【Frida】02_常见API示例及功能函数封装(snippets)

最新推荐文章于 2025-02-25 12:57:05 发布
最新推荐文章于 2025-02-25 12:57:05 发布
阅读量1.7k 收藏 14
点赞数 53
分类专栏: # frida 文章标签: frida windows 逆向 TypeScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kinghzking/article/details/136903974
版权

🛫 系列文章导航

▒ 目录 ▒

🛫 导读

开发环境

版本号描述
文章日期2024-03-17
操作系统Win11 - 22H222621.2715
node -vv20.10.0
npm -v10.2.3
yarn -v3.1.1
frida-compile10.2.1高版本各种异常
扫雷程序下载地址https://download.youkuaiyun.com/download/kinghzking/88979919
课程源码https://gitcode.net/kinghzking/MyOpen所在目录:/course/frida

1️⃣ Frida API 介绍

日志函数

为了方便查看测试结果,编写了两个日志函数logH1logH2
示例代码:


function logH1(title: String) {
  console.log(`
=================================================================
================================   ${title}
=================================================================
`)
}

function logH2(title: String) {
  console.log(`
================================   ${title}
`)
}

export { logH1, logH2 } // 导出函数

运行时信息:Frida、Script

本小节讲述几个简单的属性:可以查看Frida版本、堆大小、运行时类型(QJS or V8)等信息。

示例代码:

function getRuntimeInfo() {
  logH1("Runtime information")
  // Frida
  logH2("Frida")
  console.log('Frida.version:', Frida.version)
  console.log('Frida.heapSize:', Frida.heapSize)

  // Script (QJS or V8)
  logH2("Script")
  console.log('Script.runtime:', Script.runtime)
}

运行结果:
frida.exe可以通过参数--runtime=v8指定runtime类型。
在这里插入图片描述

进程(Process)

进程相关操作,部分函数(如getCurrentDir)注意版本:frida 15.0.18 还不支持;16.0.8 版本测试通过。

示例代码:


function show_process() {
  logH1("Process")
  console.log("Process.id:\t\t", Process.id);
  console.log("Process.getCurrentThreadId():\t", Process.getCurrentThreadId());
  console.log("Process.arch:\t\t", Process.arch);
  console.log("Process.platform:\t", Process.platform);
  console.log("Process.pageSize:\t", Process.pageSize);
  console.log("Process.pointerSize:\t", Process.pointerSize);
  console.log("Process.codeSigningPolicy:\t", Process.codeSigningPolicy);
  // 下面三个接口, frida 15.0.18 还不支持;16.0.8 版本测试通过
  console.log("Process.getCurrentDir():\t", Process.getCurrentDir());
  console.log("Process.getHomeDir():\t", Process.getHomeDir());
  console.log("Process.getTmpDir():\t", Process.getTmpDir());

  logH2("Process.enumerateThreads")
  let threads = Process.enumerateThreads();
  for (const iterator of threads) {
    console.log(JSON.stringify(iterator));
  }

  logH2("Process.enumerateModules")
  let modules = Process.enumerateModules();
  for (const iterator of modules) {
    console.log(JSON.stringify(iterator));
  }

  logH2("Process.enumerateRanges")
  let ranges = Process.enumerateRanges("rwx");
  for (const iterator of ranges) {
    console.log(JSON.stringify(iterator));
  }

  // let mallocRanges = Process.enumerateMallocRanges();
  // for (const iterator of mallocRanges) {
  //   console.log(JSON.stringify(iterator));
  // }
}

运行结果:
在这里插入图片描述
在这里插入图片描述

Thread(线程)

Thread相关接口就两个,一个是打印堆栈的Thread.backtrac;另一个就是Thread.sleep,需要注意的是单位为秒,而不是毫秒。

示例代码:


// Thread
function show_thread() {
  logH1("Thread")
  // Thread.backtrace 有机会以后再写吧

  // Thread.sleep
  console.log("Thread.sleep(1000) start...");
  // 单位:秒、seconds
  Thread.sleep(1)
  console.log("Thread.sleep(1000) finish...");
}

运行结果:
在这里插入图片描述

Module(模块)

