🛫 系列文章导航
- 【Frida】【Android】01_手把手教你环境搭建 https://blog.csdn.net/kinghzking/article/details/136986950
- 【Frida】【Android】02_JAVA层HOOK https://blog.csdn.net/kinghzking/article/details/137008446
- 【Frida】【Android】03_RPC https://blog.csdn.net/kinghzking/article/details/137050967
▒ 目录 ▒
- 🛫 系列文章导航
- 🛫 导读
- 开发环境
- 1️⃣ Android App 代码介绍
- 中文内部类和方法
- 重载函数
- 成员变量及静态函数
- 2️⃣ 普通函数HOOK
- Java.perform
- 操作步骤
- 3️⃣ 重载函数HOOK
- 4️⃣ 构造函数HOOK
- 5️⃣ 函数主动调用
- 🛬 文章小结
- frida api释义
- 📖 参考资料
🛫 导读
开发环境
| 版本号 | 描述 | |
|---|---|---|
| 文章日期 | 2024-03-24 | |
| 操作系统 | Win11 - 22H2 | 22621.2715 |
| node -v | v20.10.0 | |
| npm -v | 10.2.3 | |
| 夜神模拟器 | 7.0.5.8 | |
| Android | 9 | |
| python | 3.9.9 | |
| frida | 16.2.1 | |
| frida-tools | 12.3.0 | |
| objection | 1.11.0 | |
1️⃣ Android App 代码介绍
在本小节中,我们将开始学习Frida在Android Java中的Hook功能。为了清楚地了解App的运行内容,这里先编写一个简单的App用于练习。其主要使用逻辑为,通过点击
测试按钮,触发各种函数调用。通过adb logcat | findstr yemao查看运行结果。
中文内部类和方法
该类逻辑相对简单,包含一个
中文方法,内部打印一句话。
除此之外,编译器会生成一个默认的构造函数。
设计这个类的原因有以下几点:
- 演示普通函数HOOK
- 演示构造函数HOOK
- 为了测试中文相关名称处理方法
- 演示子类Smali命名规则
重载函数
在入口类
MainActivity中添加了两个相同名称的函数(重载函数),接受不同的参数,用于演示重载函数HOOK功能。
public class MainActivity extends AppCompatActivity {
void fun(int x , int y ){
Log.d("yemao.sum" , String.valueOf(x+y));
}
String fun(String x){
return x.toLowerCase();
}
}
成员变量及静态函数
除此之外,还预留了成员变量及静态函数,用于下面几个测试:
- 修改成员变量
- 主动调用静态函数
- frida rpc测试
public class MainActivity extends AppCompatActivity {
private String total = "hello";
void secret(){
total += " secretFunc";
Log.d("yemao.secret" , "this is secret func");
}
static void staticSecret(){
Log.d("yemao.secret" , "this is static secret func");
}
}
2️⃣ 普通函数HOOK
这里以
com.yemao.demo.MainActivity.非重载测试类的方法普通函数为例,介绍普通函数HOOK,其它hook在此基础上进行解释。
Java.perform
用Frida的API函数Java.perform()将脚本中的内容注入到Java运行库,这个API的参数是一个函数,函数内容是监控和修改Java函数逻辑的主体内容。
注意,这里的Java.perform()函数非常重要,任何对App中Java层的操作都必须包裹在这个函数中,否则Frida运行起来后就会报错。
function main() {
普通函数()
重载函数()
构造函数()
函数主动调用()
}
Java.perform(main)
操作步骤
- 首先调用了Frida的API函数
Java.use(),这个函数的参数是Hook的函数所在类的类名,参数的类型是一个字符串类型,比如Hook的中文方法()函数所在类的全名为com.roysue.demo02.MainActivity$非重载测试类,那么传递给这个函数的参数就是com.roysue.demo02.MainActivity$非重载测试类。这个函数的返回值动态地为相应Java类获取一个JavaScript Wrapper,可以通俗地理解为一个JavaScript对象。
这里特别注意的是,内部类命名需要使用$连接!!!
