Hook框架之Frida
Frida是一款轻量级HOOK框架,可用于多平台上,例如android、windows、ios等。
frida分为两部分,服务端运行在目标机上,通过注入进程的方式来实现劫持应用函数,另一部分运行在系统机器上。
frida上层接口支持js、python、c等。
Frida官方github地址为:frida官方github地址
安装
[电脑端]
pip install frida --upgrade # 16.3.3
pip install frida-tools --upgrade # 12.4.3
[手机端]
# 1 查看手机架构
adb shell getprop ro.product.cpu.abi
# arm64-v8a # 2 下载frida-server
https://github.com/frida/frida/releases
# 3 根据平台下载:
https://github.com/frida/frida/releases/download/16.3.3/frida-server-16.3.3-android-arm64.xz # 4 解压 # 5 推送到手机【真机】 :跟我一样的目录
adb push ./frida-server-16.3.3-android-arm64 /data/local/tmp/ # 6 给软件赋予执行权限:打开cmd
adb shell # 进入到手机
su # 获取超级用户权限--》第一次--》手机上有提示:允许root权限 (需要再面具上,超级用户 > 开启Shell)
cd /data/local/tmp # 进入到手机的文件夹下
ls # 没有文件,原来是空的,推动过来后,就有frida-server-16.3.3-android-arm64
ls -al # 查看文件详情,发现没有x权限
chmod +x ./frida-server-16.3.3-android-arm64 # 给它加x权限
ls -al # 查看文件详情,有x权限了,ok了 # 启动服务
./frida-server-16.3.3-android-arm64
3) 电脑端开启端口转发(并不是必须)
# 方式一:使用命令【cmd中】
adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043 # 方式二:使用python命令【python调用系统命令--本质和上面一模一样】
import subprocess
subprocess.getoutput("adb forward tcp:27042 tcp:27042")
subprocess.getoutput("adb forward tcp:27043 tcp:27043")
Frida两种启动方式
# Spawn 方式适应场景:Spawn 方式是在目标应用程序启动时直接注入 Frida 的 Agent 代码 需要在应用程序启动的早期阶段进行 Hook。
需要访问和修改应用程序的内部状态,例如应用程序的全局变量、静态变量等。
需要 Hook 应用程序的初始化过程,以实现对应用程序的自定义初始化逻辑。
需要在应用程序的上下文中执行代码,并与其他模块或库进行交互。 # Attach 方式适应场景:Attach 方式是在目标应用程序已经运行的过程中动态地连接并注入 Frida 的 Agent 代码
需要对已经运行的应用程序进行 Hook,即动态地连接到正在运行的进程。
需要在应用程序运行时拦截和修改特定的方法调用。
需要实时监视和修改应用程序的行为,例如参数修改、返回值篡改等。
需要对应用程序进行调试和分析,以查找潜在的问题和漏洞。 # spawn:app不用运行,就可以,想hook,app就会执行的函数,就用这种方案
# attach:app要先运行,才可以,想hook,app启动后,点击某个按钮,才执行的,就用这种方案
使用
1.以attach的方式定位加密方法
[JS]
function login() {
Java.perform(function () {
// 找到包名
var SecurityUtil = Java.use("com.autohome.ahkit.utils.SecurityUtil") // 包名 . 类名
// 对方法进行重新实现
SecurityUtil.encodeMD5.implementation = function (str) {
console.log('未加密之前的字符串:', str)
var res = this.encodeMD5(str) // 执行原来的逻辑
console.log('加密之后的字符串:', res)
return res
}
})
}
function main() {
login()
}
setImmediate(main())
执行命令:
frida -UF -l chezhiying_pwd_hook.js // 参数说明:
// -U: 通过USB链接的设备
// -F: 以attach的方式注入
// -l: 加载的脚本
[Python]
基本使用:
import frida, sys jsCode = """ ...... """
process = frida.get_usb_device().attach('com.dodonew.online') //
script = process.create_script(jsCode)
script.load()
sys.stdin.read()
// pid方式
process = frida.get_usb_device().attach(1234) # 1234 pid
示例:
import frida
import sys # 获取链接设备
device = frida.get_remote_device()
# sess = device.attach('车智赢+') # APP应用名称
sess = device.attach(14520) # 进程pid # 添加JS代码
src = '''
Java.perform(function(){
// 1.找到类
var util = Java.use("com.autohome.ahkit.utils.SecurityUtil");
// 2. 替换类中方法
util.encodeMD5.implementation = function(str){
console.log('传入的参数:', str);
var res = this.encodeMD5(str);
console.log('加密后的参数:', res);
return res;
