Hook构造方法
我们要hook的是一个类的构造函数
public class Utils {
public static Money getMoney() {
return new Money(60, "RMB");
}
...
}
我们可以通过$init来获取并修改一个类的构造方法。(注意,js是弱类型语言,而Java强类型,注意构造的时候的类型转换。)
下面是jscode
var money=Java.use("com.xiaojianbang.app.Money");
money.$init.implementation = function(a, b)
{
console.log("Hook Start...");
send(arguments[0]);
send(arguments[1]);
return this.$init(a,b);
}
Hook重载方法
我们先看一下要hook的重载方法
public class Utils {
public static String test() {
return "this is test without argument";
}
public static String test(int num) {
return "this is test with num "+num;
}
...
}
在方法后面加一个overload属性,参数为函数的类型,类型用字符串传入,用于指定具体要hook的方法。例如utils.test.overload("int").implementation。
注意,要填写类的路径,例如如果是字符串类型,则要用overload("int","java.lang.String")
jscode:
utils.test.overload("int").implementation = function(a)
{
console.log("Hook Start...");
send(arguments[0]);
console.log("Hook Success...");
return "This overload func is hooked";
}
Hook对象参数的构造
我们来看一下要hook的方法
package com.XXXX.app;
public class Utils {
public static String test(Money money) {
return money.getInfo();
}
....
}
这里我们使用一个类型的$new来实例化一个类
jscode:
jscode = """
Java.perform(function(){
var utils = Java.use("com.XXXX.app.Utils");
var money=Java.use("com.XXXX.app.Money");
utils.test.overload("com.XXXX.app.Money").implementation = function(a)
{
console.log("Hook Start...");
send(a.getInfo());
var m = money.$new(6666,"DOLLAR");
send(m.getInfo());
return m.getInfo();
//return this.test(m);
}
});
"""
修改对象属性的值
常规方法
- 如果
obj.Attr的话,获取到的还是对象,例如a.name的返回值是[*] {'value': '美元', 'fieldType': 2, 'fieldReturnType': {'className': 'java.lang.String', 'name': 'Ljava/lang/String;', 'type': 'pointer', 'size': 1}} [*] 美元 - 我们使用
a.name.value就能获取对象属性的值了。
例如
utils.test.overload("com.xiaojianbang.app.Money").implementation = function(a)
{
console.log("Hook Start...");
send(a.name); //object
send(a.name.value); //real value
var m = money.$new(6666,"DOLLAR");
m.name.value="ForeignMoney";
send(m.getInfo());
return m.getInfo();
//return this.test(m);
}
Java反射
对于私有属性,我们可以用Java反射的方法设置。
在Java反射中,通过Java.cast(m.getClass(),clazz).getDeclaredField('num'),m为一个实例化对象,后面getDeclaredField可以获得属性。通过Java.use('java.lang.Class');获取类的构造器
这里,通过属性的get(ObjectsInstantiated)可以获取值,通过属性的setInt(ObjectsInstantiated,value)可以设置一个对象的属性值。ObjectsInstantiated为一个对象。
这里,对于反射后的值,用console.log可以很好的输出值,而send在此处会打印对象。
Java.perform(function(){
var utils = Java.use("com.xiaojianbang.app.Utils");
var money=Java.use("com.xiaojianbang.app.Money");
utils.test.overload("com.xiaojianbang.app.Money").implementation = function(a)
{
console.log("Hook Start...");
var m = money.$new(6666,"DOLLAR");
var clazz = Java.use('java.lang.Class');
var num_id = Java.cast(m.getClass(),clazz).getDeclaredField('num');
num_id.setAccessible(true);
var value = num_id.get(m);
console.log(value);
send(value); // have format problem
num_id.setInt(m,23333);
console.log(num_id.get(m));
return this.test(m);
}
});
跟踪native方法
Hook程序的open()函数为例
frida-trace -U -i open com.android.browser
执行后
Instrumenting functions...
open: Auto-generated handler at "C:\Users\HAPPY\Desktop\__handlers__\libc.so\open.js"
Started tracing 1 function. Press Ctrl+C to stop.
在__handlers__\libc.so目录下生成了open.js文件,修改该文件内容。例如,将参数信息添加到输出的信息中,代码如下
onEnter: function (log, args, state) {
log('open(pathname='+Memory.readUtf8String(args[0])+") flag: "+args[1]);
},
保存后重新执行,在输出结果中,可以看到,我们成功获取了函数的参数
148906 ms open(pathname=/data/data/com.android.browser/app_webview/databases/Databases.db) flag: 0x88042
148907 ms open(pathname=/data/data/com.android.browser/app_webview/databases/Databases.db-journal) flag: 0x88042
148914 ms open(pathname=/data/data/com.android.browser/app_webview/databases) flag: 0x80000
......
其中,onEnter是函数调用前的,onLeave是函数调用后所触发的。
