建了一个知识星球:天问之路
如果想学习二进制安全,或者和我交流,欢迎来这里找我w
Frida环境
https://github.com/frida/frida
pyenv
python全版本随机切换,这里提供macOS上的配置方法
1 | brew update |
1 | 下载一个3.8.2,下载真的很慢,要慢慢等 |
另外当你需要临时禁用pyenv的时候
把这个注释了然后另开终端就好了。
关于卸载某个python版本
1 | Uninstalling Python Versions |
frida安装
如果直接按下述安装则会直接安装frida和frida-tools的最新版本。
1 | pip install frida-tools |
我们也可以自由安装旧版本的frida,例如12.8.0
1 | pyenv install 3.7.7 |
老版本frida和对应关系
对应关系很好找
安装objection
1 | pyenv local 3.8.2 |
1 | pyenv local 3.7.7 |
frida使用
下载frida-server并解压,在这里下载frida-server-12.8.0
先adb shell,然后切换到root权限,把之前push进来的frida server改个名字叫fs
然后运行frida
1 | adb push /Users/sakura/Desktop/lab/alpha/tools/android/frida-server-12.8.0-android-arm64 /data/local/tmp |
如果要监听端口,就
1 | ./fs -l 0.0.0.0:8888 |
frida开发环境搭建
- 安装
1
2
3git clone https://github.com/oleavr/frida-agent-example.git
cd frida-agent-example/
npm install - 使用vscode打开此工程,在agent文件夹下编写js,会有智能提示。
npm run watch会监控代码修改自动编译生成js文件- python脚本或者cli加载_agent.js
frida -U -f com.example.android --no-pause -l _agent.js
下面是测试脚本
s1.js
1 | function main() { |
loader.py
1 | import time |
解释一下,这个脚本就是先通过frida.get_device_manager().add_remote_device来找到device,然后spawn方式启动settings,然后attach到上面,并执行frida脚本。
FRIDA基础
frida查看当前存在的进程
frida-ps -U查看通过usb连接的android手机上的进程。
1 | sakura@sakuradeMacBook-Pro:~$ frida-ps --help |
1 | sakura@sakuradeMacBook-Pro:~$ frida-ps -U |
通过grep过滤就可以找到我们想要的包名。
frida打印参数和修改返回值
1 | package myapplication.example.com.frida_demo; |
1 | function main() { |
1 | sakura@sakuradeMacBook-Pro:~$ frida-ps -U | grep frida |
frida寻找instance,主动调用。
1 | function main() { |
frida rpc
1 | function callFun() { |
1 | import time |
1 | sakura@sakuradeMacBook-Pro:~/gitsource/frida-agent-example/agent$ python frida_demo_rpc_loader.py |
frida动态修改
即将手机上的app的内容发送到PC上的frida python程序,然后处理后返回给app,然后app再做后续的流程,核心是理解send/recv函数
1 | <TextView |
1 | public class MainActivity extends AppCompatActivity { |
先分析问题,我的最终目标是让message_tv.setText可以”发送”username为admin的base64字符串。
那肯定是hook TextView.setText这个函数。
1 | console.log("Script loaded successfully "); |
1 | import time |
1 | sakura@sakuradeMacBook-Pro:~/gitsource/frida-agent-example/agent$ python frida_demo_rpc_loader2.py |
参考链接:https://github.com/Mind0xP/Frida-Python-Binding
API List
Java.choose(className: string, callbacks: Java.ChooseCallbacks): void
通过扫描Java VM的堆来枚举className类的live instance。Java.use(className: string): Java.Wrapper<{}>
动态为className生成JavaScript Wrapper,可以通过调用$new()来调用构造函数来实例化对象。
在实例上调用$dispose()以对其进行显式清理,或者等待JavaScript对象被gc。Java.perform(fn: () => void): void
Function to run while attached to the VM.
Ensures that the current thread is attached to the VM and calls fn. (This isn’t necessary in callbacks from Java.)
Will defer calling fn if the app’s class loader is not available yet. Use Java.performNow() if access to the app’s classes is not needed.send(message: any, data?: ArrayBuffer | number[]): void
任何JSON可序列化的值。
将JSON序列化后的message发送到您的基于Frida的应用程序,并包含(可选)一些原始二进制数据。
The latter is useful if you e.g. dumped some memory using NativePointer#readByteArray().recv(callback: MessageCallback): MessageRecvOperation
Requests callback to be called on the next message received from your Frida-based application.