};
});
''' script = sess.create_script(src) def on_message(msg, data):
print(msg, data) script.on('message', on_message)
script.load() sys.stdin.read()
2.spawn方式
基本使用:
device = frida.get_usb_device()
pid = device.spawn(["com.dodonew.online"]) # 以挂起方式创建进程(这里是跟attach的方式不同)
process = device.attach(pid)
script = process.create_script(jsCode)
script.load()
device.resume(pid) # 加载完脚本, 恢复进程运行
sys.stdin.read()
示例:
import frida
import sys
rdev = frida.get_remote_device()
pid = rdev.spawn(["com.che168.autotradercloud"]) # 需要写app包名
session = rdev.attach(pid) scr = """
Java.perform(function () {
var SecurityUtil = Java.use("com.autohome.ahkit.utils.SecurityUtil");
SecurityUtil.encodeMD5.implementation = function(str){
console.log("明文:",str);
var res = this.encodeMD5(str);
console.log("md5加密结果=",res);
return res;
}
});
""" script = session.create_script(scr)
def on_message(message, data):
print(message, data) script.on("message", on_message)
script.load()
# 唤起应用程序
rdev.resume(pid)
sys.stdin.read()
3.连接非标准端口
process = frida.get_device_manager().add_remote_device('192.168.3.68:8888').attach('com.dodonew.online')
连接多个设备:
process = frida.get_device_manager().add_remote_device('192.168.3.68:8888').attach('com.dodonew.online')
script = process.create_script(jsCode)
script.load()
process1 = frida.get_device_manager().add_remote_device('192.168.3.69:8888').attach('com.dodonew.online')
script1 = process.create_script(jsCode)
script1.load()
sys.stdin.read()
数据通信:
在 jscode 中可以使用send(data),将数据传入到 onMessage 回调函数中处理
在 js 端中可以通过 send 向 python 发送数据,而 python 要向 js 发送数据则需要使用 script.post,js 中使用 recv 来接收,演示代码如下
jsCode = """
Java.perform(function(){
var Utils = Java.use('com.dodonew.online.util.Utils');
Utils.md5.implementation = function(a){
console.log('MD5 string: ', a);
var retval = this.md5(a);
send(retval);
recv(function(obj){
console.log(JSON.stringify(obj));
retval = obj.data;
}).wait();
return retval;
}
});
""" def onMessage(message, data):
print(message)
if message["type"] == 'send':
print(u"[*] {0}".format(message['payload']))
time.sleep(10)
script.post({"data": "a123456"})
else:
print(message)
这样就实现了, 有些运算可以在Python中实现之后,再回传回JS中继续执行后续的逻辑
辅助工具:
1.frida-gum: JS代码提示
npm install --save @types/frida-gum
常见问题:
1.frida.TransportError: timeout was reached
解决: 重启手机端的frida-server服务即可
Hook框架之Frida的更多相关文章
- Android Hook框架adbi源码浅析(二)
二.libbase 其实上面加载完SO库后,hook的功能我们完全可以自己在动态库中实现.而adbi作者为了方便我们使用,编写了一个通用的hook框架工具即libbase库.libbase依然在解决两 ...
- Android Hook框架adbi源码浅析(一)
adbi(The Android Dynamic Binary Instrumentation Toolkit)是一个Android平台通用hook框架,基于动态库注入与inline hook技术实现 ...
- android免root hook框架legend
一.前言 Android中hook框架已经非常多了,最优秀的当属Xposed和Substrate了,这两个框架我在之前的文章都详细介绍过了,不了解的同学,可以转战这里:http://www.wjdia ...
- Android中免root的hook框架Legend原理解析
一.前言 Android中hook框架已经非常多了,最优秀的当属Xposed和Substrate了,这两个框架我在之前的文章都详细介绍过了,不了解的同学,可以转战这里:http://www.wjdia ...