Module在Windows就是PE文件(EXE、DLL等),frida可以对PE进行解析,获取各种有用的信息:模块基址、名称、导入、导出、符号、内存区等信息。

示例代码:


function show_module() {
  logH1("Module")
  let module = Process.getModuleByName("winmine.exe");
  // let module = Process.getModuleByName("user32.dll");
  // module = Process.getModuleByName("Kernel32.dll");
  console.log("module", JSON.stringify(module, null, 4));

  logH2("Imports:");
  for (const iterator of module.enumerateImports()) {
    console.log(JSON.stringify(iterator));
  }

  logH2("Exports:");
  for (const iterator of module.enumerateExports()) {
    console.log(JSON.stringify(iterator));
  }

  logH2("Symbols:");
  for (const iterator of module.enumerateSymbols()) {
    console.log(JSON.stringify(iterator));
  }

  // enumerateRanges
  logH2("Ranges:");
  for (const iterator of module.enumerateRanges("r--")) {
    console.log(JSON.stringify(iterator));
  }

  // {"type":"function","name":"lstrlenW","address":"0x7630e0b0"}
  let p = module.findExportByName("lstrlenW");
  console.log(p);

  let p1 = Module.load("DBGHELP.DLL");
  console.log(JSON.stringify(p1));
  logH2("Exports:");
  for (const iterator of p1.enumerateExports()) {
    console.log(JSON.stringify(iterator));
  }

  logH2("Imports:");
  for (const iterator of p1.enumerateImports()) {
    console.log(JSON.stringify(iterator));
  }
}

运行结果:
在这里插入图片描述
在这里插入图片描述

Memory(内存)

内存操作是Frida核心内容,包含下面几方面:

  • 分配内存:Memory.alloc、Memory.allocUtf8String等。
  • 特征码扫描:Memory.scan、Memory.scanSync
  • 修改内存区域保护状态:Memory.protect
  • 修改代码:Memory.patchCode
  • 其它各种操作,可以通过NativePointer操作。

示例代码:


  // Memory.scan(module.base, module.size, pattern, {
  Memory.scan(module.base, module.size, "04 ?? ?1 ?0", {
    onMatch: (address, size) => {
      console.log("onMatch", size, address, address.sub(module.base));
    },

    onError: (reason) => {
      console.log(reason);
    },

    onComplete: () => {
      console.log("Scan Complete!");
    }
  });
  // let matches = Memory.scanSync(module.base, module.size, pattern);
  let matches = Memory.scanSync(module.base, module.size, "04 ?? ?1 ?0");
  for (const iterator of matches) {
    console.log(JSON.stringify(iterator));
  }

  let m1 = Memory.alloc(Process.pageSize);
  console.log("protect", JSON.stringify(Process.getRangeByAddress(m1)));
  Memory.protect(m1, Process.pageSize, "r-x");
  console.log("protect", JSON.stringify(Process.getRangeByAddress(m1)));

  let lpText = Memory.allocUtf16String("This is a string!");
  let lpCaption = Memory.allocUtf16String("Caption");

  // WinApi.MessageBox(p, lpText, lpCaption, 0x00000001);

  let m2 = Memory.alloc(Process.pageSize);
  console.log("m2", m2);
  let address = Module.getExportByName("User32.dll", "MessageBoxW");

  Memory.patchCode(m2, Process.pageSize, (code) => {
    // console.log("code", code);
    let asm = new X86Writer(code);
    asm.putPushU32(0x00000001);
    asm.putPushU32(lpCaption.toUInt32());
    asm.putPushU32(lpText.toUInt32());
    // asm.putPushU32(p.toUInt32());
    asm.putPushU32(0);
    asm.putCallAddress(address);
    asm.putRet();
    asm.flush();
  });

Interceptor(拦截器)

拦截器Interceptor用于在运行时拦截和修改函数调用。通过Frida Interceptor,你可以监视并修改应用程序中特定函数的行为,比如修改函数的参数、返回值等。这对于逆向工程、安全分析和应用程序调试都非常有用。
在这里插入图片描述

下面通过拦截DispatchMessageW函数演示Windows消息拦截,示例代码:


function show_interceptor() {
  // DispatchMessageW
  let address = Module.getExportByName("User32.dll", "DispatchMessageW");
  // console.log(JSON.stringify(Interceptor));
  Interceptor.attach(address, {
    onEnter(this, args) {

      // console.log(this.context, this.depth, this.errno, this.lastError, this.returnAddress, this.threadId);
      console.log(JSON.stringify(this.context));