This will only give you one message, so you need to call recv() again to receive the next one.wait(): void
堵塞,直到message已经receive并且callback已经执行完毕并返回
Frida动静态结合分析
Objection
objection启动并注入内存
objection -d -g package_name explore
1 | sakura@sakuradeMacBook-Pro:~$ objection -d -g com.android.settings explore |
objection memory
查看内存中加载的module memory list modules
1 | com.android.settings on (google: 8.1.0) [usb] # memory list modules |
查看库的导出函数 memory list exports libssl.so
1 | com.android.settings on (google: 8.1.0) [usb] # memory list exports libssl.so |
dump内存空间
memory dump all 文件名memory dump from_base 起始地址 字节数 文件名搜索内存空间
Usage: memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
objection android
内存堆搜索实例 android heap search instances 类名
在堆上搜索类的实例
1 | sakura@sakuradeMacBook-Pro:~$ objection -g myapplication.example.com.frida_demo explore |
调用实例的方法 android heap execute 实例ID 实例方法
查看当前可用的activity或者service android hooking list activities/services
直接启动activity或者服务 android intent launch_activity/launch_service activity/服务
android intent launch_activity com.android.settings.DisplaySettings
这个命令比较有趣的是用在如果有些设计的不好,可能就直接绕过了密码锁屏等直接进去。
1 | com.android.settings on (google: 8.1.0) [usb] # android hooking list services |
列出内存中所有的类 android hooking list classes
在内存中所有已加载的类中搜索包含特定关键词的类。 android hooking search classes display
1 | com.android.settings on (google: 8.1.0) [usb] # android hooking search classes display |
内存中搜索指定类的所有方法 android hooking list class_methods 类名
1 | com.android.settings on (google: 8.1.0) [usb] # android hooking list class_methods java.nio.charset.Charset |
在内存中所有已加载的类的方法中搜索包含特定关键词的方法 android hooking search methods display
知道名字开始在内存里搜就很有用
1 | com.android.settings on (google: 8.1.0) [usb] # android hooking search methods display |
hook类的方法(hook类里的所有方法/具体某个方法)
android hooking watch class 类名
这样就可以hook这个类里面的所有方法,每次调用都会被log出来。android hooking watch class 类名 --dump-args --dump-backtrace --dump-return
在上面的基础上,额外dump参数,栈回溯,返回值1
android hooking watch class xxx.MainActivity --dump-args --dump-backtrace --dump-return
android hooking watch class_method 方法名1
2//可以直接hook到所有重载
android hooking watch class_method xxx.MainActivity.fun --dump-args --dump-backtrace --dump-returngrep trick和文件保存
objection log默认是不能用grep过滤的,但是可以通过objection run xxx | grep yyy的方式,从终端通过管道来过滤。
用法如下有的命令后面可以通过1
2
3
4
5
6sakura@sakuradeMacBook-Pro:~$ objection -g com.android.settings run memory list modules | grep libc
Warning: Output is not to a terminal (fd=1).
libcutils.so 0x7a94a1c000 81920 (80.0 KiB) /system/lib64/libcutils.so
libc++.so 0x7a9114e000 983040 (960.0 KiB) /system/lib64/libc++.so
libc.so 0x7a9249d000 892928 (872.0 KiB) /system/lib64/libc.so
libcrypto.so 0x7a92283000 1155072 (1.1 MiB) /system/lib64/libcrypto.so--json logfile来直接保存结果到文件里。
有的可以通过查看.objection文件里的输出log来查看结果。1
2
3
4sakura@sakuradeMacBook-Pro:~/.objection$ cat *log | grep -i display
android.hardware.display.DisplayManager
android.hardware.display.DisplayManager$DisplayListener
android.hardware.display.DisplayManagerGlobal
案例学习
案例学习case1:《仿VX数据库原型取证逆向分析》
附件链接
android-backup-extractor工具链接
1 | sakura@sakuradeMacBook-Pro:~/Desktop/lab/alpha/tools/android/frida_learn$ java -version |
装个夜神模拟器玩
1 | sakura@sakuradeMacBook-Pro:/Applications/NoxAppPlayer.app/Contents/MacOS$ ./adb connect 127.0.0.1:62001 |
肯定还是先定位目标字符串Wait a Minute,What was happend?
jadx搜索字符串
重点在a()代码里,其实是根据明文的name和password,然后aVar.a(a2 + aVar.b(a2, contentValues.getAsString("password"))).substring(0, 7)再做一遍复杂的计算并截取7位当做密码,传入getWritableDatabase去解密demo.db数据库。
所以我们hook一下getWritableDatabase即可。
1 | frida-ps -U |
看一下源码
1 | package net.sqlcipher.database; |
也可以objection search一下这个method
1 | ...mple.yaphetshan.tencentwelcome on (samsung: 7.1.2) [usb] # android hooking search methods getWritableDatabase |
hook一下这个method
1 | [usb] # android hooking watch class_method net.sqlcipher.database.SQLiteOpenHelper.getWritableDatabase --dump-args --dump-backtrace --dump-return |
hook好之后再打开这个apk
1 | (agent) [1v488x28gcs] Called net.sqlcipher.database.SQLiteOpenHelper.getWritableDatabase(java.lang.String) |
找到参数ae56f99
剩下的就是用这个密码去打开加密的db。
然后base64解密一下就好了。
还有一种策略是主动调用,基于数据流的主动调用分析是非常有意思的。
即自己去调用a函数以触发getWritableDatabase的数据库解密。
先寻找a所在类的实例,然后hook getWritableDatabase,最终主动调用a。
这里幸运的是a没有什么奇奇怪怪的参数需要我们传入,主动调用这种策略在循环注册等地方可能就会有需求8.