- android hook 框架 ADBI 如何实现dalvik函数挂钩
Android so注入-libinject2 简介.编译.运行 Android so注入-libinject2 如何实现so注入 Android so注入-Libinject 如何实现so注入 A ...
- android hook 框架 libinject 如何实现so注入
前面两篇 android hook 框架 libinject2 简介.编译.运行 android hook 框架 libinject2 如何实现so注入 实际运行并分析了 Android中的so注入( ...
- android hook 框架 libinject2 如何实现so注入
Android so注入-libinject2 简介.编译.运行 Android so注入-libinject2 如何实现so注入 Android so注入-Libinject 如何实现so注入 A ...
- android hook 框架 libinject2 简介、编译、运行
Android so注入-libinject2 简介.编译.运行 Android so注入-libinject2 如何实现so注入 Android so注入-Libinject 如何实现so注入 A ...
- 基于 VirtualApp 结合 whale hook框架实现hook第三方应用
要点 1. whale hook framework 使用示例: 2. 参考项目:VirtualHook: 3. 按照 VirtualHook 修改 VirtualApp: 4. 编写 hook pl ...
- Android平台下Dalvik层hook框架ddi的研究
通过adbi,可以对native层的所有代码进行hook.但对于Android系统来说,这还远远不够,因为很多应用都还是在Dalvik虚拟机中运行的. 那么,有没有什么办法可以对Dalvik虚拟机中跑 ...
随机推荐
- C# WebSocket高并发通信阻塞问题
项目上遇到使用WebSocket超时问题,具体情况是这样的,OTA升级过程中,解压zip文件会有解压进度事件,将解压进度通过进程通信传给另一进程,通信提示超时异常 小伙伴堂园发现大文件使用Zip解压, ...
- 【YashanDB知识库】自动选举配置错误引发的一系列问题
问题现象 问题出现的步骤/操作: 配置自动选举,数据库备库手动发起switch over,命令会报错 主.备库变为只读状态,数据库无法进行读写操作 shutdown immediate 停止数据库,此 ...
- .NET 多版本兼容的精美 WinForm UI控件库
前言 有粉丝小伙伴在后台留言咨询有没有WinForm 控件库推荐,现在就给安排上. .NET 平台进行 Windows 应用程序开发的我们来说,找一个既美观又实用的 WinForm UI 控件库至关重 ...
- 用CSS border画一个铅笔
先上效果图 该例子来自 CSS世界 的书中项目 总结技巧如下: 巧用 border 和 伪元素 来 绘制层叠效果. 使用 transform-origin 来改变元素的轴心 使用 filter:dro ...
- CSS – Position
前言 定位是 CSS 里蛮重要的一课. 图片黑影 (overlay), back to top button, header, footer 紧贴在屏幕上下方等效果都是靠 position 完成的. ...
- CSS – RWD (Responsive Web Design) 概念篇
介绍 Only PC 以前是没有手机的, 只有电脑, 所以做开发, 只需要开发电脑版本就可以了. Mobile Version 后来手机诞生, 有钱的公司就做两个版本, 一个手机版, 一个电脑版. 没 ...
- QT原理与源码分析之QT反射机制原理
QT反射机制原理 本文将介绍QT反射机制创建QT对象实例的原理和流程以及源代码. 文章目录 QT反射机制创建QT对象实例 原理 流程 源码 QT反射机制创建QT对象实例 QT框架提供的基于元对象的反射 ...
- ASP 封装基本身份认证( HTTP Basic Authenticate)辅助类
最近修改一个古老的asp程序,需要为单独几个页面进行基本身份认证.由于IIS自带的设置基本身份认证是针对文件夹的,而这几个页面又不方便挪动位置,幸好在网上找到一个asp实现WWW-Authentica ...
- 如何实现高效运维?来谈谈性能优化那些事(含直播回顾 Q&A)
数据库性能问题,常常是困扰DBA高效运维的难题之一.如何多角度地帮助DBA,找到"数据库慢"的原因,保证系统高效.稳定.安全地运行? 2021年10月14日,云和恩墨技术顾问,拥有 ...
- threejs - 渲染第一个3D场景 - 旋转的正方体
1. 安装 threejs & 使用 2. 创建三要素 场景 scene 相机 camera 渲染器 render 3. 场景 new THREE.Scene() 相机分为 2 种 1. ...