Frida Hook Native

Frida Hook Java Jni

demo:

function hook_java() {

    Java.perform(function () {

        const myapp = Java.use('com.gdufs.xman.MyApp');

        myapp.m.value = 1;

        console.log('m=', myapp.m.value);

        myapp.saveSN.implementation = function (s) {

            let result = this.saveSN(s);

            console.log('myapp.saveSN:', s, result);

            return result;

        }

    })

}

获取模块基址,Hook导出函数

demo:

function hook_native() {

    // 获取模块基址

    const my_jni = Module.findBaseAddress('libmyjni.so');

    if (!my_jni) return;

    // 查找 so 文件的 导出函数 地址

    const addr_n2 = Module.findExportByName('libmyjni.so', 'n2');

    console.log('my_jni: ', my_jni, 'addr_n2:', addr_n2);

    // 对函数地址进行Hook

    Interceptor.attach(addr_n2, {

        onEnter: function (arg) {

            console.log('addr_n2 onEnter :', arg[0], ptr(arg[1]).readCString(), ptr(arg[2]).readCString())

        },

        onLeave: function (retval) {

        }

    })

}

枚举模块的符号 Hook libart的一些函数

demo:

function hook_art() {

    // 查找模块

    const lib_art = Process.findModuleByName('libart.so');

    // 枚举模块的符号

    const symbols = lib_art.enumerateSymbols();

    for (let symbol of symbols) {

        var name = symbol.name;

        if (name.indexOf("art") >= 0) {

            if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) {

                if (name.indexOf("GetStringUTFChars") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            // 打印调用栈

                            // console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

                        },

                        onLeave: function (retval) {

                            console.log('onLeave GetStringUTFChars:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("FindClass") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter FindClass:', ptr(arg[1]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave FindClass:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("GetStaticFieldID") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter GetStaticFieldID:', ptr(arg[2]).readCString(), ptr(arg[3]).readCString())

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave GetStaticFieldID:', ptr(retval).readCString())

                        }

                    })

                } else if (name.indexOf("SetStaticIntField") >= 0) {

                    console.log('开始 HOOK libart ', symbol.name);

                    Interceptor.attach(symbol.address, {

                        onEnter: function (arg) {

                            console.log('onEnter SetStaticIntField:', arg[3])

                        },

                        onLeave: function (retval) {

                            // console.log('onLeave SetStaticIntField:', ptr(retval).readCString())

                        }

                    })

                } 

            }

        }

    }

}

打印调用栈



console.log('GetStringUTFChars called from:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

Hook libc的函数

demo:

function hook_libc() {

    const strcmp = Module.findExportByName('libc.so', 'strcmp');

    console.log('strcmp: ', strcmp);

    Interceptor.attach(strcmp, {

        onEnter: function (arg) {

            let str2 = ptr(arg[1]).readCString();

            if (str2 === 'EoPAoY62@ElRD') {

                console.log('strcmp:', ptr(arg[0]).readCString(), str2);

            }

        },

        onLeave: function (retval) {

        }

    })

}

Frida 的 File api 写文件

function write_data() {

    const file = new File('/sdcard/reg.dat', 'w');

    file.write('EoPAoY62@ElRD');

    file.flush();

    file.close()

}

把C函数定义为NativaFunction来写文件

demo:

// hook libc.so 的方式来写文件

function write_data_native() {

    // 读取lic的导出函数地址

    const addr_fopen = Module.findExportByName('libc.so', 'fopen');

    const addr_fputs = Module.findExportByName('libc.so', 'fputs');

    const addr_fclose = Module.findExportByName('libc.so', 'fclose');

    console.log('fopen:', addr_fopen, 'fputs', addr_fputs, 'fclose', addr_fclose);

    // 构建函数

    const fopen = new NativeFunction(addr_fopen, 'pointer', ['pointer', 'pointer']);

    const fputs = new NativeFunction(addr_fputs, 'int', ['pointer', 'pointer']);

    const fclose = new NativeFunction(addr_fclose, 'int', ['pointer']);

    // 申请内存空间

    let file_name = Memory.allocUtf8String('/sdcard/reg.dat');

    let model = Memory.allocUtf8String('w+');

    let data = Memory.allocUtf8String('EoPAoY62@ElRD');

    let file = fopen(file_name, model);

    let ret = fputs(data, file);

    console.log('fputs ret: ', ret);

    fclose(file);

}

Frida高级逆向-Hook Native(Java So)的更多相关文章

  1. Frida高级逆向-Hook Native(Java So)2

    Frida Hook So 一些操作说明 Native方法第一个参数是 JNIEnv *env 如何在Frida中获取 JNIEnv 对象呢? Java.vm.getEnv(); 如何将string类 ...