- 接着,通过
JavaScript Wrapper获取其方法函数对象,有以下两种方法:
- 如果是英文,直接通过
.即可,例如cls.fun。(也可以使用cls['fun'])- 对于中文,则需要使用
[]获取方法对象:cls['中文方法']
- 然后加上
implementation关键词表示实现,通过对其进行赋值,替换原有函数逻辑。
通过this['中文方法']()函数再次调用原函数,并把原本的参数传递给这个函数。简而言之,就是重新执行原函数的内容,最后将这个函数的返回值直接通过return指令返回。
function 普通函数() {
var cls = Java.use('com.yemao.demo.MainActivity$非重载测试类')
console.log("Java.Use.Successfully!") //定位类成功!
cls['中文方法'].implementation = function(x: number, y: number) {
console.log("[普通函数] x => ",x,", y => ",y)
// this['中文方法'] 可以获得Hook之前的函数,可以直接调用之前的函数
// 这时候,可以根据自己的需求,修改参数等!!!
var ret_value = this['中文方法'](x, y);
return ret_value
}
}
ps: 在Hook一个函数时,还有一个地方需要注意,那就是最好
不要修改被Hook的函数的返回值类型,否则可能会引起程序崩溃等问题,比如直接通过调用原函数将原函数的返回值返回。
3️⃣ 重载函数HOOK
重载函数HOOK逻辑如果使用普通函数HOOK中的代码,会报错Error: fun(): has more than one overload。这是函数的重载导致Frida不知道具体应该Hook哪个函数而出现的问 题。 其 实 Frida 已 经 提 供 了 解 决 方 案 ( use.overload(<signature>), 就 是 指 定 函 数 签 名 , 将 报 错 中的.overload(‘java.lang.String’)者.overload(‘int’, ‘int’)添加到要Hook的函数名后、关键词implementation之前。
function 普通函数() {
var MainAcitivity = Java.use('com.yemao.demo.MainActivity')
console.log("Java.Use.Successfully!") //定位类成功!
MainAcitivity.fun.overload('int', 'int').implementation = function(x: number, y: number) {
console.log("[重载函数] x => ",x,", y => ",y)
var ret_value = this.fun(x, y);
return ret_value
}
}
4️⃣ 构造函数HOOK
构造函数比普通函数,只有函数命名上特殊一点,frida采用了
$init代表构造函数。
本例子使用的是内部类,相对于普通类,会多传递一个参数外部类对象,这是java语法特性,可以通过查看Smali代码看出该参数的传递,所以
- 必须增加该参数
mainAcitivity,否则程序会崩溃的!!!- 必须增加该参数
mainAcitivity,否则程序会崩溃的!!!- 必须增加该参数
mainAcitivity,否则程序会崩溃的!!!
function 普通函数() {
var cls = Java.use('com.yemao.demo.MainActivity$非重载测试类')
console.log("Java.Use.Successfully!") //定位类成功!
cls.$init.implementation = function(mainAcitivity) {
console.log("[构造函数] ===")
var ret_value = this.$init(mainAcitivity);
return ret_value
}
}
5️⃣ 函数主动调用
在Java中,类中的函数可分为两种:
类函数和实例方法。通俗地讲,就是静态的方法和动态的方法。类函数使用关键字static修饰,和对应类是绑定的,如果类函数还被public关键词修饰着,在外部就可以直接通过类去调用;实例方法则没有关键字static修饰,在外部只能通过创建对应类的实例再通过这个实例去调用。
如果是类函数的主动调用,直接使用Java.use()函数找到类进行调用即可;
如果是实例方法的主动调用,则需要在找到对应的实例后对方法进行调用。这里用到了Frida中非常重要的一个API函数Java.choose(),这个函数可以在Java的堆中寻找指定类的实例。
function 函数主动调用() {
var MainAcitivity = Java.use('com.yemao.demo.MainActivity')
console.log("Java.Use.Successfully! 函数主动调用") //定位类成功!
// 静态函数主动调用
MainAcitivity.staticSecret();
// Error: secret: cannot call instance method without an instance
// MainAcitivity.secret();
// 动态函数主动调用
Java.choose('com.yemao.demo.MainActivity',{
onMatch: function(instance){
console.log('instance found',instance)
instance.secret()
},
onComplete: function(){
console.log('search Complete')
}
})
}
🛬 文章小结
frida api释义
| 函数名 | 参数 | 返回值 | 含义 |
|---|---|---|---|
| Java.perform | 函数 | 任何对App中Java层的操作都必须包裹在这个函数 | |
| 中,否则Frida运行起来后就会报错 | |||
| Java.use | className | JavaScript wrapper | 动态获取类实例对象 |
| MainAcitivity.fun.implementation | 函数实现 | ||
| MainAcitivity.fun.overload | 参数数组 | 重载函数中,区分不同的函数 | |
| Java.choose | className, callbacks | 枚举className的实例对象,调用callbacks处理回调逻辑 |
📖 参考资料
- 《安卓Frida逆向与抓包实战》
- 【Frida】 00_简单介绍和使用 https://blog.csdn.net/kinghzking/article/details/123225580
- 本节源码地址 https://gitcode.com/android8/AndroidFridaBeginnersBook
ps: 文章中内容仅用于技术交流,请勿用于违规违法行为。
