Frida Hook Native

Frida Hook Java Jni

demo:

function hook_java() {

    Java.perform(function () {

        const myapp = Java.use('com.gdufs.xman.MyApp');

        myapp.m.value = 1;

        console.log('m=', myapp.m.value);

        myapp.saveSN.implementation = function (s) {

            let result = this.saveSN(s);

            console.log('myapp.saveSN:', s, result);

            return result;

        }

    })

}

获取模块基址,Hook导出函数

demo:

function hook_native() {

    // 获取模块基址

    const my_jni = Module.findBaseAddress('libmyjni.so');

    if (!my_jni) return;

    // 查找 so 文件的 导出函数 地址

    const addr_n2 = Module.findExportByName('libmyjni.so', 'n2');

    console.log('my_jni: ', my_jni, 'addr_n2:', addr_n2);

    // 对函数地址进行Hook

    Interceptor.attach(addr_n2, {

        onEnter: function (arg) {

            console.log('addr_n2 onEnter :', arg[0], ptr(arg[1]).readCString(), ptr(arg[2]).readCString())

        },

        onLeave: function (retval) {

        }

    })

}

枚举模块的符号 Hook libart的一些函数

demo:

function hook_art() {

    // 查找模块

    const lib_art = Process.findModuleByName('libart.so');

    // 枚举模块的符号

    const symbols = lib_art.enumerateSymbols();

    for (let symbol of symbols) {

        var name = symbol.name;

        if (name.indexOf("art") >= 0) {

            if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) {

                if (name.indexOf("GetStringUTFChars") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            // 打印调用栈

                            // console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

                        },

                        onLeave: function (retval) {

                            console.log('onLeave GetStringUTFChars:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("FindClass") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter FindClass:', ptr(arg[1]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave FindClass:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("GetStaticFieldID") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter GetStaticFieldID:', ptr(arg[2]).readCString(), ptr(arg[3]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave GetStaticFieldID:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("SetStaticIntField") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter SetStaticIntField:', arg[3])

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave SetStaticIntField:', ptr(retval).readCString())

                        }

                    })

                } 

            }

        }

    }

}

打印调用栈



console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

Hook libc的函数

demo:

function hook_libc() {

    const strcmp = Module.findExportByName('libc.so', 'strcmp');

    console.log('strcmp: ', strcmp);

    Interceptor.attach(strcmp, {

        onEnter: function (arg) {

            let str2 = ptr(arg[1]).readCString();

            if (str2 === 'EoPAoY62@ElRD') {

                console.log('strcmp:', ptr(arg[0]).readCString(), str2);

            }

        },

        onLeave: function (retval) {

        }

    })

}

Frida 的 File api 写文件

function write_data() {

    const file = new File('/sdcard/reg.dat', 'w');

    file.write('EoPAoY62@ElRD');

    file.flush();

    file.close()

}

把C函数定义为NativaFunction来写文件

demo:

// hook libc.so 的方式来写文件

function write_data_native() {

    // 读取lic的导出函数地址

    const addr_fopen = Module.findExportByName('libc.so', 'fopen');

    const addr_fputs = Module.findExportByName('libc.so', 'fputs');

    const addr_fclose = Module.findExportByName('libc.so', 'fclose');

    console.log('fopen:', addr_fopen, 'fputs', addr_fputs, 'fclose', addr_fclose);

    // 构建函数

    const fopen = new NativeFunction(addr_fopen, 'pointer', ['pointer', 'pointer']);

    const fputs = new NativeFunction(addr_fputs, 'int', ['pointer', 'pointer']);

    const fclose = new NativeFunction(addr_fclose, 'int', ['pointer']);

    // 申请内存空间

    let file_name = Memory.allocUtf8String('/sdcard/reg.dat');

    let model = Memory.allocUtf8String('w+');

    let data = Memory.allocUtf8String('EoPAoY62@ElRD');

    let file = fopen(file_name, model);

    let ret = fputs(data, file);

    console.log('fputs ret: ', ret);

    fclose(file);

}

Frida高级逆向-Hook Native(Java So)的更多相关文章

  1. Frida高级逆向-Hook Native(Java So)2

    Frida Hook So 一些操作说明 Native方法第一个参数是 JNIEnv *env 如何在Frida中获取 JNIEnv 对象呢? Java.vm.getEnv(); 如何将string类 ...