1 | [usb] # android heap search instances com.example.yaphetshan.tencentwelcome.MainActivity |
案例学习case2:主动调用爆破密码
因为直接找Unfortunately,note the right PIN :(找不到,可能是把字符串藏在什么资源文件里了。
review代码之后找到校验的核心函数,逻辑就是将input编码一下之后和密码比较,这肯定是什么不可逆的加密。
1 | public static boolean verifyPassword(Context context, String input) { |
这里就爆破一下密码。
1 | frida-ps -U | grep qualification |
1 | function main() { |
1 | ... |
这里注意parseInt
Frida hook基础(一)
- 调用静态函数和调用非静态函数
- 设置(同名)成员变量
- 内部类,枚举类的函数并hook,trace原型1
- 查找接口,hook动态加载dex
- 枚举class,trace原型2
- objection不能切换classloader
Frida hook : 打印参数、返回值/设置返回值/主动调用
demo就不贴了,还是先定位登录失败点,然后搜索字符串。
1 | public class LoginActivity extends AppCompatActivity { |
LoginActivity.a(obj, obj).equals(obj2)分析之后可得obj2来自password,由从username得来的obj,经过a函数运算之后得到一个值,这两个值相等则登录成功。
所以这里关键是hook a函数的参数,最简脚本如下。
1 | //打印参数、返回值 |
观察输入和输出,这里也可以直接主动调用。
1 | function login() { |
1 | ... |
接下来是第一关
1 | public abstract class BaseFridaActivity extends AppCompatActivity implements View.OnClickListener { |
关键函数在a(b("请输入密码:")).equals("R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL=")
这里应该直接hook a,让其返回值为R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL=就可以进入下一关了。
1 | function ch1() { |
Frida hook : 主动调用静态/非静态函数 以及 设置静态/非静态成员变量的值
总结:
- 静态函数直接use class然后调用方法,非静态函数需要先choose实例然后调用
- 设置成员变量的值,写法是
xx.value = yy,其他方面和函数一样。 - 如果有一个成员变量和成员函数的名字相同,则在其前面加一个
_,如_xx.value = yy
然后是第二关
1 | public class FridaActivity2 extends BaseFridaActivity { |
这一关的关键在于下面的if判断要为false,则static_bool_var和this.bool_var都要为true。
1 | if (!static_bool_var || !this.bool_var) { |
这样就要调用setBool_var和setStatic_bool_var两个函数了。
1 | function ch2() { |
接下来是第三关
1 | public class FridaActivity3 extends BaseFridaActivity { |
关键还是让if (!static_bool_var || !this.bool_var || !this.same_name_bool_var)为false,则三个变量都要为true
1 | function ch3() { |
这里要注意类里有一个成员函数和成员变量都叫做same_name_bool_var,这种时候在成员变量前加一个_,修改值的形式为xx.value = yy
Frida hook : 内部类,枚举类的函数并hook,trace原型1
总结:
- 对于内部类,通过
类名$内部类名去use或者choose - 对use得到的clazz应用反射,如
clazz.class.getDeclaredMethods()可以得到类里面声明的所有方法,即可以枚举类里面的所有函数。
接下来是第四关
1 | public class FridaActivity4 extends BaseFridaActivity { |
这一关的关键是让if (!InnerClasses.check1() || !InnerClasses.check2() || !InnerClasses.check3() || !InnerClasses.check4() || !InnerClasses.check5() || !InnerClasses.check6())中的所有check全部返回true。
其实这里唯一的问题就是寻找内部类InnerClasses,对于内部类的hook,通过类名$内部类名去use。
1 | function ch4() { |
利用反射,获取类中的所有method声明,然后字符串拼接去获取到方法名,例如下面的check1,然后就可以批量hook,而不用像我上面那样一个一个写。
1 | var inner_classes = Java.use("com.example.androiddemo.Activity.FridaActivity4$InnerClasses") |
Frida hook : hook动态加载的dex,与查找interface,
总结:
- 通过
enumerateClassLoaders来枚举加载进内存的classloader,再loader.findClass(xxx)寻找是否包括我们想要的interface的实现类,最后通过Java.classFactory.loader = loader来切换classloader,从而加载该实现类。
第五关比较有趣,它的check函数是动态加载进来的。
java里有interface的概念,是指一系列抽象的接口,需要类来实现。
1 | package com.example.androiddemo.Dynamic; |
这里有个loaddex其实就是先从资源文件加载classloader到内存里,再loadClass DynamicCheck,创建出一个实例,最终调用这个实例的check。
所以现在我们就要先枚举class loader,找到能实例化我们要的class的那个class loader,然后把它设置成Java的默认class factory的loader。
现在就可以用这个class loader来使用.use去import一个给定的类。
1 | function ch5() { |
todo有一个疑问
https://github.com/frida/frida/issues/1049
Frida hook : 枚举class,trace原型2
总结: 通过Java.enumerateLoadedClasses来枚举类,然后name.indexOf(str)过滤一下并hook。
接下来是第六关
1 | import com.example.androiddemo.Activity.Frida6.Frida6Class0; |
这关是import了一些类,然后调用类里的静态方法,所以我们枚举所有的类,然后过滤一下,并把过滤出来的结果hook上,改掉其返回值。
1 | function ch6() { |
Frida hook : 搜索interface的具体实现类
利用反射得到类里面实现的interface数组,并打印出来。
1 | function more() { |
Frida hook基础(二)
- spawn/attach
- 各种主动调用
- hook函数和hook构造函数
- 调用栈/简单脚本
- 动态加载自己的dex
题目下载地址:
https://github.com/tlamb96/kgb_messenger
spawn/attach
firda的-f参数代表span启动frida -U -f com.tlamb96.spetsnazmessenger -l frida_russian.js --no-pause
1 | /* access modifiers changed from: protected */ |
这个题目比较简单,但是因为这个check是在onCreate里,所以app刚启动就自动检查,所以这里需要用spawn的方式去启动frida脚本hook,而不是attach。
这里有两个检查,一个是检查property的值,一个是检查str的值。
分别从System.getProperty和System.getenv里获取,hook住这两个函数就行。
这里要注意从资源文件里找到User的值。
