Frida API使用(2)

最新推荐文章于 2025-04-28 16:54:43 发布
最新推荐文章于 2025-04-28 16:54:43 发布
阅读量2.4k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Frida系列 Android平台 WINDOWS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/helloworlddm/article/details/107881413

在这里插入图片描述

Frida输出打印

console
setTimeout(function (){
    Java.perform(function (){
      console.log("n[*] enumerating classes...");
      console.log("Frida version:"+Frida.version);
      console.log("Frida heapsize:"+Frida.heapSize);
      console.log("Script runtime:"+Script.runtime);
      console.warn("warn");
      console.error("error");
      Java.choose("android.bluetooth.BluetoothDevice",{
        onMatch: function (instance){
          console.log("[*] "+" android.bluetooth.BluetoothDevice instance found"+" :=> '"+instance+"'");
       //   console.log(Java.cast(instance,Java.use("android.bluetooth.BluetoothDevice") ).getName());
          console.log(instance.getName());
        //  bluetoothDeviceInfo(instance);
        },
        onComplete: function() { console.log("[*] -----");}
      });

    });
  });

通过下面的命令运行程序

frida -U -l hello.js android.process.media –debug --runtime=v8

这里对console.log,console.warn,console.error进行了介绍,望文也可生义。
在这里插入图片描述

Frida.version: property containing the current Frida version, as a string.

Frida.heapSize: dynamic property containing the current size of Frida’s private heap, shared by all scripts and Frida’s own runtime. This is useful for keeping an eye on how much memory your instrumentation is using out of the total consumed by the hosting process.

Script.runtime: string property containing the runtime being used. Either DUK or V8.

hexdump

hexdump(target[, options]): generate a hexdump from the provided ArrayBuffer or NativePointer target, optionally with options for customizing the output.

添加如下的代码:

var libc = Module.findBaseAddress('libc.so');
    console.log(hexdump(libc, {
    offset: 0,
    length: 64,
    header: true,
    ansi: true
  }));

运行:
在这里插入图片描述

send

send(message[, data]): send the JavaScript object message to your Frida-based application (it must be serializable to JSON).

# -*- coding: utf-8 -*-
import frida
import sys

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)

jscode = """
    Java.perform(function () 
    {
        var jni_env = Java.vm.getEnv();
        console.log(jni_env);
        send(jni_env);
    });
 """

process = frida.get_usb_device().attach('android.process.media')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

通过下面的结果可以看出,send输出的是json格式。
在这里插入图片描述

Frida变量类型

API含义
new Int64(v)create a new Int64 from v
new UInt64(v)create a new UInt64 from v
NativePointercreates a new NativePointer from the string s
wrap(address, size)creates an ArrayBuffer backed by an existing memory region
new NativeFunction(address, returnType, argTypes[, abi])create a new NativeFunction to call the function at address
new NativeCallback(func, returnType, argTypes[, abi])create a new NativeCallback implemented by the JavaScript function func
new SystemFunction(address, returnType, argTypes[, abi])just like NativeFunction, but also provides a snapshot of the thread’s last error status
ptr(s)short-hand for new NativePointer(s)
NULLshort-hand for ptr(“0”)

添加如下代码:

        console.log("new Int64(1):"+new Int64(1));
        console.log("new UInt64(1):"+new UInt64(1));
        console.log("new NativePointer(0xEC644071):"+new NativePointer(0x123456));
        console.log("new ptr('0xEC644071'):"+new ptr(0x123456));
        console.log("null point:"+ptr('0'));

运行结果如下:
在这里插入图片描述
对于 Int64一些简单的运算

        console.log("8888 + 1:"+new Int64("8888").add(1));
        //8888 - 1 = 8887
        console.log("8888 - 1:"+new Int64("8888").sub(1));
        //8888 << 1 = 4444
        console.log("8888 << 1:"+new Int64("8888").shr(1));
        //8888 == 22 = 1 1是false
        console.log("8888 == 22:"+new Int64("8888").compare(22));
        //转string
        console.log("8888 toString:"+new Int64("8888").toString());

注释写的很清楚了:
在这里插入图片描述

RPC远程调用

Empty object that you can either replace or insert into to expose an RPC-style API to your application. The key specifies the method name and the value is your exported function.

