Frida Hook Native

Frida Hook Java Jni

demo:

function hook_java() {

    Java.perform(function () {

        const myapp = Java.use('com.gdufs.xman.MyApp');

        myapp.m.value = 1;

        console.log('m=', myapp.m.value);

        myapp.saveSN.implementation = function (s) {

            let result = this.saveSN(s);

            console.log('myapp.saveSN:', s, result);

            return result;

        }

    })

}

获取模块基址,Hook导出函数

demo:

function hook_native() {

    // 获取模块基址

    const my_jni = Module.findBaseAddress('libmyjni.so');

    if (!my_jni) return;

    // 查找 so 文件的 导出函数 地址

    const addr_n2 = Module.findExportByName('libmyjni.so', 'n2');

    console.log('my_jni: ', my_jni, 'addr_n2:', addr_n2);

    // 对函数地址进行Hook

    Interceptor.attach(addr_n2, {

        onEnter: function (arg) {

            console.log('addr_n2 onEnter :', arg[0], ptr(arg[1]).readCString(), ptr(arg[2]).readCString())

        },

        onLeave: function (retval) {

        }

    })

}

枚举模块的符号 Hook libart的一些函数

demo:

function hook_art() {

    // 查找模块

    const lib_art = Process.findModuleByName('libart.so');

    // 枚举模块的符号

    const symbols = lib_art.enumerateSymbols();

    for (let symbol of symbols) {

        var name = symbol.name;

        if (name.indexOf("art") >= 0) {

            if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) {

                if (name.indexOf("GetStringUTFChars") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            // 打印调用栈

                            // console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

                        },

                        onLeave: function (retval) {

                            console.log('onLeave GetStringUTFChars:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("FindClass") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter FindClass:', ptr(arg[1]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave FindClass:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("GetStaticFieldID") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter GetStaticFieldID:', ptr(arg[2]).readCString(), ptr(arg[3]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave GetStaticFieldID:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("SetStaticIntField") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter SetStaticIntField:', arg[3])

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave SetStaticIntField:', ptr(retval).readCString())

                        }

                    })

                } 

            }

        }

    }

}

打印调用栈



console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

Hook libc的函数

demo:

function hook_libc() {

    const strcmp = Module.findExportByName('libc.so', 'strcmp');

    console.log('strcmp: ', strcmp);

    Interceptor.attach(strcmp, {

        onEnter: function (arg) {

            let str2 = ptr(arg[1]).readCString();

            if (str2 === 'EoPAoY62@ElRD') {

                console.log('strcmp:', ptr(arg[0]).readCString(), str2);

            }

        },

        onLeave: function (retval) {

        }

    })

}

Frida 的 File api 写文件

function write_data() {

    const file = new File('/sdcard/reg.dat', 'w');

    file.write('EoPAoY62@ElRD');

    file.flush();

    file.close()

}

把C函数定义为NativaFunction来写文件

demo:

// hook libc.so 的方式来写文件

function write_data_native() {

    // 读取lic的导出函数地址

    const addr_fopen = Module.findExportByName('libc.so', 'fopen');

    const addr_fputs = Module.findExportByName('libc.so', 'fputs');

    const addr_fclose = Module.findExportByName('libc.so', 'fclose');

    console.log('fopen:', addr_fopen, 'fputs', addr_fputs, 'fclose', addr_fclose);

    // 构建函数

    const fopen = new NativeFunction(addr_fopen, 'pointer', ['pointer', 'pointer']);

    const fputs = new NativeFunction(addr_fputs, 'int', ['pointer', 'pointer']);

    const fclose = new NativeFunction(addr_fclose, 'int', ['pointer']);

    // 申请内存空间

    let file_name = Memory.allocUtf8String('/sdcard/reg.dat');

    let model = Memory.allocUtf8String('w+');

    let data = Memory.allocUtf8String('EoPAoY62@ElRD');

    let file = fopen(file_name, model);

    let ret = fputs(data, file);

    console.log('fputs ret: ', ret);

    fclose(file);

}

Frida高级逆向-Hook Native(Java So)的更多相关文章

  1. Frida高级逆向-Hook Native(Java So)2

    Frida Hook So 一些操作说明 Native方法第一个参数是 JNIEnv *env 如何在Frida中获取 JNIEnv 对象呢? Java.vm.getEnv(); 如何将string类 ...