1 | function main() { |
接下来进入到login功能
1 | public void onLogin(View view) { |
从资源文件里找到username,密码则是要算一个j()函数,要让它返回true,顺便打印一下i函数toast到界面的flag。
1 | Java.use("com.tlamb96.kgbmessenger.LoginActivity").j.implementation = function () { |
Frida hook :hook构造函数/打印栈回溯
总结:
hook构造函数实现通过use取得类,然后clazz.$init.implementation = callback hook构造函数。
我们先学习一下怎么hook构造函数。
1 | add(new com.tlamb96.kgbmessenger.b.a(R.string.katya, "Archer, you up?", "2:20 am", true)); |
用$init来hook构造函数
1 | Java.use("com.tlamb96.kgbmessenger.b.a").$init.implementation = function (i, str1, str2, z) { |
Frida hook : 打印栈回溯
打印栈回溯
1 | function printStack(name) { |
输出就是这样
1 | [Google Pixel::com.tlamb96.spetsnazmessenger]-> 2131558449 111 02:27 下午 false |
Frida hook : 手动加载dex并调用
总结:
编译出dex之后,通过Java.openClassFile("xxx.dex").load()加载,这样我们就可以正常通过Java.use调用里面的方法了。
现在我们来继续解决这个问题。
1 | public void onSendMessage(View view) { |
新的一关是一个聊天框,分析一下代码可知,obj是我们输入的内容,输入完了之后,加到一个this.o的ArrayList里。
关键的if判断就是if (a(obj.toString()).equals(this.p))和if (b(obj.toString()).equals(this.r)),所有hook a和b函数,让它们的返回值等于下面的字符串即可。
1 | private String p = "V@]EAASB\u0012WZF\u0012e,a$7(&am2(3.\u0003"; |
但实际上这题比我想象中的还要麻烦,这题的逻辑上是如果通过了a和b这两个函数的计算,等于对应的值之后,会把用来计算的obj的值赋值给q和s,然后根据这个q和s来计算出最终的flag。
所以如果不逆向算法,通过hook的方式通过了a和b的计算,obj的值还是错误的,也计算不出正确的flag。
这样就逆向一下算法好了,先自己写一个apk,用java去实现注册机。
可以直接把class文件转成dex,不复述,我比较懒,所以我直接解压apk找到classes.dex,并push到手机上。
然后用frida加载这个dex,并调用里面的方法。
1 | var dex = Java.openClassFile("/data/local/tmp/classes.dex").load(); |
Frida打印与参数构造
- 数组/(字符串)对象数组/gson/Java.array
- 对象/多态、强转Java.cast/接口Java.register
- 泛型、List、Map、Set、迭代打印
- non-ascii 、 child-gating、rpc 上传到PC上打印
char[]/[Object Object]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19Log.d("SimpleArray", "onCreate: SImpleArray");
char arr[][] = new char[4][]; // 创建一个4行的二维数组
arr[0] = new char[] { '春', '眠', '不', '觉', '晓' }; // 为每一行赋值
arr[1] = new char[] { '处', '处', '闻', '啼', '鸟' };
arr[2] = new char[] { '夜', '来', '风', '雨', '声' };
arr[3] = new char[] { '花', '落', '知', '多', '少' };
Log.d("SimpleArray", "-----横版-----");
for (int i = 0; i < 4; i++) { // 循环4行
Log.d("SimpleArraysToString", Arrays.toString(arr[i]));
Log.d("SimpleStringBytes", Arrays.toString (Arrays.toString (arr[i]).getBytes()));
for (int j = 0; j < 5; j++) { // 循环5列
Log.d("SimpleArray", Character.toString(arr[i][j])); // 输出数组中的元素
}
if (i % 2 == 0) {
Log.d("SimpleArray", ",");// 如果是一、三句,输出逗号
} else {
Log.d("SimpleArray", "。");// 如果是二、四句,输出句号
}
}这里的1
2
3
4
5
6
7
8
9
10
11
12
13
14
15Java.openClassFile("/data/local/tmp/r0gson.dex").load();
const gson = Java.use('com.r0ysue.gson.Gson');
Java.use("java.lang.Character").toString.overload('char').implementation = function(char){
var result = this.toString(char);
console.log("char,result",char,result);
return result;
}
Java.use("java.util.Arrays").toString.overload('[C').implementation = function(charArray){
var result = this.toString(charArray);
console.log("charArray,result:",charArray,result)
console.log("charArray Object Object:",gson.$new().toJson(charArray));
return result;
}[C是JNI函数签名
byte[]
1 | Java.openClassFile("/data/local/tmp/r0gson.dex").load(); |
java array构造
如果不只是想打印出结果,而是要替换原本的参数,就要先自己构造出一个charArray,使用Java.arrayAPI
1 | /** |
1 | Java.use("java.util.Arrays").toString.overload('[C').implementation = function(charArray){ |
可以用来构造参数重发包,用在爬虫上。
类的多态:转型/Java.cast
可以通过getClass().getName().toString()来查看当前实例的类型。
找到一个instance,通过Java.cast来强制转换对象的类型。
1 | /** |
1 | public class Water { // 水 类 |
1 | var JuiceHandle = null ; |
interface/Java.registerClass
1 | public interface liquid { |
frida提供能力去创建一个新的java class
1 | /** |
首先获取要实现的interface,然后调用registerClass来实现interface。
1 | Java.perform(function(){ |
成员内部类/匿名内部类
看smali或者枚举出来的类。
hook enum
关于java枚举,从这篇文章了解。
https://www.cnblogs.com/jingmoxukong/p/6098351.html
1 | enum Signal { |
1 | Java.perform(function(){ |
打印hash map
1 | Java.perform(function(){ |
打印non-ascii
https://api-caller.com/2019/03/30/frida-note/#non-ascii
类名非ASCII字符串时,先编码打印出来, 再用编码后的字符串去 hook.