# -*- coding: utf-8 -*-
import frida
import sys

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)

jscode = """
    Java.perform(function () 
    {
        var jni_env = Java.vm.getEnv();
        console.log(jni_env);
        send(jni_env);
    });
    rpc.exports = {
    add: function (a, b) {
        return a + b;
    },
    sub: function (a, b) {
        return new Promise(function (resolve) {
        setTimeout(function () {
            resolve(a - b);
        }, 100);
        });
    }
    };
 """

process = frida.get_usb_device().attach('android.process.media')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
print(script.exports.sub(2, 3))
process.detach()

script.on(‘message’, on_message) is used to monitor for any messages from the injected process, JavaScript side.
在这里插入图片描述

Process

通过如下的代码获取进程相关信息:

 		console.log("目标进程的PID:"+Process.id);
        console.log("调试器是否附加到目标进程:"+Process.isDebuggerAttached())
        //枚举进程加载的模块
        var process_Obj_Module_Arr = Process.enumerateModules();
        for(var i = 0; i < process_Obj_Module_Arr.length; i++) {
            console.log("",process_Obj_Module_Arr[i].name);
        }
        //枚举当前所有的线程
        var enumerateThreads =  Process.enumerateThreads();
        for(var i = 0; i < enumerateThreads.length; i++) {
            console.log("");
            console.log("id:",enumerateThreads[i].id);
            console.log("state:",enumerateThreads[i].state);
            console.log("context:",JSON.stringify(enumerateThreads[i].context));
         }
         //this thread’s OS-specific id as a number
         console.log("this thread’s OS-specific id as a number:"+Process.getCurrentThreadId());

运行上面的程序,可以获取到进程相关的信息。
在这里插入图片描述
这里说一下线程:
Process.enumerateThreads():枚举当前所有的线程,返回包含以下属性的对象数组:

  • id: OS-specific id
  • state: string specifying either running, stopped, waiting, uninterruptible or halted
  • context: object with the keys pc and sp, which are NativePointer objects specifying EIP/RIP/PC and ESP/RSP/SP, respectively, for ia32/x64/arm. Other processor-specific keys are also available, e.g. eax, rax, r0, x0, etc.

完整代码

setTimeout(function (){
    Java.perform(function (){
      console.log("n[*] enumerating classes...");
      console.log("Frida version:"+Frida.version);
      console.log("Frida heapsize:"+Frida.heapSize);
      console.log("Script runtime:"+Script.runtime);
      console.warn("warn");
      console.error("error");
      Java.choose("android.bluetooth.BluetoothDevice",{
        onMatch: function (instance){
          console.log("[*] "+" android.bluetooth.BluetoothDevice instance found"+" :=> '"+instance+"'");
       //   console.log(Java.cast(instance,Java.use("android.bluetooth.BluetoothDevice") ).getName());
          console.log(instance.getName());
        //  bluetoothDeviceInfo(instance);
        },
        onComplete: function() { console.log("[*] -----");}
      });
      var libc = Module.findBaseAddress('libc.so');
          console.log(hexdump(libc, {
          offset: 0,
          length: 64,
          header: true,
          ansi: true
        }));
        console.log("");
        console.log("new Int64(1):"+new Int64(1));
        console.log("new UInt64(1):"+new UInt64(1));
        console.log("new NativePointer(0xEC644071):"+new NativePointer(0x123456));
        console.log("new ptr('0xEC644071'):"+new ptr(0x123456));
        console.log("null point:"+ptr('0'));

        console.log("");
        //8888 + 1 = 8889
        console.log("8888 + 1:"+new Int64("8888").add(1));
        //8888 - 1 = 8887
        console.log("8888 - 1:"+new Int64("8888").sub(1));
        //8888 << 1 = 4444
        console.log("8888 << 1:"+new Int64("8888").shr(1));
        //8888 == 22 = 1 1是false
        console.log("8888 == 22:"+new Int64("8888").compare(22));
        //转string
        console.log("8888 toString:"+new Int64("8888").toString());