  2. Frida高级逆向-Hook Java

    Frida Hook Java 层 Frida两种启动方式的区别 span 模式:frida 重新打开一个进程 frida -U -f 包名 -l js路径 --no-pause attch 模式: ...

  3. 基于frida框架Hook native中的函数(1)

    作者:H01mes撰写的这篇关于frida框架hook native函数的文章很不错,值得推荐和学习,也感谢原作者. 0x01 前言 关于android的hook以前一直用的xposed来hook j ...

  4. 使用Cydia Substrate 从Native Hook Android Java世界

    这里介绍了如何使用Cydia Substrate Hook安卓Java世界.这篇文章介绍如何从Native中Hook 安卓Java世界. 手机端配置见之前文章. 一.建立工程 建立一个Android工 ...

  5. [转]Native Java Bytecode Debugging without Source Code

    link from:http://www.crowdstrike.com/blog/native-java-bytecode-debugging-without-source-code/index.h ...

  6. frida的用法--Hook Java代码篇

    frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序. 1. 准备 frida分客户端环境和服务端环境.在客户端我们可以编写 ...

  7. Frida Android hook native层__system_property_get的最终方案

    记录这个问题的起因是,在hook时遇到了修改内容长度,超过原长度时,会出现显示不全的问题. 比如把nexus 5改成nexus 100,只会显示nexus 1. 所以去读了下源码 int __syst ...

  8. 利用Xposed Hook打印Java函数调用堆栈信息的几种方法

    本文博客链接:http://blog.csdn.net/QQ1084283172/article/details/79378374 在进行Android逆向分析的时候,经常需要进行动态调试栈回溯,查看 ...

  9. mongodb高级操作及在Java企业级开发中的应用

    Java连接mongoDB Java连接MongoDB需要驱动包,个人所用包为mongo-2.10.0.jar.可以在网上下载最新版本. package org.dennisit.mongodb.st ...

随机推荐

  1. Clean Architecture For RazorPage 实现多语言和本地化

    最近终于把多语言功能加上了,这次就再发一篇,讲一下在asp.net core环境下如何实现多语言和本地化(Globalization and localization)功能,主要参看:ASP.NET ...

  2. H5、C3基础知识笔记

    HTML5 本文内容参考于"HTML5|W3scool"教程 简介 是最新的 HTML 标准,拥有新的语义.图形以及多媒体元素 提供了新的 API 简化了 web 应用程序的搭建 ...

  3. Kubernetes 组件简介

    关于Kubernetes是什么??? Kubernetes是致力于提供跨主机集群的自动部署.扩展.高可用以及运行应用程序容器的平台. Kubernets集群组成有哪些??? k8s由master和no ...

  4. 【图像处理】使用SDL预览webp图片

    写在前面的话 WebP是Google开发的一种图像格式,支持图像数据的有损和无损压缩.保留动画和alpha透明通道数据. 可以创建和JPEG.PNG和GIF图像格式在质量相同或质量更高,但是数据更小的 ...

  5. python实现遥感图像阈值分割

    1.阈值分割 import os import cv2 import numpy as np import matplotlib.pyplot as plt from osgeo import gda ...

  6. Python - repr()、str() 的区别

    总的来说 str():将传入的值转换为适合人阅读的字符串形式 repr():将传入的值转换为 Python 解释器可读取的字符串形式 传入整型 # number resp = str(1) print ...

  7. Python常见问题 - python3 使用requests发送HTTPS请求报certificate verify failed 错误

    当你使用 requests 发送HTTPS请求时 requests.get(url, parmas=parmas, headers=header, cookies=cookie) 出现了以下错误 HT ...

  8. ubantu硬盘不足,无法启动

    我的ubantu虚拟机经过我一顿操作后,就起不来了.然后经过多方询问,广集天下良方,最终发现是由于分配的硬件空间不足导致的.现象如下: 通过查看 root@ubantu:/snap# df -h Fi ...

  9. 不使用注解和使用注解的web-service-dao结构

    一.未使用注解的web-service-dao结构 1.action类源码 其中,service作为一个成员属性,采用的是层层调用,service类中dao作为一个成员属性,再成员方法中调用: 2.b ...

  10. Java Web实现登录验证码(Servlet+jsp)

    1.生成验证码图片(Servlet) import java.awt.Color; import java.awt.Font; import java.awt.Graphics2D; import j ...