1 | //场景hook cls.forName寻找目标类的classloader。 |
Frida native hook : NDK开发入门
https://www.jianshu.com/p/87ce6f565d37
- extern “C”与名称修饰
- 通过c++filt工具可以直接还原得到原来的函数名
- https://zh.wikipedia.org/zh-hans/%E5%90%8D%E5%AD%97%E4%BF%AE%E9%A5%B0
- 通过extern “C”导出的JNI函数不会被name mangling
- JNI参数与基本类型
- 第一个NDK程序
- JNI log
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
extern "C" JNIEXPORT jstring JNICALL
Java_myapplication_example_com_ndk_1demo_MainActivity_stringFromJNI(
JNIEnv *env,
jobject /* this */) {
std::string hello = "Hello from C++";
LOGD("sakura1328");
return env->NewStringUTF(hello.c_str());
}
...
public class MainActivity extends AppCompatActivity {
private static final String TAG = "sakura";
// Used to load the 'native-lib' library on application startup.
static {
System.loadLibrary("native-lib");
}
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
// Example of a call to a native method
TextView tv = (TextView) findViewById(R.id.sample_text);
tv.setText(stringFromJNI());
Log.d(TAG, stringFromJNI());
}
/**
* A native method that is implemented by the 'native-lib' native library,
* which is packaged with this application.
*/
public native String stringFromJNI();
}
Frida native hook : JNIEnv和反射
以jni字符串来掌握基本的JNIEnv用法
1 | public native String stringWithJNI(String context); |
Java反射
总结: 多去读一下java的反射API。
- 查找调用各种API接口、JNI、frida/xposed原理的一部分
- 反射基本API
- 反射修改访问控制、修改属性值
- JNI so调用反射进入java世界
- xposed/Frida hook原理
这里其实有一个伏笔,就是为什么我们要trace artmethod,hook artmethod是因为有些so混淆得非常厉害,然后也就很难静态分析看出so里面调用了哪些java函数,也不是通过类似JNI的GetMethodID这样来调用的。
而是通过类似findclass这种方法先得到类,然后再反射调用app里面的某个java函数。
所以去hook它执行的位置,每一个java函数对于Android源码而言都是一个artmethod结构体,然后hook拿到artmethod实例以后调用类函数,打印这个函数的名称。
1 | public class MainActivity extends AppCompatActivity { |
memory list modules
Frida反调试
这一节的主要内容就是关于反调试的原理和如何破解反调试,重要内容还是看文章理解即可。
因为我并不需要做反调试相关的工作,所以部分内容略过。
- Frida反调试与反反调试基本思路
(Java层API、Native层API、Syscall)
Frida native hook : 符号hook JNI、art&libc
Native函数的Java Hook及主动调用
对native函数的java层hook和主动调用和普通java函数完全一致,略过。
jni.h头文件导入
导入jni.h,先search一下这个文件在哪。
1 | sakura@sakuradeMacBook-Pro:~/Library/Android/sdk$ find ./ -name "jni.h" |
1 | Error /Users/sakura/Library/Android/sdk/ndk-bundle/sysroot/usr/include/jni.h,27: Can't open include file 'stdarg.h' |
报错,所以拷贝一份jni.h出来
将这两个头文件导入删掉
导入成功
现在就能识别_JNIEnv了,如图
JNI函数符号hook
先查看一下导出了哪些函数。
1 | extern "C" JNIEXPORT jstring JNICALL |
这里有几个需要的API。
- 首先是找到是否so被加载,通过
Process.enumerateModules(),这个API可以枚举被加载到内存的modules。 - 然后通过
Module.findBaseAddress(module name)来查找要hook的函数所在的so的基地址,如果找不到就返回null。 - 然后可以通过
findExportByName(moduleName: string, exportName: string): NativePointer来查找导出函数的绝对地址。如果不知道moduleName是什么,可以传入一个null进入,但是会花费一些时间遍历所有的module。如果找不到就返回null。 - 找到地址之后,就可以拦截function/instruction的执行。通过
Interceptor.attach。使用方法见下代码。 - 另外为了将jstring的值打印出来,可以使用jenv的函数getStringUtfChars,就像正常的写native程序一样。
Java.vm.getEnv().getStringUtfChars(args[2], null).readCString()
这里我是循环调用的string_with_jni,如果不循环调用,那就要主动调用一下这个函数,或者hook dlopen。
hook dlopen的方法在这个代码可以参考。
1 | function hook_native() { |
1 | libnative_addr is: 0x7a0842f000 |
这里还写了一个hook env里的GetStringUTFChars的代码,和上面一样,不赘述了。
1 | function hook_art(){ |
JNI函数参数、返回值打印和替换
- libc函数符号hook