        console.log("目标进程的PID:"+Process.id);
        console.log("调试器是否附加到目标进程:"+Process.isDebuggerAttached())
        //枚举进程加载的模块
        var process_Obj_Module_Arr = Process.enumerateModules();
        for(var i = 0; i < process_Obj_Module_Arr.length; i++) {
            console.log("",process_Obj_Module_Arr[i].name);
        }
        //枚举当前所有的线程
        var enumerateThreads =  Process.enumerateThreads();
        for(var i = 0; i < enumerateThreads.length; i++) {
            console.log("");
            console.log("id:",enumerateThreads[i].id);
            console.log("state:",enumerateThreads[i].state);
            console.log("context:",JSON.stringify(enumerateThreads[i].context));
         }
         //this thread’s OS-specific id as a number
         console.log("this thread’s OS-specific id as a number:"+Process.getCurrentThreadId());
    });
  });

定义任意类型数组

Java.perform(function () {
        //定义一个int数组、值是1003, 1005, 1007
        var intarr = Java.array('int', [ 1003, 1005, 1007 ]);
        //定义一个byte数组、值是0x48, 0x65, 0x69
        var bytearr = Java.array('byte', [ 0x48, 0x65, 0x69 ]);
        for(var i=0;i<bytearr.length;i++)
        {
            //输出每个byte元素
            console.log(bytearr[i])
        }
});

定义格式为Java.array('type',[value1,value2,....])
关于type的类型:
1 Z boolean
2 B byte
3 C char
4 S short
5 I int
6 J long
7 F float
8 D double
9 V void

上面的定义是基本的数据类型,如果是对象怎么办,比如一个Object数组:

var arr = new Array();
var string = Java.use("java.lang.String");
var ele = Java.cast(string.$new("无情剑客"), Java.use("java.lang.Object"));
arr.push(ele)