  2. Frida高级逆向-Hook Java

    Frida Hook Java 层 Frida两种启动方式的区别 span 模式:frida 重新打开一个进程 frida -U -f 包名 -l js路径 --no-pause attch 模式: ...

  3. 基于frida框架Hook native中的函数(1)

    作者:H01mes撰写的这篇关于frida框架hook native函数的文章很不错,值得推荐和学习,也感谢原作者. 0x01 前言 关于android的hook以前一直用的xposed来hook j ...

  4. 使用Cydia Substrate 从Native Hook Android Java世界

    这里介绍了如何使用Cydia Substrate Hook安卓Java世界.这篇文章介绍如何从Native中Hook 安卓Java世界. 手机端配置见之前文章. 一.建立工程 建立一个Android工 ...

  5. [转]Native Java Bytecode Debugging without Source Code

    link from:http://www.crowdstrike.com/blog/native-java-bytecode-debugging-without-source-code/index.h ...

  6. frida的用法--Hook Java代码篇

    frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序. 1. 准备 frida分客户端环境和服务端环境.在客户端我们可以编写 ...

  7. Frida Android hook native层__system_property_get的最终方案

    记录这个问题的起因是,在hook时遇到了修改内容长度,超过原长度时,会出现显示不全的问题. 比如把nexus 5改成nexus 100,只会显示nexus 1. 所以去读了下源码 int __syst ...

  8. 利用Xposed Hook打印Java函数调用堆栈信息的几种方法

    本文博客链接:http://blog.csdn.net/QQ1084283172/article/details/79378374 在进行Android逆向分析的时候,经常需要进行动态调试栈回溯,查看 ...

  9. mongodb高级操作及在Java企业级开发中的应用

    Java连接mongoDB Java连接MongoDB需要驱动包,个人所用包为mongo-2.10.0.jar.可以在网上下载最新版本. package org.dennisit.mongodb.st ...

随机推荐

  1. ❤️用武侠小说的形式来阅读LinkedList的源码,绝了!

    一.LinkedList 的剖白 大家好,我是 LinkedList,和 ArrayList 是同门师兄弟,但我俩练的内功却完全不同.师兄练的是动态数组,我练的是链表. 问大家一个问题,知道我为什么要 ...

  2. APMserv 5.2.6 安装教程

    1.下载APMServ5.2.6.rar压缩包后解压,得到文件APMServ5.1.2.exe,其余两个没什么大用,APMServ解压缩说明.txt可以看一下,里面详细介绍了APMServ的功能和注意 ...

  3. RGB 与 HSB/HSV 的关系

    能理解 RGB 模式中确定数值的各种颜色,但怎么理解「明度」.「饱和度」.「色相」等概念? 从第一张图可以简单得出以下结论: 明度--这个最简单,rgb中,三色光的值,其加起来的和越大,明度就越大. ...

  4. Spring事物入门简介及AOP陷阱分析

    转载请注明出处: https://www.cnblogs.com/qnlcy/p/15237377.html 一.事务的定义 事务(Transaction),是指访问并可能更新数据库中各种数据项的一个 ...

  5. 前后端数据交互(六)——ajax 、fetch 和 axios 优缺点及比较

    一.ajax.fetch 和 axios 简介 1.1.ajax ajax是最早出现发送后端请求的技术,属于原生 js .ajax使用源码,请点击<原生 ajax 请求详解>查看.一般使用 ...

  6. python 回归分析

    一.线性回归 1 绘制散点图 import matplotlib.pyplot as plt x = [5,7,8,7,2,17,2,9,4,11,12,9,6] y = [99,86,87,88,1 ...

  7. ES6:使用解构赋值仅用一行定义多个相同的数组,且指向堆不同(解构赋值)

    在开发过程中我们经常要用到一些临时变量对数据进行一些特殊处理,由于良好的编码习惯要在临时变量用完后释放内存,所以当临时变量数量较多时,整体代码会变得冗余. let a = [] let b = [] ...

  8. 回收Windows 10恢复分区之后的磁盘空间

    我电脑上安装了Windows 10和Linux双系统,现在将Linux删除之后,准备将其磁盘空间并入到Windows 10的C盘中,但是发现C盘跟Linux空间之间还隔了一个Windows的恢复分区, ...

  9. FinallShell连接Centos虚拟机

    1.虚拟机下输入ip addr查看网络状态,保证ens33下有ip 2.若没有IP的解决办法 方法一················· 1.输入 cd /etc/sysconfig/network-s ...

  10. 别再自建仓库了,云效Maven仓库不限容量免费用

    别再自建仓库了,云效Maven仓库不限容量免费用云效制品仓库 Packages提供maven私有仓库.npm私有仓库.通用制品仓库等企业级私有制品仓库,用于maven.npm等软件包和依赖管理.不限容 ...