- libc函数参数、返回值打印和替换
hook libc的也和上面的完全一样,也不赘述了。
所以看到这里,究其本质就是找到导出符号和它所在的so基地址了。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23function hook_libc(){
var pthread_create_addr = null;
var symbols = Process.findModuleByName("libc.so").enumerateSymbols();
for(var i = 0;i<symbols.length;i++){
var symbol = symbols[i].name;
if(symbol.indexOf("pthread_create")>=0){
//console.log(symbols[i].name);
//console.log(symbols[i].address);
pthread_create_addr = symbols[i].address;
}
}
console.log("pthread_create_addr,",pthread_create_addr);
Interceptor.attach(pthread_create_addr,{
onEnter:function(args){
console.log("pthread_create_addr args[0],args[1],args[2],args[3]:",args[0],args[1],args[2],args[3]);
},onLeave:function(retval){
console.log("retval is:",retval)
}
})
}
Frida native hook : JNI_Onload/动态注册/inline_hook/native层调用栈打印
https://github.com/android/ndk-samples
JNI_Onload/动态注册原理
- JNI_Onload/动态注册/Frida hook RegisterNative
详细的内容参见我写的文章,这里只给出栗子。
1 | Log.d(TAG,stringFromJNI2()); |
1 | JNIEXPORT jstring JNICALL stringFromJNI2( |
Frida hook RegisterNative
使用下面这个脚本来打印出RegisterNatives的参数,这里需要注意的是使用了enumerateSymbolsSync,它是enumerateSymbols的同步版本。
另外和我们之前通过Java.vm.tryGetEnv().getStringUtfChars来调用env里的方法不同。
这里则是通过将之前找到的getStringUtfChars函数地址和参数信息封装起来,直接调用,具体的原理我没有深入分析,先记住用法。
原理其实是一样的,都是根据符号找到地址,然后hook符号地址,然后打印参数。
1 | declare const NativeFunction: NativeFunctionConstructor; |
1 | var ishook_libart = false; |
结果很明显的打印了出来,包括动态注册的函数的名字,函数签名,加载地址和在so里的偏移量,
1 | [RegisterNatives] java_class: myapplication.example.com.ndk_demo.MainActivity name: stringFromJNI2 sig: ()Ljava/lang/String; fnPtr: 0x79f8698484 module_name: libnative-lib.so module_base: 0x79f8691000 offset: 0x7484 |
最后测试一下yang开源的一个hook art的脚本,很有意思,trace出了非常多的需要的信息。
1 | frida -U --no-pause -f package_name -l hook_art.js |
native层调用栈打印
直接使用frida提供的接口打印栈回溯。
1 | Interceptor.attach(f, { |
效果如下,我加到了hook registerNative的地方。
1 | [Google Pixel::myapplication.example.com.ndk_demo]-> RegisterNatives called from: |
主动调用去进行方法参数替换
使用Interceptor.replace,不赘述。主要目的还是为了改掉函数原本的执行行为,而不是仅仅打印一些信息。
inline hook
inline hook简单理解就是不是hook函数开始执行的地方,而是hook函数中间执行的指令
整体来说没什么区别,就是把找函数符号地址改成从so里找到偏移,然后加到so基地址上就行,注意一下它的attach的callback。
1 | /** |
我的so是自己编译的,具体的汇编代码如下,总之这里很明显在775C时,x0里保存的是一个指向”sakura”这个字符串的指针。(其实我也不是很看得懂arm64了已经,就随便hook了一下)
所以hook这个指令,然后Memory.readCString(this.context.x0);打印出来,结果如下
1 | .text:000000000000772C ; __unwind { |
1 | function inline_hook() { |
1 | Attaching... |
到这里已经可以总结一下我目前的学习了,需要补充一些frida api的学习,比如NativePointr里居然有个readCString,这些API是需要再看看的。
Frida native hook : Frida hook native app实战
- 破解Frida全端口检测的native层反调试
- hook libc的pthread_create函数
- 破解TracePid的native反调试
- target: https://gtoad.github.io/2017/06/25/Android-Anti-Debug/
- solve : hook libc的fgets函数
- native层修改参数、返回值
- 静态分析
JNI_Onload - 动态trace主动注册 & IDA溯源
- 动态trace JNI、libc函数 & IDA溯源
- native层主动调用、打调用栈
- 主动调用libc读写文件
看下logcat
1 | n/u0a128 for activity com.gdufs.xman/.MainActivity |
1 | sakura@sakuradeMacBook-Pro:~/gitsource/frida-agent-example/agent$ frida -U --no-pause -f com.gdufs.xman -l hook_reg.js |
- initSN
感觉意思应该是从/sdcard/reg.dat里读一个值,然后和EoPAoY62@ElRD进行比较。
最后setValue,从导出函数看一下,最后推测第一个参数应该是JNIEnv *env,然后就看到了给字段m赋值。
