Frida Hook Native

Frida Hook Java Jni

demo:

function hook_java() {

    Java.perform(function () {

        const myapp = Java.use('com.gdufs.xman.MyApp');

        myapp.m.value = 1;

        console.log('m=', myapp.m.value);

        myapp.saveSN.implementation = function (s) {

            let result = this.saveSN(s);

            console.log('myapp.saveSN:', s, result);

            return result;

        }

    })

}

获取模块基址,Hook导出函数

demo:

function hook_native() {

    // 获取模块基址

    const my_jni = Module.findBaseAddress('libmyjni.so');

    if (!my_jni) return;

    // 查找 so 文件的 导出函数 地址

    const addr_n2 = Module.findExportByName('libmyjni.so', 'n2');

    console.log('my_jni: ', my_jni, 'addr_n2:', addr_n2);

    // 对函数地址进行Hook

    Interceptor.attach(addr_n2, {

        onEnter: function (arg) {

            console.log('addr_n2 onEnter :', arg[0], ptr(arg[1]).readCString(), ptr(arg[2]).readCString())

        },

        onLeave: function (retval) {

        }

    })

}

枚举模块的符号 Hook libart的一些函数

demo:

function hook_art() {

    // 查找模块

    const lib_art = Process.findModuleByName('libart.so');

    // 枚举模块的符号

    const symbols = lib_art.enumerateSymbols();

    for (let symbol of symbols) {

        var name = symbol.name;

        if (name.indexOf("art") >= 0) {

            if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) {

                if (name.indexOf("GetStringUTFChars") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            // 打印调用栈

                            // console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

                        },

                        onLeave: function (retval) {

                            console.log('onLeave GetStringUTFChars:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("FindClass") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter FindClass:', ptr(arg[1]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave FindClass:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("GetStaticFieldID") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter GetStaticFieldID:', ptr(arg[2]).readCString(), ptr(arg[3]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave GetStaticFieldID:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("SetStaticIntField") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter SetStaticIntField:', arg[3])

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave SetStaticIntField:', ptr(retval).readCString())

                        }

                    })

                } 

            }

        }

    }

}

打印调用栈



console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

Hook libc的函数

demo:

function hook_libc() {

    const strcmp = Module.findExportByName('libc.so', 'strcmp');

    console.log('strcmp: ', strcmp);

    Interceptor.attach(strcmp, {

        onEnter: function (arg) {

            let str2 = ptr(arg[1]).readCString();

            if (str2 === 'EoPAoY62@ElRD') {

                console.log('strcmp:', ptr(arg[0]).readCString(), str2);

            }

        },

        onLeave: function (retval) {

        }

    })

}

Frida 的 File api 写文件

function write_data() {

    const file = new File('/sdcard/reg.dat', 'w');

    file.write('EoPAoY62@ElRD');

    file.flush();

    file.close()

}

把C函数定义为NativaFunction来写文件

demo:

// hook libc.so 的方式来写文件

function write_data_native() {

    // 读取lic的导出函数地址

    const addr_fopen = Module.findExportByName('libc.so', 'fopen');

    const addr_fputs = Module.findExportByName('libc.so', 'fputs');

    const addr_fclose = Module.findExportByName('libc.so', 'fclose');

    console.log('fopen:', addr_fopen, 'fputs', addr_fputs, 'fclose', addr_fclose);

    // 构建函数

    const fopen = new NativeFunction(addr_fopen, 'pointer', ['pointer', 'pointer']);

    const fputs = new NativeFunction(addr_fputs, 'int', ['pointer', 'pointer']);

    const fclose = new NativeFunction(addr_fclose, 'int', ['pointer']);

    // 申请内存空间

    let file_name = Memory.allocUtf8String('/sdcard/reg.dat');

    let model = Memory.allocUtf8String('w+');

    let data = Memory.allocUtf8String('EoPAoY62@ElRD');

    let file = fopen(file_name, model);

    let ret = fputs(data, file);

    console.log('fputs ret: ', ret);

    fclose(file);

}

Frida高级逆向-Hook Native(Java So)的更多相关文章

  1. Frida高级逆向-Hook Native(Java So)2

    Frida Hook So 一些操作说明 Native方法第一个参数是 JNIEnv *env 如何在Frida中获取 JNIEnv 对象呢? Java.vm.getEnv(); 如何将string类 ...

  2. Frida高级逆向-Hook Java

    Frida Hook Java 层 Frida两种启动方式的区别 span 模式:frida 重新打开一个进程 frida -U -f 包名 -l js路径 --no-pause attch 模式: ...

