Frida JavaScript 常用 API

1. Process

1.1 Process.id

当前附加进程的 pid

function main() {
    Java.perform(() => {
        console.log("process pid = " + Process.id);
    });
}

setImmediate(main);

1.2 Process.enumerateModules()

枚举已加载的 so

function main() {
    Java.perform(() => {
        var Modules = Process.enumerateModules();
        for (let i = 0; i < Modules.length; i++) {
            const Module = Modules[i];
            console.log(JSON.stringify(Module));
        }
    });
}

setImmediate(main);

1.3 查找 so

1.3.1 Process.getModuleByName(name)

根据 name 查找 so,找不到则抛异常。

function main() {
    Java.perform(() => {
        var libc = Process.getModuleByName("libc.so");
        console.log(JSON.stringify(libc, null, 2));
    });
}

setImmediate(main);

1.3.2 Process.findModuleByName(name)

根据 name 查找 so,找不到则返回 null

function main() {
    Java.perform(() => {
        var libc = Process.findModuleByName("libc.so");
        console.log(JSON.stringify(libc, null, 2))
    });
}

setImmediate(main);

2. Module

2.1 属性

  • name,模块名
  • base,基地址,类型为 NativePointer
  • size,字节大小
  • path,完整文件系统路径
function main() {
    Java.perform(() => {
        var libc = Module.load('libc.so');
        console.log("libc 属性:");
        console.log("\tname: " + libc.name);
        console.log("\tbase: " + libc.base);
        console.log("\tsize: " + libc.size);
        console.log("\tpath: " + libc.path);
    });
}

setImmediate(main);

2.2 常用 API

2.2.1 Module.load(path)

加载指定的 so 文件,如果无法加载会抛异常。

function main() {
    Java.perform(() => {
        var libc = Module.load('libc.so');
        console.log(JSON.stringify(libc, null, 2));
    });
}

setImmediate(main);

2.2.2 Module.enumerateImports()

枚举 so 文件所有的 Import 库函数。

function main() {
    Java.perform(() => {
        var libc = Module.load("libc.so");
        var Imports = libc.enumerateImports();
        for (let i = 0; i < Imports.length; i++) {
            console.log(JSON.stringify(Imports[i], null, 2));
        }
    });
}

setImmediate(main);

2.2.3 Module.enumerateExports()

枚举 so 文件所有的 Export 库函数

function main() {
    Java.perform(() => {
        var libc = Module.load("libc.so");
        var Exports = libc.enumerateExports();
        for (let i = 0; i < Exports.length; i++) {
            console.log(JSON.stringify(Exports[i], null, 2));
        }
    });
}

setImmediate(main);

2.2.4 Module.ensureInitialized(name)

确保 so 文件初始化。

function main() {
    Java.perform(() => {
        Module.ensureInitialized("libc.so")
    });
}

setImmediate(main);

2.2.5 获取 so 文件基地址

2.2.5.1 Module.getBaseAddress(name)

获取 so 文件基地址,找不到则抛异常。

function main() {
    Java.perform(() => {
        var libcBaseAddress = Module.getBaseAddress('libc.so');
        console.log("libc.so 基地址为 " + libcBaseAddress);
    });
}

setImmediate(main);

2.2.5.2 Module.findBaseAddress(name)

获取 so 文件基地址,找不到返回 null

function main() {
    Java.perform(() => {
        var libcBaseAddress = Module.findBaseAddress('libc.so');
        console.log("libc.so 基地址为 " + libcBaseAddress);
    });
}

setImmediate(main);

2.2.6 查找 Export 库函数

2.2.6.1 Module.getExportByName(moduleName, exportName)

查找 so 文件的库函数,找不到抛异常。

function main() {
    Java.perform(() => {
        var ioctlBaseAddress = Module.getExportByName("libc.so", "ioctl");
        console.log("函数 ioctl 的基地址为 " + ioctlBaseAddress);
    });
}

setImmediate(main);