- saveSN
这个看上去就是根据str的值,去变换”W3_arE_whO_we_ARE”字符串,然后写入到/sdcard/reg.dat里
结合一下看,只要initSN检查到/sdcard/reg.dat里是EoPAoY62@ElRD,应该就会给m设置成1。
只要m的值是1,就能走到work()函数的逻辑。
1 | function main() { |
这样我们继续看work的逻辑
v2是从getValue得到的,看上去就是m字段的值,此时应该是1,一会hook一下看看。
1 | [NewStringUTF] bytes:输入即是flag,格式为xman{……}! |
callWork里又调用了work函数,死循环了。
那看来看去最后还是回到了initSN,那其实我们看的顺序似乎错了。
理一下逻辑,n2执行完保存到文件,然后n1 check一下,所以最后还是要逆n2的算法,pass。
Frida trace四件套
jni trace : trace jni
https://github.com/chame1eon/jnitrace
1 | pip install jnitrace |
usage: jnitrace [options] -l libname target
默认应该是spawn运行的,
-m来指定是spawn还是attach-b指定是fuzzy还是accurate-i <regex>指定一个正则表达式来过滤出方法名,例如-i Get -i RegisterNatives就会只打印出名字里包含Get或者RegisterNatives的JNI methods。-e <regex>和-i相反,同样通过正则表达式来过滤,但这次会将指定的内容忽略掉。-I <string>trace导出的方法,jnitrace认为导出的函数应该是从Java端能够直接调用的函数,所以可以包括使用RegisterNatives来注册的函数,例如-I stringFromJNI -I nativeMethod([B)V,就包括导出名里有stringFromJNI,以及使用RegisterNames来注册,并带有nativeMethod([B)V签名的函数。-o path/output.json,导出输出到文件里。-p path/to/script.js,用于在加载jnitrace脚本之前将指定路径的Frida脚本加载到目标进程中,这可以用于在jnitrace启动之前对抗反调试。-a path/to/script.js,用于在加载jnitrace脚本之后将指定路径的Frida脚本加载到目标进程中--ignore-env,不打印所有的JNIEnv函数--ignore-vm,不打印所有的JavaVM函数1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65sakura@sakuradeMacBook-Pro:~/Desktop/lab/alpha/tools/android/frida_learn/0620/0620/xman/resources/lib/armeabi-v7a$ jnitrace -l libmyjni.so com.gdufs.xman
Tracing. Press any key to quit...
Traced library "libmyjni.so" loaded from path "/data/app/com.gdufs.xman-X0HkzLhbptSc0tjGZ3yQ2g==/lib/arm".
/* TID 28890 */
355 ms [+] JavaVM->GetEnv
355 ms |- JavaVM* : 0xefe99140
355 ms |- void** : 0xda13e028
355 ms |: 0xeff312a0
355 ms |- jint : 65542
355 ms |= jint : 0
355 ms ------------------------Backtrace------------------------
355 ms |-> 0xda13a51b: JNI_OnLoad+0x12 (libmyjni.so:0xda139000)
/* TID 28890 */
529 ms [+] JNIEnv->FindClass
529 ms |- JNIEnv* : 0xeff312a0
529 ms |- char* : 0xda13bdef
529 ms |: com/gdufs/xman/MyApp
529 ms |= jclass : 0x81 { com/gdufs/xman/MyApp }
529 ms ------------------------Backtrace------------------------
529 ms |-> 0xda13a539: JNI_OnLoad+0x30 (libmyjni.so:0xda139000)
/* TID 28890 */
584 ms [+] JNIEnv->RegisterNatives
584 ms |- JNIEnv* : 0xeff312a0
584 ms |- jclass : 0x81 { com/gdufs/xman/MyApp }
584 ms |- JNINativeMethod* : 0xda13e004
584 ms |: 0xda13a3b1 - initSN()V
584 ms |: 0xda13a1f9 - saveSN(Ljava/lang/String;)V
584 ms |: 0xda13a4cd - work()V
584 ms |- jint : 3
584 ms |= jint : 0
584 ms ------------------------Backtrace------------------------
584 ms |-> 0xda13a553: JNI_OnLoad+0x4a (libmyjni.so:0xda139000)
/* TID 28890 */
638 ms [+] JNIEnv->FindClass
638 ms |- JNIEnv* : 0xeff312a0
638 ms |- char* : 0xda13bdef
638 ms |: com/gdufs/xman/MyApp
638 ms |= jclass : 0x71 { com/gdufs/xman/MyApp }
638 ms -----------------------Backtrace-----------------------
638 ms |-> 0xda13a377: setValue+0x12 (libmyjni.so:0xda139000)
/* TID 28890 */
688 ms [+] JNIEnv->GetStaticFieldID
688 ms |- JNIEnv* : 0xeff312a0
688 ms |- jclass : 0x71 { com/gdufs/xman/MyApp }
688 ms |- char* : 0xda13be04
688 ms |: m
688 ms |- char* : 0xda13be06
688 ms |: I
688 ms |= jfieldID : 0xf1165004 { m:I }