  3. 基于frida框架Hook native中的函数(1)

    作者:H01mes撰写的这篇关于frida框架hook native函数的文章很不错,值得推荐和学习,也感谢原作者. 0x01 前言 关于android的hook以前一直用的xposed来hook j ...

  4. 使用Cydia Substrate 从Native Hook Android Java世界

    这里介绍了如何使用Cydia Substrate Hook安卓Java世界.这篇文章介绍如何从Native中Hook 安卓Java世界. 手机端配置见之前文章. 一.建立工程 建立一个Android工 ...

  5. [转]Native Java Bytecode Debugging without Source Code

    link from:http://www.crowdstrike.com/blog/native-java-bytecode-debugging-without-source-code/index.h ...

  6. frida的用法--Hook Java代码篇

    frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序. 1. 准备 frida分客户端环境和服务端环境.在客户端我们可以编写 ...

  7. Frida Android hook native层__system_property_get的最终方案

    记录这个问题的起因是,在hook时遇到了修改内容长度,超过原长度时,会出现显示不全的问题. 比如把nexus 5改成nexus 100,只会显示nexus 1. 所以去读了下源码 int __syst ...

  8. 利用Xposed Hook打印Java函数调用堆栈信息的几种方法

    本文博客链接:http://blog.csdn.net/QQ1084283172/article/details/79378374 在进行Android逆向分析的时候,经常需要进行动态调试栈回溯,查看 ...

  9. mongodb高级操作及在Java企业级开发中的应用

    Java连接mongoDB Java连接MongoDB需要驱动包,个人所用包为mongo-2.10.0.jar.可以在网上下载最新版本. package org.dennisit.mongodb.st ...

随机推荐

  1. Springboot自带定时任务实现动态配置Cron参数

    同学们,我今天分享一下SpringBoot动态配置Cron参数.场景是这样子的:后台管理界面对定时任务进行管理,可动态修改执行时间,然后保存入库,每次任务执行前从库里查询时间,以达到动态修改Cron参 ...

  2. for循环练习之打印三角形

    public class TestDemo01 { /** * 打印三角形 * 1.打印空格 * 2.打印三角形 */ public static void main(String[] args) { ...

  3. uniapp 设置背景图片

    uniapp 由于其特殊机制,导致了背景图片不能引用本地图片.只能通过 转成 base64 来进行设置 附上链接:https://oktools.net/image2base64 图片转成base64 ...

  4. Mysql 面试宝典

    实时更新 你用过哪些数据库? mysql redis mysql 和 redis 的区别? 比较点 Mysql Redis 数据库类型 关系型 非关系型 作用 持久化层 存储需要持久化的数据,数据存在 ...

  5. Tensorflow保存神经网络参数有妙招:Saver和Restore

    摘要:这篇文章将讲解TensorFlow如何保存变量和神经网络参数,通过Saver保存神经网络,再通过Restore调用训练好的神经网络. 本文分享自华为云社区<[Python人工智能] 十一. ...

  6. 地址栏url中去掉所有参数

    1.地址栏url中去掉所有参数,这个是纯前端解决,很多时候页面跳转时候会选择在url后面带参数过去,(使用?&),方便传也方便取,但是我们要做的是不要让页面的一些请求参数暴露在外面 正常项目工 ...

  7. 密码学系列之:海绵函数sponge function

    目录 简介 海绵函数的结构 海绵函数的应用 简介 海绵函数sponge function是密码学中使用的一种函数,它接收一定长度的输入,然后输出一定长度的输出,中间包含了有限个内部状态. 因为海绵函数 ...

  8. Ebiten-纯Golang开发的跨平台游戏引擎

    Go语言不是让你玩的啊喂! 昨天跟好基友聊开发的事,他说他等着闲下来的时候就用PYGame写个像那个最近挺火的"文X游X"一样的游戏.(没收广告费啊!) 基友突然嘲笑我:" ...

  9. 进程代数CSP基础知识总结(Communicating sequencing process)

    进程代数(Process Algebra) Process Algebra 理论 提出者 理论名称 缩写 论文链接 简介 C. A. R. Hoare/Tony Hoare Communicating ...

  10. 学习PHP中Fileinfo扩展的使用

    今天来学习的这个扩展其实现在也已经是标配的一个扩展了,为什么呢?因为 Laravel 框架在安装的时候它就是必须的一个扩展,没有打开它的话,连 Laravel 框架都是无法使用的. Fileinfo ...