2.2.6.2 Module.findExportByName(moduleName, exportName)

查找 so 文件的库函数,找不到抛返回 null

function main() {
    Java.perform(() => {
        var ioctlBaseAddress = Module.findExportByName("libc.so", "ioctl");
        console.log("函数 ioctl 的基地址为 " + ioctlBaseAddress);
    });
}

# 3. Memory
## 3.1 内存检索
### 3.1.1 Memory.scan(address, size, pattern, callbacks)
同步检索内存,查找匹配的字节序列的基地址及大小。

```js
function main() {
    Java.perform(() => {
        Memory.scan(libc.base, libc.size, pattern, {
            onMatch(address, size) {
                console.log("匹配到字节序列,地址为 " + address);
            },
            onError(reason) {
                console.log("内存检索失败,原因为 " + reason);
            },
            onComplete() {
            }
        });
    });
}

setImmediate(main);

3.1.2 Memory.scanSync(address, size, pattern)

异步检索内存,查找匹配的字节序列的基地址及大小。

function main() {
    Java.perform(() => {
        var libc = Process.findModuleByName("libc.so");
        var memoryArray = Memory.scanSync(libc.base, libc.size, "00 ?8 4d ?? 00");
        for (let i = 0; i < memoryArray.length; i++) {
            console.log("匹配到字节序列,地址为 " + memoryArray[i].address);
        }
    });
}

setImmediate(main);

3.2 内存分配

3.2.1 Memory.alloc(size, options)

在附加进程的堆内存上申请大小为 size 的内存空间,如果此内存在 js 里没有对其使用时会自动释放。

function main() {
    Java.perform(() => {
        var allocMemoryAddress = Memory.alloc(4);
        console.log("动态分配内存基地址为 " + allocMemoryAddress);
    });
}

setImmediate(main);

3.2.2 Memory.allocUtf8String(str)

在附加进程的堆内存上申请大小能存放 str 的内存空间,如果此内存在 js 里没有对其使用时会自动释放。

function main() {
    Java.perform(() => {
        var allocMemoryAddress = Memory.allocUtf8String("Hello, Frida!");
        console.log(hexdump(allocMemoryAddress, {offset:0, length:"Hello, Frida!".length}));
    });
}

setImmediate(main);

3.3 Memory.copy(dst, src, size)

进行内存复制。

function main() {
    Java.perform(() => {
        var allocMemoryAddress = Memory.alloc(4);
        Memory.copy(allocMemoryAddress, libc.base, 4);
        console.log(hexdump(allocMemoryAddress, { length: 4, offset: 0 }));
    });
}

setImmediate(main);

4. Interceptor

5. Java

5.1 Java.perform(fn)

确保当前线程连接到虚拟机并调用函数 fn

5.2 Java.available

指定当前进程是否已加载虚拟机。

function main() {
    Java.perform(() => {
        console.log("Java.available = " + Java.available);
    });
}

setImmediate(main);

5.3 Java.androidVersion

获取 android 版本。

function main() {
    Java.perform(() => {
        console.log("Java.androidVersion = " + Java.androidVersion);
    });
}

setImmediate(main);

5.4 枚举已加载的类

5.4.1 Java.enumerateLoadedClasses(callbacks)

异步枚举已加载的类。

function main() {
    Java.perform(() => {
        Java.enumerateLoadedClasses({
            onMatch(name, handle) {
                console.log("class name is " + name);
            },
            onComplete() {
            }
        })
    });
}

setImmediate(main);

5.4.2 Java.enumerateLoadedClassesSync()

Java.enumerateLoadedClassesSync(),同步枚举已加载的类。

function main() {
    Java.perform(() => {
        var classNames = Java.enumerateLoadedClassesSync()
        for (let i = 0; i < classNames.length; i++) {
            console.log("class name is " + classNames[i]);
        }
    });
}

setImmediate(main);

5.5 枚举类加载器

5.5.1 Java.enumerateClassLoaders(callbacks)

异步枚举类加载器。

function main() {
    Java.perform(() => {
        Java.enumerateClassLoaders({
            onMatch(loader) {
                console.log(loader.getClass());
            },
            onComplete() {
            }
        });
    });
}

setImmediate(main);

5.5.2 Java.enumerateClassLoadersSync()

同步枚举类加载器。

function main() {
    Java.perform(() => {
        var classLoaders = Java.enumerateClassLoadersSync();
        for (let i = 0; i < classLoaders.length; i++) {
            console.log(classLoaders[i].getClass());
        }
    });
}

setImmediate(main);

5.6 Java.enumerateMethods(query)

枚举满足 query 规则的函数。query 格式为 class!method,可以通过 / 添加参数,比如 class!method/isu

  • i,忽略大小写
  • s,包含方法签名
  • u,只匹配用户定义类,忽略系统类
function main() {
    Java.perform(() => {
        var methods = Java.enumerateMethods("*!get*/isu");
