native层函数没有导出时,如何获得相应函数地址?

原创 已于 2023-05-26 23:39:04 修改 · 942 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #python #Java #javascript

于 2023-05-26 23:28:21 首次发布
文章讲述了在Android应用中,由于native函数的地址在每次App运行时可能会变化,但相对于基地址的偏移保持不变。通过Frida的Module.findBaseAddress和add方法可以获取函数地址。以一个具体的例子展示了如何动态注册native方法stringFromJNI3,并使用Frida的hook(RegisterNatives)脚本来找到函数的偏移地址,然后编写hookNative.js脚本进行函数拦截。强调了App重新编译可能导致函数偏移地址改变,需要更新hook脚本。

前言

每次App重新运行后native函数加载的绝对地址是会变化的,唯一不变的是函数相对于基地址的偏移,因此我们可以在获取模块的基地址后加上固定的偏移地址获取相应函数的地址,Frida中也正好提供了这种方式:先通过Module.findBaseAddress(name)或Module.getBaseAddress(name)两个API函数获取对应模块的基地址,然后通过add(offset)函数传入固定的偏移offset获取最后的函数绝对地址。以下使用stringFromJNI3中的stringFromJNI3作为具体案例讲解下思路和注意的点。

动态注册的函数

// MainActivity.java
package com.roysue.ndktest;

import androidx.appcompat.app.AppCompatActivity;

import android.os.Bundle;
import android.util.Log;
import android.widget.TextView;

import com.roysue.ndktest.databinding.ActivityMainBinding;

public class MainActivity extends AppCompatActivity {
   
   

    // Used to load the 'ndktest' library on application startup.
    static {
   
   
        System.loadLibrary("ndktest");
    }

    private ActivityMainBinding binding;

    @Override
    protected void onCreate(Bundle savedInstanceState) {
   
   
        super.onCreate(savedInstanceState);

