufs.xman.MyApp');

        myapp.m.value = 1;

        console.log('m=', myapp.m.value);

        myapp.saveSN.implementation = function (s) {

            let result = this.saveSN(s);

            console.log('myapp.saveSN:', s, result);

            return result;

        }

    })

}

获取模块基址,Hook导出函数

demo:

function hook_native() {

    // 获取模块基址

    const my_jni = Module.findBaseAddress('libmyjni.so');

    if (!my_jni) return;

    // 查找 so 文件的 导出函数 地址

    const addr_n2 = Module.findExportByName('libmyjni.so', 'n2');

    console.log('my_jni: ', my_jni, 'addr_n2:', addr_n2);

    // 对函数地址进行Hook

    Interceptor.attach(addr_n2, {

        onEnter: function (arg) {

            console.log('addr_n2 onEnter :', arg[0], ptr(arg[1]).readCString(), ptr(arg[2]).readCString())

        },

        onLeave: function (retval) {

        }

    })

}

枚举模块的符号 Hook libart的一些函数

demo:

function hook_art() {

    // 查找模块

    const lib_art = Process.findModuleByName('libart.so');

    // 枚举模块的符号

    const symbols = lib_art.enumerateSymbols();

    for (let symbol of symbols) {

        var name = symbol.name;

        if (name.indexOf("art") >= 0) {

            if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) {

                if (name.indexOf("GetStringUTFChars") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            // 打印调用栈

                            // console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

                        },

                        onLeave: function (retval) {

                            console.log('onLeave GetStringUTFChars:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("FindClass") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter FindClass:', ptr(arg[1]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave FindClass:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("GetStaticFieldID") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter GetStaticFieldID:', ptr(arg[2]).readCString(), ptr(arg[3]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave GetStaticFieldID:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("SetStaticIntField") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter SetStaticIntField:', arg[3])

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave SetStaticIntField:', ptr(retval).readCString())

                        }

                    })

                } 

            }

        }

    }

}

打印调用栈



console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

Hook libc的函数

demo:

function hook_libc() {

    const strcmp = Module.findExportByName('libc.so', 'strcmp');

    console.log('strcmp: ', strcmp);

    Interceptor.attach(strcmp, {

        onEnter: function (arg) {

            let str2 = ptr(arg[1]).readCString();

            if (str2 === 'EoPAoY62@ElRD') {

                console.log('strcmp:', ptr(arg[0]).readCString(), str2);

            }

        },

        onLeave: function (retval) {

        }

    })

}

Frida 的 File api 写文件

function write_data() {

    const file = new File('/sdcard/reg.dat', 'w');

    file.write('EoPAoY62@ElRD');

    file.flush();

    file.close()

}

把C函数定义为NativaFunction来写文件

demo:

// hook libc.so 的方式来写文件

function write_data_native() {

    // 读取lic的导出函数地址

    const addr_fopen = Module.findExportByName('libc.so', 'fopen');

    const addr_fputs = Module.findExportByName('libc.so', 'fputs');

    const addr_fclose = Module.findExportByName('libc.so', 'fclose');

    console.log('fopen:', addr_fopen, 'fputs', addr_fputs, 'fclose', addr_fclose);

    // 构建函数

    const fopen = new NativeFunction(addr_fopen, 'pointer', ['pointer', 'pointer']);

    const fputs = new NativeFunction(addr_fputs, 'int', ['pointer', 'pointer']);

    const fclose = new NativeFunction(addr_fclose, 'int', ['pointer']);

    // 申请内存空间

    let file_name = Memory.allocUtf8String('/sdcard/reg.dat');

    let model = Memory.allocUtf8String('w+');

    let data = Memory.allocUtf8String('EoPAoY62@ElRD');

    let file = fopen(file_name, model);

    let ret = fputs(data, file);

    console.log('fputs ret: ', ret);

    fclose(file);

}

Frida高级逆向-Hook Native(Java So)的更多相关文章

  1. Frida高级逆向-Hook Native(Java So)2

    Frida Hook So 一些操作说明 Native方法第一个参数是 JNIEnv *env 如何在Frida中获取 JNIEnv 对象呢? Java.vm.getEnv(); 如何将string类 ...

  2. Frida高级逆向-Hook Java

    Frida Hook Java 层 Frida两种启动方式的区别 span 模式:frida 重新打开一个进程 frida -U -f 包名 -l js路径 --no-pause attch 模式: ...