688 ms -----------------------Backtrace-----------------------
688 ms |-> 0xda13a38d: setValue+0x28 (libmyjni.so:0xda139000)
strace : trace syscall
https://linuxtools-rst.readthedocs.io/zh_CN/latest/tool/strace.html
frida-trace : trace libc(or more)
https://frida.re/docs/frida-trace/
Usage:frida-trace [options] target
1 | frida-trace -U -i "strcmp" -f com.gdufs.xman |
- art trace: hook artmethod
hook_artmethod : trace java函数调用
https://github.com/lasting-yang/frida_hook_libart/blob/master/hook_artmethod.js
修改AOSP源码打印
Frida native hook : init_array开发和自动化逆向
init_array原理
常见的保护都会在init_array里面做,关于其原理,主要阅读以下文章即可。
IDA静态分析init_array
1 | // 编译生成后在.init段 [名字不可更改] |
IDA快捷键shift+F7找到segment,然后就可以找到.init_array段,然后就可以找到里面保存的函数地址。
IDA动态调试so
打开要调试的apk,找到入口
1
2
3
4sakura@sakuradeMacBook-Pro:~/.gradle/caches$ adb shell dumpsys activity top | grep TASK
TASK com.android.systemui id=29 userId=0
TASK null id=26 userId=0
TASK com.example.ndk_demo id=161 userId=0启动apk,并让设备将处于一个Waiting For Debugger的状态
adb shell am start -D -n com.example.ndk_demo/.MainActivity执行android_server64
1
2
3sailfish:/data/local/tmp # ./android_server64
IDA Android 64-bit remote debug server(ST) v1.22. Hex-Rays (c) 2004-2017
Listening on 0.0.0.0:23946...新开一个窗口使用forward程序进行端口转发:
adb forward tcp:23946 tcp:23946
adb forward tcp:<本地机器的网络端口号> tcp:<模拟器或是真机的网络端口号>
例:adb [-d|-e|-s
打开IDA,选择菜单Debugger -> Attach -> Remote ARM Linux/Android debugger
打开IDA,选择菜单Debugger -> Process options, 填好,然后选择进程去attach。
查看待调试的进程
adb jdwp1
2sakura@sakuradeMacBook-Pro:~$ adb jdwp
10436转发端口
adb forward tcp:8700 jdwp:10436,将该进程的调试端口和本机的8700绑定。jdb连接调试端口,从而让程序继续运行
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700找到断点并断下。
打开module
找到linker64
找到call array函数
下断并按F9断下
最终我确实可以调试到.init_array的初始化,具体的代码分析见Linker学习笔记这里。
init_array && JNI_Onload “自吐”
JNI_Onload
目标是找到动态注册的函数的地址,因为这种函数没有导出。
1 | JNINativeMethod methods[] = { |
首先jnitrace -m spawn -i "RegisterNatives" -l libnative-lib.so com.example.ndk_demo
1 | 525 ms [+] JNIEnv->RegisterNatives |
然后objection -d -g com.example.ndk_demo run memory list modules explore | grep demo
1 | sakura@sakuradeMacBook-Pro:~$ objection -d -g com.example.ndk_demo run memory list modules explore | grep demo |
offset = 0x79f00d36b0 - 0x79f00c4000 = 0xf6b0
这样就找到了
init_array
没有支持arm64,可以在安装app的时候adb install --abi armeabi-v7a强制让app运行在32位模式
这个脚本整体来说就是hook callfunction,然后打印出init_array里面的函数地址和参数等。
从源码看,关键就是call_array这里调用的call_function,第一个参数代表这是注册的init_array里面的function,第二个参数则是init_array里存储的函数的地址。
1 | template <typename F> |
1 | function LogPrint(log) { |
我调试了一下linker64,因为没有导出call_function的地址,所以不能直接hook符号名,而是要根据偏移去hook,以后再说。
其实要看init_array,直接shift+F7去segment里面找.init_array段就可以了,这里主要是为了反反调试,因为可能反调试会加在init_array里,hook call_function就可以让它不加载反调试程序。
native层未导出函数主动调用(任意符号和地址)
现在我想要主动调用sakura_add来打印值,可以ida打开找符号,或者根据偏移,总之最终用这个NativePointer指针来初始化一个NativeFunction来调用。
1 | extern "C" |
1 | function main() { |
C/C++ hook
//todo
Native/JNI层参数打印和主动调用参数构造
jni的基本类型要通过调用jni相关的api转化成c++对象,才能打印和调用。
jni主动调用的时候,参数构造有两种方式,一种是Java.vm.getenv,另一种是hook获取env之后来调用jni相关的api构造参数。
C/C++编成so并引入Frida调用其中的函数
致谢
本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下。