      // typedef struct tagMSG {
      //   HWND   hwnd;
      //   UINT   message;
      //   WPARAM wParam;
      //   LPARAM lParam;
      //   DWORD  time;
      //   POINT  pt;
      //   DWORD  lPrivate;
      // } MSG, *PMSG, *NPMSG, *LPMSG;                
      console.log('args[0]: ', args[0]);
      console.log(args[1]);
      console.log(args[2]);
      console.log(args[3]);
      console.log(args[4]);
      console.log('args[5]: ', args[5]);
      let msg = args[0];

      console.log("hwnd", msg.readPointer());
      console.log("message", msg.add(4).readPointer());
      console.log("wParam", msg.add(8).readPointer());
      console.log("lParam", msg.add(12).readPointer());
      console.log("pt", msg.add(20).readPointer());
      console.log("lPrivate", msg.add(24).readPointer());
    },
    onLeave(this, retval) {
      console.log(JSON.stringify(this.context));
      console.log(retval);
    },
  });
}

运行结果:
在这里插入图片描述

2️⃣ 功能函数封装(snippets)

下面记录经常使用的函数或者代码片段

显示汇编代码

通过Instruction类逐字节读取并解析汇编。
示例代码:


function show_asm(start: NativePointer, length: number = 10) {
  for (let index = 0; index < length; index++) {
      let inst = Instruction.parse(start);
      // console.log(JSON.stringify(inst));
      let byteArray = start.readByteArray(inst.size);
      let byteCode = Array.prototype.slice.call(new Uint8Array(byteArray!));
      let mCode = byteCode.map(x => x.toString(16).padStart(2, "0")).join(" ").toUpperCase();
      console.log(inst.address.toString().toUpperCase().replace("0X", "0x"), mCode.padEnd(14, " "), "\t", inst.toString().toUpperCase().replace("0X", "0x"));

      start = inst.next;
      if (start.readU32() == 0) break;
  }
}

function testSnippets() {
  let address = Module.getExportByName("User32.dll", "MessageBoxW");
  show_asm(address);
}

运行结果:
在这里插入图片描述

常见类型转换函数

逆向中经常遇到类型转换,这里列出小编经常使用的一些函数。

// Converts an integer (unicode value) to a char
function itoa(i: number)
{ 
   return String.fromCharCode(i);
}
// Converts a char into to an integer (unicode value)
function atoi(a: { charCodeAt: () => any; })
{ 
   return a.charCodeAt();
}
// i to hex
function itohex(i: { toString: (arg0: number) => any; })
{
  var s = i.toString(16);
  s = ('00000000' + s).slice(-8);

   return [s.slice(6, 8), s.slice(4, 6), s.slice(2, 4), s.slice(0, 2)].join(' ');
}
// itohex(0x1122334);
function str2hex(s: string | any[]) { // buffer is an ArrayBuffer
  // for each element, we want to get its two-digit hexadecimal representation
  const hexParts = [];
  for(let i = 0; i < s.length; i++) {
    // convert value to hexadecimal
    const hex = atoi(s[i]).toString(16);
 
    // pad with zeros to length 2
    const paddedHex = ('00' + hex).slice(-2);
 
    // push to array
    hexParts.push(paddedHex);
  }
 
  // join all the hex values of the elements into a single string
  return hexParts.join(' ');
}
// str2hex('ssssk')
function buf2hex(buffer: Iterable<number>) { // buffer is an ArrayBuffer
  // create a byte array (Uint8Array) that we can use to read the array buffer
  const byteArray = new Uint8Array(buffer);
 
  // for each element, we want to get its two-digit hexadecimal representation
  const hexParts = [];
  for(let i = 0; i < byteArray.length; i++) {
    // convert value to hexadecimal
    const hex = byteArray[i].toString(16);
 
    // pad with zeros to length 2
    const paddedHex = ('00' + hex).slice(-2);
 
    // push to array
    hexParts.push(paddedHex);
  }
 
  // join all the hex values of the elements into a single string
  return hexParts.join(' ');
}

虚表操作

虚表作为C++中重要的特征之一,具有举足轻重的作用,通过虚表,我们可以准确定位一些类对象的方法及函数名称等,下面记录小编用到的两个函数:GetVTableByClassNameGetVTableNameByObj


// 根据类名获取虚表地址
function GetVTableByClassName(dll_name: string, func: string) {
  var module = Module.load(dll_name);
  var s = ".?AV" + func + "@@";
  var results = Memory.scanSync(module.base, module.size, str2hex(s));

  // class GxxLogin::LoginAccountPage `RTTI Type Descriptor'
  // var nRTTITypeDescriptor = eval(results[0].address)-8;
  var nRTTITypeDescriptor = results[0].address-0x08;
  // MyLogD(results[0].address, itohex(nRTTITypeDescriptor));
  results = Memory.scanSync(module.base, module.size, itohex(nRTTITypeDescriptor));
  // MyLogD(JSON.stringify(results));