  3. 基于frida框架Hook native中的函数(1)

    作者:H01mes撰写的这篇关于frida框架hook native函数的文章很不错,值得推荐和学习,也感谢原作者. 0x01 前言 关于android的hook以前一直用的xposed来hook j ...

  4. 使用Cydia Substrate 从Native Hook Android Java世界

    这里介绍了如何使用Cydia Substrate Hook安卓Java世界.这篇文章介绍如何从Native中Hook 安卓Java世界. 手机端配置见之前文章. 一.建立工程 建立一个Android工 ...

  5. [转]Native Java Bytecode Debugging without Source Code

    link from:http://www.crowdstrike.com/blog/native-java-bytecode-debugging-without-source-code/index.h ...

  6. frida的用法--Hook Java代码篇

    frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序. 1. 准备 frida分客户端环境和服务端环境.在客户端我们可以编写 ...

  7. Frida Android hook native层__system_property_get的最终方案

    记录这个问题的起因是,在hook时遇到了修改内容长度,超过原长度时,会出现显示不全的问题. 比如把nexus 5改成nexus 100,只会显示nexus 1. 所以去读了下源码 int __syst ...

  8. 利用Xposed Hook打印Java函数调用堆栈信息的几种方法

    本文博客链接:http://blog.csdn.net/QQ1084283172/article/details/79378374 在进行Android逆向分析的时候,经常需要进行动态调试栈回溯,查看 ...

  9. mongodb高级操作及在Java企业级开发中的应用

    Java连接mongoDB Java连接MongoDB需要驱动包,个人所用包为mongo-2.10.0.jar.可以在网上下载最新版本. package org.dennisit.mongodb.st ...

随机推荐

  1. Django——实现最基础的评论功能(只有一级评论)

    我对评论功能的理解: --------(1)数据库建一个评论的表 --------(2)前端建一个提交评论的form表单 --------(3)表单提交评论内容后写入到数据库评论表中 -------- ...

  2. Docker私有镜像仓库Harbor

    一.安装Harbor(离线安装包的方式安装) 1.解压离线包 2.进入harbor目录中编辑harbor.yml 3.安装docker-compose yum -y install docker-co ...

  3. Linux下查看哪个网口插了网线

    场景: 一台服务器有多个网卡,一个网卡有多个网口,当插了一根网线的时候,不知道网线是插在哪一个网口. 1.查看网口信息 2.查看网口是否插了网线(命令ethtool) 命令:ethtool + 网口名 ...

  4. 算法:实现strStr(),字符串indexOf方法

    描述 给定一个 haystack 字符串和一个 needle 字符串,在 haystack 字符串中找出 needle 字符串出现的第一个位置 (从0开始).如果不存在,则返回  -1. 个人思路: ...

  5. Linux上使用设置printf显示的颜色

    我们经常看到别的屏幕五颜六色的很是羡慕,看着很炫是吧.其实我们也可以自己做一个简单的修改,是我们的显示结果也呈现出不同的颜色.shell脚本可能设置的比较多,但是我们平常使用C语言却很少设置它的颜色, ...

  6. GRE隧道协议

    1. GRE协议简介 GRE(General Routing Encapsulation ,通用路由封装)是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的报文能够在另一网络层协议 ...

  7. SprinBoot-SpringData-整合

    目录 SpringData 整合JDBC JDBCTemplate 整合Druid 配置数据源 配置Druid数据源监控 整合MyBatis 整合测试 整合Redis 测试整合 序列化配置 自定义re ...

  8. Mybatis-基本学习(上)

    目录 Mybatis mybatis开始 -----环境准备 一.简介 1.什么是MyBatis 2.持久化 3.持久层 4.为什么需要Mybatis? 二.第一个Mybatis程序 1.搭建环境 1 ...

  9. python模块--collections(容器数据类型)

    Counter类(dict的子类, 计数器) 方法 返回值类型 说明 __init__ Counter 传入可迭代对象, 会对对象中的值进行计数, 值为键, 计数为值 .elements() 迭代器 ...

  10. C# windows服务知识集锦

    最近公司项目,本人也是刚接触windows服务,现在把这两天上网学习的一些资料拿出来与大家分享. 1).关于windows服务安装包的制作和自动启动服务 http://blog.csdn.net/re ...