  2. Frida高级逆向-Hook Java

    Frida Hook Java 层 Frida两种启动方式的区别 span 模式:frida 重新打开一个进程 frida -U -f 包名 -l js路径 --no-pause attch 模式: ...

  3. 基于frida框架Hook native中的函数(1)

    作者:H01mes撰写的这篇关于frida框架hook native函数的文章很不错,值得推荐和学习,也感谢原作者. 0x01 前言 关于android的hook以前一直用的xposed来hook j ...

  4. 使用Cydia Substrate 从Native Hook Android Java世界

    这里介绍了如何使用Cydia Substrate Hook安卓Java世界.这篇文章介绍如何从Native中Hook 安卓Java世界. 手机端配置见之前文章. 一.建立工程 建立一个Android工 ...

  5. [转]Native Java Bytecode Debugging without Source Code

    link from:http://www.crowdstrike.com/blog/native-java-bytecode-debugging-without-source-code/index.h ...

  6. frida的用法--Hook Java代码篇

    frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序. 1. 准备 frida分客户端环境和服务端环境.在客户端我们可以编写 ...

  7. Frida Android hook native层__system_property_get的最终方案

    记录这个问题的起因是,在hook时遇到了修改内容长度,超过原长度时,会出现显示不全的问题. 比如把nexus 5改成nexus 100,只会显示nexus 1. 所以去读了下源码 int __syst ...

  8. 利用Xposed Hook打印Java函数调用堆栈信息的几种方法

    本文博客链接:http://blog.csdn.net/QQ1084283172/article/details/79378374 在进行Android逆向分析的时候,经常需要进行动态调试栈回溯,查看 ...

  9. mongodb高级操作及在Java企业级开发中的应用

    Java连接mongoDB Java连接MongoDB需要驱动包,个人所用包为mongo-2.10.0.jar.可以在网上下载最新版本. package org.dennisit.mongodb.st ...

随机推荐

  1. centos7 wget安装jdk

    2021-07-151. 环境介绍 操作系统:centos7 jdk版本:jdk1.8.0.211 2. 下载 进入 https://www.oracle.com/java/technologies/ ...

  2. python使用pip安装模块出错 Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None))

    python使用pip安装模块出错 Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None)) 问题: ...

  3. go语言文件系统

    检测文件是否存在 //存在返回 true,不存在返回 false func fileIfExist(filename string) bool { _, err := os.Stat(filename ...

  4. Python之win32模块

    如果想在Windows操作系统上使用Python去做一些自动化工作,pywin32模块常常会被用到,它方便了我们调用Windows API. 安装及使用 通过命令pip install pywin32 ...

  5. WebService学习总结(二)--使用JDK开发WebService

    一.WebService的开发方法 使用java的WebService时可以使用一下两种开发手段 使用jdk开发(1.6及以上版本) 使用CXF框架开发(工作中) 二.使用JDK开发WebServic ...

  6. MySQL——优化

    MySQL数据库优化: 1.优化角度 安全: 数据可持续性 性能: 数据的高性能访问 2.优化范围(优化顺序---->) (1)存储.主机和操作系统: 主机架构稳定性 I/O规划及配置 swap ...

  7. TCP头部格式和封装

    文章目录 12.3 TCP头部和封装 12.3.1 端口号 12.3.2 序列号 12.3.3 头部长度 12.3.4 相关控制位 12.3.5 窗口大小 12.3.6 校验和 12.3.7 选项字段 ...

  8. 硕盟 type-c转接头转接口(HDMI+VGA+USB3.0+PD3.0)四合一拓展坞

    硕盟SM-T54是一款 TYPE C转HDMI+VGA+USB3.0+PD3.0四合一多功能扩展坞,支持四口同时使用,您可以将含有USB 3.1协议的电脑主机,通过此产品连接到具有HDMI或VGA的显 ...

  9. Windows Phone 页面之间参数传递方法

    目前对WP7开发正在研究,对页面之间参数传递进行了一个小总结,有不正确的地方,欢迎大家指正.. WP7编程采用的技术是Silverlight,页面之间参数传递的方式主要有 通过NavigationCo ...

  10. XSS注入

    XSS 原理: 程序对输入和输出没有做合适的处理,导致"精心构造"的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害. 分类 : 危害:存储型 > 反射型 > ...