  // RTTI Complete Object Locator
  var nRTTI_COL = eval(results[0].address) - 0x0c;
  // MyLogD(nRTTI_COL, itohex(nRTTI_COL));
  results = Memory.scanSync(module.base, module.size, itohex(nRTTI_COL));
  // MyLogD(JSON.stringify(results), eval(results[0].address), eval(results[0].address)-0+0x04);
  return eval(results[0].address)-0+0x04;
}
// MyLogD(GetVTable('LoginAccountPage@GxxLogin'));


// 通过对象获取虚表
//    .?AVContextualErrorEdit@Phoenix@@   某网的 accountNameEdit 、 passwordEdit 都是这个类实现的
//      .data:1164F34C ; public class Phoenix::ContextualErrorEdit /* mdisp:0 */ :
//      .data:1164F34C ;   public class QWidget /* mdisp:0 */ :
//      .data:1164F34C ;     public class QObject /* mdisp:0 */,
//      .data:1164F34C ;     public class QPaintDevice /* mdisp:8 */
//      .data:1164F34C ; class Phoenix::ContextualErrorEdit `RTTI Type Descriptor'
//      .data:1164F34C ??_R0?AVContextualErrorEdit@Phoenix@@@8 dd offset ??_7type_info@@6B@
function GetVTableNameByObj(obj: string | number | NativePointer) {
  // TODO:
  var pCol = ptr(obj).readPointer().sub(4).readPointer();
  var pTypeDescriptor = pCol.add(4*3).readPointer();
  return pTypeDescriptor.add(4*2).readCString()
}