        console.log(JSON.stringify(methods, null, 2));
    });
}

setImmediate(main);

5.7 Java.use(className)

通过类的完全限定名获取包装器,可以通过调用 $new 来实例化对象。

function main() {
    Java.perform(() => {
        var JString = Java.use('java.lang.String');
        var str = JString.$new("Hello, Frida!");
    });
}

setImmediate(main);

5.8 Java.choose(className, callbacks)

在堆内存中找类的实例。

function main() {
    Java.perform(() => {
        Java.choose("android.app.ActivityThread", {
            onMatch: function (instance) {
                console.log(instance.currentApplication());
            },
            onComplete() {
            }
        });
    });
}

setImmediate(main);

5.9 Java.cast(handle, kclass)

进行类型转换,将指定数据强制转换成所需类型。

function main() {
    Java.perform(() => {
        var JObject = Java.use("java.lang.Object");
        var JString = Java.use("java.lang.String");
        var str = JString.$new("Hello, Frida!");
        var objStr = Java.cast(str, JObject);
    });
}

setImmediate(main);

5.10 Java.array(type, elements)

创建数组。

function main() {
    Java.perform(() => {
        var JString = Java.use("java.lang.String");
        var JStringArray = Java.array("java.lang.String", [JString.$new("Hello"), JString.$new("Frida")]);
        for (let i = 0; i < JStringArray.length; i++) {
            console.log(JStringArray[i]);
        }
    });
}

setImmediate(main);

5.11 Java.registerClass(spec)

动态注册一个 Java 类。

function main() {
    Java.perform(() => {
        Java.registerClass({
            name: "com.smile.gifmaker.DynamicClass",
            fields: {
                str: "java.lang.String"
            },
            methods: {
                getStr: {
                    returnType: 'java.lang.String',
                    implementation() {
                        return str;
                    }
                },
                setStr: {
                    returnType: 'void',
                    argumentTypes: ['java.lang.String'],
                    implementation(text) {
                        str = text;
                    }
                }
            }
        })
        var instance = Java.use("com.smile.gifmaker.DynamicClass").$new()
        instance.setStr("Hello, Frida!");
        console.log(instance.getStr());
    }
}

setImmediate(main);

5.12 Java.openClassFile(filePath)

打开 dex 文件。

function main() {
    Java.perform(() => {
        var dexFile = Java.openClassFile('/data/data/com.ppdai.frida/classes.dex');
        dexFile.load();
        var classNames = dexFile.getClassNames();
        for (let i = 0; i < classNames.length; i++) {
            console.log(classNames[i]);
        }
    });
}

setImmediate(main);

5.13 获取 JNIEnv

5.13.1 Java.vm.getEnv()

获取 JNIEnv 对象,若当前线程未附加到 VM,则抛异常。

function main() {
    Java.perform(() => {
        var JNIEnv = Java.vm.getEnv();
    });
}

setImmediate(main);

5.13.2 Java.vm.tryGetEnv()

尝试获取 JNIEnv 对象,若当前线程未附加到 VM,则返回 null

function main() {
    Java.perform(() => {
        var JNIEnv = Java.vm.tryGetEnv();
    });
}

setImmediate(main);
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,163评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,301评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,089评论 0 352
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,093评论 1 292
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,110评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,079评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,005评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,840评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,278评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,497评论 2 332
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,667评论 1 348
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,394评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,980评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,628评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,649评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,548评论 2 352

推荐阅读更多精彩内容