        binding = ActivityMainBinding.inflate(getLayoutInflater()
最低0.47元/天 解锁文章
安卓逆向frida之sohook分析关键函数定位探究
云霄IT的博客
07-28 3629
【代码】安卓逆向frida之sohook分析关键函数定位探究。
手戳shellcode编写 第一课(动态函数地址调用函数
啊渊的专栏
08-21 741
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
定位未导出函数地址(SHCreateProcess)
myjisgreat的专栏
06-13 3453
定位未导出函数地址(SHCreateProcess) 搬运自我的百度空间,文章基于windows7 64位   我们要Hook shell32.dll的SHCreateProcess这个函数,苦于他没有导出,也无从知道地址。 其实我们还是有办法的。windbg有功能叫做栈回朔技术,可以看到函数的调用者,函数的调用者的调用者,函数的调用
Frida框架 -So-API(常用函数总结)
SXXYNHHXX的博客
05-19 2283
Hook libart 来Hook jni相关函数。inlineHook与寄存器Hook。frida API 写文件。Hook libc 写文件。so主动调用任意函数
寻找未导出函数函数地址
weixin_30433075的博客
04-19 517
今天读了一篇 如何寻找未导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,未导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数...
获取未导出的内核函数地址
09-10 2236
使用未导出的内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出函数地址,   当然,我们首先要知道函数的特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
【开发工具】如何查看.dll文件函数接口?
少莫千华
10-12 4326
全称。功能:扫描Windows模块,构建依赖模块次树图,列出模块导入和导出函数。用途:排除与加载和执行模块相关的系统错误,检测应用程序问题(如缺少模块、模块无效、导入/导出不匹配等)。下载地址。能够检查COFF对象文件、可执行文件和动态链接库(DLL)的标准库。通过该工具,用户可以获取关于二进制文件的详细信息,包括其结构、符号表、导入和导出表等。
Frida 静态分析和Hook Native函数
小龙在线
12-29 1851
Java调用so package com.gdufs.xman; import android.app.Application; import android.util.Log; public class MyApp extends Application { public static int m = 0; public native void initSN(); public native void saveSN(String str); public nati
3.frida NativeHook
高新园养鸡场
03-12 3002
测试用例 本次的hook代码都用 frida-tools方式 书写。首先写一个简单的程序用来测试。后续的测试就在这个程序上小修小改,不做赘述。 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xml
获取内核未导出函数地址
 ̄Newly_Coder's | Notes
12-13 3655
ULONG GetFunctionAddress(IN ULONG FirstFeature,IN ULONG SecondFeature,IN ULONG ThirdFeature,IN ULONG FourthFeature) { NTSTATUS NtStatus=STATUS_SEVERITY_SUCCESS; ULONG SystemInformationLength=0; ULONG Index=0; ULONG Loop=0; ULONG ModuleBeginAddre
win10 x64获取未导出内核函数地址
吾无法无天的博客
03-18 2449
用Sunday算法进行特征码匹配 .h文件: //系统信息类 typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation = 0, //系统的基本信息 SystemProcessorInformation, // obsolete...delete SystemPerformanceI...
获取windows未导出函数地址标准方法
CoderAldrich的专栏
03-09 2096
http://www.4hou.com/system/10590.htmlhttps://msdn.microsoft.com/zh-cn/library/ms679291.aspxhttps://bbs.pediy.com/thread-188881.htmhttps://bbs.pediy.com/thread-189324.htm 
内核特征码搜索 获取未导出函数
zhuhuibeishadiao
06-19 3945
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
[安卓逆向]native hook 排查过程 关于Module.findBaseAddress(“x.so”) 返回null frida找不到so文件的解决办法
zzxx191z的博客
06-16 882
通过包名找到进程号,然后通过进程号去找基地址。但是frida 的遍历地址在此之后。导致没有办法遍历到so文件。ps | grep 包名。给看见的小伙伴留个参考,
Windows获取模块基地址
langshanglibie的专栏
05-29 9063
获取模块的基地址有如下几种方法: 1. 模块句柄就是模块基地址(或称模块加载地址),直接将模块句柄转换为模块基地址 2. 根据模块中的地址得到模块句柄,模块句柄就是基地址 GetModuleHandleEx 3. 根据模块中的地址得到这个地址所属模块的基地址 但是 SymGetModuleInfoW64 总是运行失败 4. 使用 VirtualQueryEx 函数 5. 根据进程句...
Android逆向分析——得到SO基址的方法
我的博客
07-13 6443
获取APP中SO文件的基址 0、准备工作 电脑: Window10 手机: AndroidPhone Redmi Note 4x Version7.0 Root 环境: Java 1.8.0_121、ADB、Python、Frida 调试: IDA V6.8 1、第①种:使用命令行查看so文件基址 1.1 将apk软件安装到手机上 可通过adb命令安装,命令: adb install HookTestDemo.apk 1.2 在手机上运行该AP...
