前言
Frida是个轻量级别的hook框架,是Python API,但JavaScript调试逻辑,它既可以hook java层也可以hook native层
Frida的核心是用C编写的,并将Google的V8引擎注入到目标进程中,在这些进程中,JS可以完全访问内存,挂钩函数甚至调用进程内的本机函数来执行。
使用Python和JS可以使用无风险的API进行快速开发。Frida可以帮助您轻松捕获JS中的错误并为您提供异常而不是崩溃。
环境
Android4.4.4
Nexus5手机(ARM)
frida12.11.18
python3.6
安装
首先使用pip安装frida和frida-tools模块
pip install frida
pip install frida-tools
我这里使用PyCharm安装
image.png
下载frida-server,官方下载地址https://github.com/frida/frida/releases,这里注意下载的版本应该和上面安装的frida版本一致。
在adb shell中查看cpu的架构
getprop ro.product.cpu.abi
image.png
所以我们下载这个版本
image.png
下载后解压重命名为frida-server 并push到手机上。
进入root权限,给其权限并运行,手机会重启
image.png
image.png
然后把端口转发到PC端:
adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043
到这里我们就把通信的手机端工作做完了
java层Hook
我们要做事情
1.hook类的普通方法
2.hook类的构造方法
3.构造和修改自定义类型对象和属性
先写一个目标app
image.png
添加SharkUtils和Student两个类
SharkUtils.java
package com.shark.fridatarget;
public class SharkUtils {
public static String getPwd(String info) {
return info + "shark";
}
public static String getPwd() {
return "shark";
}
public static Student getStu() {
return new Student("fujie", 100);
}
public static int getStuScore(Student student) {
return student.getScore();
}
}
Student.java
package com.shark.fridatarget;
public class Student {
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public int getScore() {
return score;
}
public void setScore(int score) {
this.score = score;
}
public String name;
public int score;
public Student(String name, int score) {
this.name = name;
this.score = score;
}
}
MainActivity.java
package com.shark.fridatarget;
import androidx.appcompat.app.AppCompatActivity;
import android.os.Bundle;
import android.widget.TextView;
public class MainActivity extends AppCompatActivity {
TextView textView;
TextView textView2;
TextView textView3;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
textView = findViewById(R.id.test);
Student student = SharkUtils.getStu();
textView.setText("姓名:" + student.getName() + "------分数:" + student.getScore());
textView2 = findViewById(R.id.test2);
textView2.setText("password:"+SharkUtils.getPwd("123456"));
textView3 = findViewById(R.id.test3);
textView3.setText("getStuScore:"+SharkUtils.getStuScore(student));
}
}
app就是调用SharkUtils的方法,然后将返回的信息输出到控件上
运行如下
image.png
现在就来编写Hook代码
import frida # 导入frida模块
import sys # 导入sys模块
jscode = """ //从此处开始定义用来Hook的javascript代码
Java.perform(function(){
var student = Java.use('com.shark.fridatarget.Student'); //获得Student类
var sharkUtils = Java.use('com.shark.fridatarget.SharkUtils'); //获得SharkUtils类
var clazz = Java.use('java.lang.Class'); //获得Class类
//Hook普通方法
sharkUtils.getPwd.overload("java.lang.String").implementation = function(info){
//方式一获取参数
send("getPwd1:"+info);
//方式二获取参数
send("getPwd2:"+arguments[0]);
return this.getPwd("shark"); //劫持返回值,修改为我们想要返回的字符串
}
//Hook Student的构造函数$init,用js自己实现
student.$init.overload("java.lang.String","int").implementation = function(name,score){
send('Statr! Hook!'); //发送信息,用于回调python中的函数
return this.$init("shark",99); //调用原来的初始化方法
}
//构造和修改自定义类型对象和属性
sharkUtils.getStuScore.overload("com.shark.fridatarget.Student").implementation = function(student){
send('student:'+student);
//使用方法得到属性
var score = student.getScore();
send('student score:'+score);
//直接得到属性
var score2 = student.score;
send('student score2:'+score);
//构造一个新的student对象
var new_stu = student.$new("shark chilli",55);
//将com.shark.fridatarget.Student转化java.lang.Class
var scorc_field = Java.cast(student.getClass(),clazz).getDeclaredField("score");
//这里就是普通的反射了
scorc_field.setAccessible(true);
send('reflect scorc_field:'+scorc_field.get(student));
scorc_field.setInt(student,999);
return student.getScore();
}
});
"""
def on_message(message, data): # js中执行send函数后要回调的函数
print(message)
# 得到设备并劫持进程com.shark.fridatarget(
# 该开始用get_usb_device函数用来获取设备,但是一直报错找不到设备,改用get_remote_device函数即可解决这个问题)
process = frida.get_remote_device().attach('com.shark.fridatarget')
script = process.create_script(jscode) # 创建js脚本
script.on('message', on_message) # 加载回调函数,也就是js中执行send函数规定要执行的python函数
script.load() # 加载脚本
sys.stdin.read()
image.png
这段代码就是hook的整体逻辑使用get_remote_device来获取到设备,然后调用attach附加到app上,所以这里必须要在手机上打开这个应用。否则会找不到。然后创建js脚本,加载回调函数就是我们自己定义的on_message函数,这样js中调用send就调用了我们的on_message函数了。下面就是加载脚本了。
Java.perform(function(){
...
});
我们的hook逻辑都写在上面的js代码中
image.png
使用Java.use获得类的类型
image.png
Hook普通方法,直接使用要hook的方法名,overload是确认方法重载的。
上面看到想要获得参数有两种方式,一是在方法上定义参数名即可。二是通过隐含的arguments变量获取。
this指针就是被hook的对象,想要修改返回值可以直接使用return
image.png
Hook构造方法东西其实都一样,就是调用构造方法的时候使用$init
image.png
构造和修改自定义类型对象和属性,想new一个类的实例使用的是$new。其他的代码和java中的反射大同小异。注意一下的是要使用反射操作这个student实例前需要使用cast转化成java.lang.Class
运行
image.png
