Android逆向进阶篇 Frida+IDA Hook so文件

企业开发 2025-04-09 20:10:10 阅读次数: 0

准备工作

  • 一台真机
  • Frida环境
  • IDA
  • 受害者so文件

核心脚本 Copy过去,不用改,通用的,新建一个natives.js文件粘贴

 
function hook_RegisterNatives() {
    
    
    var symbols = Module.enumerateSymbolsSync("libart.so");
    var addrRegisterNatives = null;
    for (var i = 0; i < symbols.length; i++) {
    
    
        var symbol = symbols[i];
        
        //_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi
        if (symbol.name.indexOf("art") >= 0 &&
                symbol.name.indexOf("JNI") >= 0 && 
                symbol.name.indexOf("RegisterNatives") >= 0 && 
                symbol.name.indexOf("CheckJNI") < 0) {
    
    
            addrRegisterNatives = symbol.address;
            console.log("RegisterNatives is at ", symbol.address, symbol.name);
        }
    }
 
    if (addrRegisterNatives != null) {
    
    
        Interceptor.attach(addrRegisterNatives, {
    
    
            onEnter: function (args) {
    
    
                console.log("[RegisterNatives] method_count:", args[3]);
                var env = args[0];
                var java_class = args[1];
                var class_name = Java.vm.tryGetEnv().getClassName(java_class);
                //console.log(class_name);
 
                var methods_ptr = ptr(args[2]);
 
                var method_count = parseInt(args[3]);
                for (var i = 0; i < method_count; i++) {
    
    
                    var name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
                    var sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
                    var fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));
 
                    var name = Memory.readCString(name_ptr);
                    var sig = Memory.readCString(sig_ptr);
                    var find_module = Process.findModuleByAddress(fnPtr_ptr);
                    console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr, "module_name:", find_module.name, "module_base:", find_module.base, "offset:", ptr(fnPtr_ptr).sub(find_module.base));
 
                }
            }
        });
    }
}
 
setImmediate(hook_RegisterNatives);

找受害者, 通过命令 frida-PS -U -a 查找真机上所有进程,把包名遍历出来

frida-PS -U -a

在这里插入图片描述

Frida Hook命令 Hook谁 就把下面的包名改成谁就好了

frida -U -f com.sankuai.movie -l natives.js

好处
这个命令有两个作用

  1. 运行的时候 主动调起app 同时注册hook 比传统的hook要快
  2. 运行的时候 主动调起app 同时注册hook 比传统的hook要快
    在这里插入图片描述

输出

美团的风控值mtgsig就在这里面哈 在这里插入图片描述

常见问题

1. 函数找不到?

  • 检查SO是否已加载:Process.enumerateModules()
  • 确认函数符号是否被混淆(需计算偏移地址)。

2.如何Hook非导出函数?

  • 通过IDA获取函数偏移,结合模块基地址计算绝对地址:
const funcAddr = module.base.add(0x1234);

3. 处理多线程问题

在Java.perform包裹代码确保执行在主线程。

总结

Frida通过动态注入和JavaScript API提供了灵活的SO Hook能力。结合静态分析工具,可高效定位关键函数,实时监控或修改参数/返回值。建议参考官方文档探索更多高级功能。

猜你喜欢

转载自blog.csdn.net/qq_39162566/article/details/146992233
今日推荐
Electron中的关于静态资源加载问题解决方案
《Cursor-AI编程》基础篇-界面指南
《Cursor-AI编程》基础篇-Tab代码智能补充
《Cursor-AI编程》基础篇-Composer功能详解
《Cursor-AI编程》基础篇-Chat功能详解
《Cursor-AI编程》进阶篇-自定义模型
《Cursor-AI编程》进阶篇-上下文详解
【大模型系列篇】最强检索增强技术GraphRAG基本原理详解
【大模型系列篇】基于Ollama和GraphRAG v2.0.0快速构建知识图谱
解释什么是迁移学习?在 CNN 中如何应用?(面试题200合集,高频、关键)
解释数据增强(Data Augmentation)的概念和方法((面试题200合集,高频、关键))
揭秘大模型“魔法”:Function Calling 让 AI 不止会说,更能“做”!
周排行
ConfigurationClassParser类的parse方法源码解析
基础大讲堂-java 位运算符
ConsecutiveInteger判断给定的整数n能否表示成连续的m(m>1)个正整数之和
多项式问题之六——多项式快速幂
Spring Security技术栈开发企业级认证与授权(四)RESTful API服务异常处理
Linux基础命令---apachectl
MATLAB中的线性插值
Unity编辑器拓展之十七:NGUI ComponentSelector增加搜索框
SqlServer 备份还原教程
[Unity动画]01.
每日归档
更多
2025-04-12(10529)
2025-04-11(9561)
2025-04-10(1213)
2025-04-09(10354)
2025-04-08(12998)
2025-04-07(0)
2025-04-06(0)
2025-04-05(0)
2025-04-04(0)
2025-04-03(0)