公众号

更多Frida相关内容,欢迎关注我的公众号:无情剑客。
在这里插入图片描述

frida hook so层常用的方法
菜鸡小白的成长记录
03-06 5701
在onEnter回调函数中,我们使用Module.findExportByName()函数查找了目标进程中存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。在这个例子中,我们钩住了名为"decrypt"的解密函数,并从函数参数中获取了一个指向加密数据的指针,以及数据的长度。在onEnter回调函数中,我们从函数参数中获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程中读取了该指针所指向的C风格字符串,并将其打印到控制台上。
Frida 常用js API
samli的博客
01-02 894
不过原作者没有放出这里的题目,只有关键地方的源码,但是也没关系,只看源码也很好理解,通过对关键点分析,并熟悉firda的功能函数调用;后面的分析会有题目,可以后面再来练手;这关是import了一些类,然后调用类里的静态方法,所以我们枚举所有的类,然后过滤一下,并把过滤出来的结果hook上,改掉其返回值。题目地址:https://github.com/tlamb96/kgb_messenger。这一关的关键在于下面的if判断要为false,则。为false,则三个变量都要为true。
frida学习笔记
as664870911的博客
03-01 1937
准备工作 #以python3.7为列,frida版本12.8.0(据说是最稳定的版本) #创建虚拟环境 conda create --name frida-object python=3.7.0 #进入虚拟环境 conda activate frida-object #安装fida pip install frida==12.8.0 #安装frida-tools pip install frida-tools==5.3.0 #注意安装顺序,一定要安装frida,因为frida-tool包括frida,.
保姆级frida的各种api使用教程
最新发布
2301_81242872的博客
04-28 836
frida检测到js文件修改,注入了两次退出,重新注入,没有动态修改的的时候就没有问题。
APP渗透抓不到包/安卓逆向--Frida
向阳-Y.的博客
05-23 2691
Frida的基本使用
frida timed out
rhtnll的博客
06-05 862
从Android Q(10)开始,Google引入了一种新的机制,加快了app的启动时间。
frida-il2cpp:一个适合使用Unity il2cpp游戏的人的帮助程序库
02-06
frida-il2cpp 那些想玩Unity il2cpp游戏的人的帮助库。 在Windows上进行了测试,但也可以轻松在Android / iOS上使用。 我认为只有Process.findModuleByName("GameAssembly.dll")!; il2cpp.ts需要更改。 示例类 ...
frida拦截微信小程序云托管API
12-23
使用Frida拦截微信小程序云托管API的过程大致可以分为几个步骤:安装Frida,通过Frida脚本连接到微信小程序进程,编写拦截代码,寻找API调用点,然后在拦截点插入自定义的处理逻辑。 Frida脚本的核心在于JavaScript...
frida-fuzzer:此实验金属模糊器旨在用于API内存模糊
02-01
fuzz库必须导入到自定义工具中,然后使用frida-compile进行frida-compile以生成frida-fuzzer将注入到目标应用程序中的代理。 模糊器的大多数逻辑都在代理中。 线束具有以下格式: var fuzz = require ( "./fuzz" ...
基于Frida的工具,可跟踪Android应用程序中JNI API使用。-Android开发
05-26
jnitrace Frida模块,用于跟踪Android应用程序中JNI API使用。 Android Apps中包含的本机库通常使用JNI API来利用Android Runtime。 通过手动反向引擎jnitrace跟踪这些调用Frida模块可跟踪Android应用程序中JNI ...
Frida常见错误解决方案
全栈工程师
04-06 1087
frida常见错误解决方案
Frida 自吐算法
TF的博客
05-05 2135
所谓的自吐算法其实就是对一些常用加密算法的Java接口特征进行汇总,通过Frida 去Hook 加密算法常用的Api, 比如:secretKeySpec、Cipher.getInstance、DESKeySpec等。二、attach模式: Frida 会附加到当前目标进程,即需要App处于启动状态, 这意味着只能从当前时机往后hook。一、spawn模式: Frida 会自动启动并注入进目标App,Hook时机非常早。
frida 主动调用so native实例函数的问题
Pansy的博客
05-17 1813
Java.api[类路径](返回值, 对象指针, 参数);
frida复杂类型参数打印、参数转换、调用栈打印
热门推荐
weixin_35762183的博客
06-17 2万+
Frida是一款基于Python + JavaScript的Hook与调试框架。从Java层到Native层的Hook无所不能。我们分析app的参数加密的时候,经常使用他来帮助分析我们分析调试。 在hook我们的关键函数的时候,我们经常会把参数打和函数调用栈印出来,方便我们分析app的加密行为。 下面是总结的一些常用的方法: 参数打印问题 当参数是不是string类型的时候(HashMap、Map等),那我们打印出来查看的时候很可能显示[object Object]。 下面的一些方法可以帮助我们把他们转成s
【安卓逆向】Frida学习笔记--第一篇
Godam
10-13 2460
读书笔记:《安卓Frida逆向与抓包实战》
安卓逆向|菜鸟的FRIDA学习笔记:内存读写
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
07-12 7887
这是我自己的学习笔记,比较水,大佬勿喷。假设你的手机已经root,并已开启frida服务,电脑端已安装好Python,frida,IDA,GDA。样本地址:链接: https://pan...
scapy 内 hexdump 详细使用
qq_20237489的博客
08-13 3284
起因是之前我在做流量监视器的时候,因为tcp包是分开传输的,所以要想看到一个完整的http请求,需要把包内的内容合并到一起 ###[ TCP ]### sport = http dport = 2433 seq = 946575688 #这个值就是上一个的seq值加上上一次的传输大小 ack = 3616542016 dataofs ...
利用FRIDA攻击Android应用程序(三)
weixin_34032792的博客
05-02 1428
利用FRIDA攻击Android应用程序(三) 前言 在我的有关frida的第二篇博客发布不久之后,@muellerberndt决定发布另一个OWASP Android crackme,我很想知道是否可以再次用frida解决。如果你想跟着我做一遍,你需要下面的工具。 OWASP Uncrackable Level2 APK Android ...
Frida模块追踪Android JNI API使用情况
标题中提到的知识点是关于“Android”平台上的一个特定工具或功能模块,这个模块的作用是用于“跟踪Android应用中JNI API使用情况”。在详细解释这个知识点之前,首先需要理解几个核心概念。 **Android**: ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

helloworddm

你的鼓励是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值