调用so中未导出函数的两种方法
键盘的起始页
02-26 3660
typedef void (*PrintTest)() ; LOGW("handc 00000"); void *hand = 0;//dlopen("/data/data/com.test.secure/libhts.so", RTLD_LAZY ); //我编译so为64位,所以dlopen也需要是64位的。(同ps -Z进程不能是untrusted_app) vo...
TMS320C6472 CSL_tmrGetBaseAddress.c
ruan_sjtu的专栏
11-01 845
#include #include  CSL_Status CSL_tmrGetBaseAddress(     CSL_InstNum       tmrNum,     CSL_TmrParam*          pTmrParam,     CSL_TmrBaseAddress*    pBaseAddress  )  {
安卓运行原理以及hook so库,hook启动阶段和重载
weixin_44154094的博客
08-31 1924
1.原理 2.常用模块 hook so库 Module模块 Module.findExportByName(moduleName|null, exportName) moduleName:lib名字 exportName:函数名字 返回exportName的地址 Module.findBaseAddress(moduleName) moduleName:lib名字 返回lib的基地址 Process模块 Process.findModuleByAddress(address) address
如何查看dll导出函数名称?
最新发布
05-30
<think>好的,用户想了解如何查看DLL文件中导出函数名称,以便在Qt工程中正确调用第三方库。根据之前的对话,用户已经知道需要显式加载DLL,但可能遇到了如何确定函数名的问题。现在需要详细说明工具和方法。首先,用户提到的引用中提到了Dependency Walker(depends.exe),这是一个常用的工具。需要详细说明使用步骤,包括下载、打开DLL、查看导出函数部分。同,引用里还提到了dumpbin工具,这是Visual Studio自带的命令行工具,可以列出导出函数。这部分需要分步骤说明,包括如何打开VS开发人员命令提示符,运行命令。另外,用户可能使用的是其他工具,比如Objdump(MinGW/GCC)或第三方工具如PE Explorer,这些可以作为补充方法。需要简要介绍这些工具的用法,确保用户有多个选择。注意事项部分,需要强调调用约定和名称修饰的问题,比如C++的name mangling会导致函数名复杂,这候可能需要使用extern "C"或者查看修饰后的名称。同,位数匹配(32/64位)也很重要,否则加载会失败。 最后,相关问题需要覆盖用户可能的后续问题,比如如何处理C++导出的类,如何跨平台加载,或者如何逆向分析没有文档的DLL。这些扩展问题能帮助用户更全面地解决问题。</think>### 如何查看DLL导出函数名称 通过以下工具和方法可准确列出DLL文件中导出函数名称,为Qt工程动态加载提供必要信息: --- #### 一、使用 **Dependency Walker**(推荐) 1. **下载工具** - 官网地址:[Dependency Walker Home Page](http://www.dependencywalker.com/) - 支持Windows系统,绿色版无需安装 2. **查看导出函数** ```plaintext 1. 打开depends.exe 2. 菜单栏选择 文件 → 打开 → 选择目标DLL 3. 在右侧"Export Functions"(E列)查看所有导出函数 ``` - **函数名称显示规则**: - C语言导出函数直接显示原始名称(如`add`)[^2] - C++导出函数显示修饰名(如`?add@@YAHHH@Z`)[^3] - **关键信息**:函数序号(Ordinal)、调用约定(调用约定符号如`_stdcall`) --- #### 二、使用 **Visual Studio命令工具** 通过`dumpbin`命令直接解析DLL导出表: 1. **打开开发者命令提示符** - 搜索并运行 **"x64 Native Tools Command Prompt"**(根据DLL位数选择32/64位) 2. **执行导出分析** ```bash dumpbin /exports your.dll ``` - **输出示例**: ```plaintext ordinal hint RVA name 1 0 00001000 ?add@@YAHHH@Z 2 1 00002000 func2 ``` - **注意**:若函数名含C++修饰,需结合`.def`文件或逆向分析还原原始名称[^3] --- #### 三、其他工具 1. **Objdump(MinGW/GCC环境)** ```bash objdump -p your.dll | grep "Export" ``` 2. **第三方工具** - **PE Explorer**:商业工具,可解析复杂名称修饰 - **CFF Explorer**:免费工具,支持导出函数反编译 --- ### 四、关键注意事项 1. **C++名称修饰问题** - 若DLL使用C++编写且未用`extern "C"`,需通过修饰名调用[^3] - 示例:`typedef int (*Func)(int);`对应修饰名`?Func@@YAHH@Z` 2. **调用约定匹配** - 导出函数若使用`__stdcall`,名称可能带后缀(如`_add@8`,`8`表示参数总字节数) 3. **位数匹配** - 确保工具与DLL的架构一致(32位工具无法解析64位DLL) --- ### 示例:Qt中加载含修饰名的函数 ```cpp QLibrary lib("mydll.dll"); if (lib.load()) { // 加载C++修饰函数 typedef int (*DecoratedFunc)(int); DecoratedFunc func = (DecoratedFunc)lib.resolve("?add@@YAHHH@Z"); if (func) { int result = func(3, 5); } } ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

诗雅颂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值