ps: 文章中内容仅用于技术交流,请勿用于违规违法行为。

vscode corona lua snippets api 代码程序片断完全版
11-07
vscode corona lua snippets api 代码程序片断完全版 解压后放于目录: AppData\Roaming\Code\User\snippets
Frida_For_Ida_Pro:Frida 插件适用于 Ida Pro
06-14
这是使用 Frida api 的 ida pro 插件。 主要是跟踪功能。 “您自己的脚本被注入黑盒进程以执行自定义调试逻辑。挂钩任何功能,监视加密 API 或跟踪私有应用程序代码,无需源代码” 访问站点以查看它的作用。 ...
Frida JAVA API 文档
AI天才研究院
05-09 9564
Java Java.available: a boolean specifying whether the current process has the a Java VM loaded, i.e. Dalvik or ART. Do not invoke any other Java properties or methods unless this ...
利用frida主动调用小程序云托管API
最新发布
2503_90751789的博客
02-25 1290
好久没有碰Android逆向了,有1年多了,基本都生疏了,前来复习一下;本着研究学习的方向,探索Wx小程序云托管的调用机制;
Frida常用api大全
onejane
12-04 3888
篇幅有限 完整内容及源码关注公众号:ReverseCode,发送 冲 动静态函数主动调用 静态函数 use function static() { Java.perform(function () {//只要是java的代码都要跑在Java.perform里面 Java.use("com.example.junior.util.Utils").dip2px.implementation = function (context, float) {
Frida API使用(1)
helloworlddm的博客
08-02 1482
准备工作 Frida 在这里对Frida进行了简单的介绍。 设备 设备: Android 10 ROOT PC: Ubuntu18.04 Python切换 有些时候,需要使用Python的2.x版本,而有些时候又需要使用python的3.x版本,这个时候就需要能够灵活设置python版本 使用下面的命令设置Python2是默认: sudo update-alternatives --install /usr/bin/python python /usr/bin/python2 100 使用下面的命令设置P
Frida官方手册 - JavaScript API(篇三)
小蓝人敌法的专栏
11-03 4501
JavaScript APIWeakRef WeakRef.bind(value, fn): 监控value对象,当被监控的对象即将被垃圾回收或者脚本即将被卸载的时候,调用回调函数fn,bind返回一个唯一ID,后续可以使用这个ID进行 WeakRef.unbind()调用来取消前面的监控。这个API还是很有用处的,比如你想要在JavaScript的某个对象销毁的时候跟着销毁一些本地资源,这种情况下
enum_func.zip_FRIDA_frida hook_hook enum_安卓hook
09-24
【标题】"enum_func.zip_FRIDA_frida hook_hook enum_安卓hook" 是一个与Frida相关的压缩包,主要用于在安卓平台上实现动态代码插桩(hook)功能,特别是针对.so动态链接库中的导出函数进行枚举和hook。这个压缩包...
frida_dump:frida dump dex,frida dump so
05-01
frida_dump 1.使用dump_module Android dump_so > frida -U packagename -l dump_module.js ____ / _ | Frida 12.4.8 - A world-class dynamic instrumentation toolkit | (_| | > _ | Commands: /_/ |_| help...
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
2. **Python脚本编程**:鬼鬼FriDA工具利用Python编写脚本来实现各种操作,如hook函数、读取内存等。因此,熟悉Python编程是使用此工具的前提。 3. **设备ROOT权限**:由于Android系统的安全限制,很多系统级别的...
Frida_Windows_Hook
04-13
Frida_Windows_Hook Frida_Windows_Hook是一个开源工具,主要针对渗透测试人员和开发人员。 Frida_Windows_Hook正在使用Windows渗透。 用法 如何: usage: Frida_Windows_Hook_v0.1.py 先决条件 要使用Web_Brute_...
snippets:发布代码片段。 API 不同项目布局的实验
06-21
片段 一个简单的 HAL+JSON 服务,让您可以发布代码片段。 这背后的想法主要是探索替代项目结构。 很长一段时间以来,我们一直坚持这种“按设计模式分组”模式,但我想知道这是否真的是构建 API 的最佳方式。 相反,我在这里尝试的是按资源分组。 因此,与用户相关的所有内容都将进入app/user 。 它通常有一个模型、一个表示器(或序列化器)和一个路由,但它可能因资源而异。 现在有一个snippets端点,可让您列出和创建片段。 包含有关此端点的所有代码的文件夹如下所示: - app - base - snippet - collection.rb - model.rb - representer.rb - route.rb 这背后的想法并不新鲜,rails 有,但由于 rails 在构建事物的方式上非常严格,仍然存在模型、控制器和视图文
frida-trace:通过Frida声明式跟踪API
05-06
弗里达·痕迹 通过声明式跟踪API。 例子 const trace = require ( 'frida-trace' ) ; const func = trace . func ; const argIn = trace . argIn ; const argOut = trace . argOut ; const retval = trace . retval ; const types = trace . types ; const pointer = types . pointer ; const INT = types . INT ; const POINTER = types . POINTER ; const UTF8 = types . UTF8 ; trace ( { module : 'libsqlite3.dylib' , functions : [
【安卓逆向frida api文档JavaScript API 中文翻译 双语对照 带csdn目录
zzxx191z的博客
06-23 2882
JavaScript 代码可以使用名为 cm 的全局变量来访问 CModule 对象,但只有在调用 rpc.exports.init() 之后,因此请根据那里的 CModule 执行任何初始化。虽然 send() 是异步的,但发送单条消息的总开销并未针对高频进行优化,因此这意味着 Frida 将多个值批处理到单个 send() 调用中,具体取决于是需要低延迟还是高吞吐量。提供的回调对性能有重大影响。但是,在挂钩热函数时,可以将 Interceptor 与 CModule 结合使用,以实现 C 中的回调。
Frida 脱壳、自动化、fridaUiTools、objection、Wallbreaker
热门推荐
freeking101的博客
10-17 1万+
Frida 进阶:脱壳、自动化、fridaUiTools、objection、Wallbreaker插件
3、frida入门教程-api的使用
键盘的起始页
03-06 3988
三 常用API 1.JAVA (1)Java.perform(fn) frida的main,注意:所有的脚本必须放在这里面,示例: Java.perform(function () { var Activit...
Frida API进阶(1)
helloworlddm的博客
08-30 2725
在前面的文章中介绍了Frida基本API的使用,在这篇文章中介绍一些更加强大的API。同时简单介绍下HOOK 系统函数的利器frida-trace。 内存,内存还是内存。 Java对象 Java对象 Java是极其重要的API。无论想对so层亦或java层进行拦截,通常都须编Java.perform。 Java.available: 该函数一般用来判断当前进程是否加载了JavaVM,Dalvik或ART虚拟机 Java.androidVersion: 显示Android系统版本号 Java.enumera
Frida功能封装(二)
jinangl的专栏
02-28 899
一、
Frida常用API:Java,Interceptor,NativePointer(转载)
someby的博客
05-29 452
原文地址:https://blog.youkuaiyun.com/qq_40351988/article/details/121487962 文章目录前言1.1 Java对象1.1.1 Java.available1.1.2 Java.androidVersion1.1.3 枚举类Java.enumerateLoadedClasses1.1.4 枚举类加载器Java.enumerateLoadedClasses1.1.5 附加调用Java.perform1.1.6 获取类Java.use1.1.7 扫描实例类Java.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜猫逐梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值