使用 Frida 定位 JNI 方法内存地址

Java调用Native方法及JNI函数地址查找
最新推荐文章于 2025-09-18 17:25:25 发布
原创 最新推荐文章于 2025-09-18 17:25:25 发布 · 945 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #frida #jni #android #逆向

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

java 调用 native 方法流程

ArtMethod 是 Android Runtime (ART) 中一个非常重要的数据结构,它在 Android 系统中用于表示每个 Java 方法。

entry_point_from_jni_ 是 ArtMethod 结构体的一个字段,专门用于存储一个 Java 方法的 JNI(Java Native Interface)入口点。

当 Java 代码调用一个 native 方法时,ART 会通过entry_point_from_jni_ 字段找到对应的 JNI 函数入口,然后切换到 C/C++ 层执行该方法。

确定 entry_point_from_jni 的偏移量_

先通过查找 ART 中 ArtMethod 结构体中 entry_point_from_jni_ 的偏移量,最终确定 JNI 函数的地址。

let entry_point_from_jni_offset = -1;

/**
 * 找到 entry_point_from_jni_ 在 ArtMethod 结构体中的偏移量(根据 Android 版本不同可能会变化)
 *
 * @returns {number} 返回 entry_point_from_jni_ 的偏移量,若未找到返回 -1
 */
function get_jni_offset() {

    // 如果偏移量已经计算过(不为 -1),直接返回已保存的偏移量
    if (entry_point_from_jni_offset !== -1) {
        return entry_point_from_jni_offset;
    }

    // 获取 getUidForName JNI 方法的内存地址,该方法位于 "libandroid_runtime.so" 中
    let native_addr = Module.findExportByName("libandroid_runtime.so", "_Z32android_os_Process_getUidForNameP7_JNIEnvP8_jobjectP8_jstring");
    // console.log("native_addr:",native_addr);

    // 目标类名 "android.os.Process"
    let className = "android.os.Process";
    // 使用 Java.use 获取该类的 Java 类对象,并访问其 Class 对象
    let clazz = Java.use(className).class;
    // 获取该类的所有声明的方法
    let methods = clazz.getDeclar
最低0.47元/天 解锁文章
frida定位网络请求位置
不仅仅是个程序员的博客
03-31 1417
本篇文章是阐述如何通过frida定位网络请求发送位置. 在iOS的网络请求中,发送网络请求经常会用到 [NSURL URLWithString:@“xxx”], 所以可以通过追踪此函数, 打印堆栈信息, 从而快速定位到网络请求发送的位置。 先打开应用, 然后在终端执行下面命令: frida -U -m “+[NSURL URLWithString:]” 应用名称 在handlers文件夹中修改 URLWithString_.js 内容, 然后重新执行上面的命令. { onEnter(log, ar
frida进行hook的常用定位招数大全
云霄IT的博客
07-13 4414
【代码】frida进行hook的常用定位招数大全。
逆向教程 frida获取寄存器对应的值
最新发布
hhtt19820919的博客
09-18 1059
摘要:本文介绍了使用Frida进行inline hook技术来获取函数执行过程中寄存器值的方法。通过定位so库基地址和偏移量,在函数执行前后打印ARM64架构下x8寄存器的整数值。代码示例展示了如何实现这一功能,包括获取模块基地址、计算hook点地址以及使用Interceptor.attach注册回调函数。该方法适用于Android逆向分析场景,可帮助开发者监控函数执行时的寄存器状态变化。
Frida 实战:Android JNI 数组 (jobjectArray) 操作全流程解析
09-17 451
Android 的 Native 层,Java 中的 Object[] 类型参数会以 jobjectArray 的形式传递到 C/C++ 代码中。与 JS 数组不同,你不能直接对 jobjectArray 进行索引访问或直接操作其元素。要获取或修改其中的内容,必须借助 JNI 提供的接口,例如获取数组长度、读取单个元素或创建新的数组等操作。
使用 IDA Tracing 动态跟踪 JNI 方法执行过程
10-25 1951
去掉勾选 Trace over debugger segments(控制的是 tracing 操作是否仅限于当前调试器的代码段(segments),还是可以跨越所有内存段执行指令追踪。在开始断点触发时清理 tracing & 开启 Instruction tracing & 挂起其他线程(过反调试),执行到结束地址时关闭 Instruction tracing & 恢复所有线程执行 & 移除断点 & 解除 hook。断点触发,打开 Instruction tracing,然后 F8 单步执行。
Frida Native 层 Hook 技巧:JNI 函数调用、字符串解析、so 加载
04-03 1237
android_dlopen_ext 是 Android 特有的 dlopen 扩展版本,允许开发者在加载共享库时使用额外的选项,比如 指定库的加载路径 或 共享库的保护标志。dlopen 函数 在 linker 模块,是 Android 系统上的动态库加载函数,用于在运行时加载共享库(.so 文件)。在 Android 系统中,这些函数的原型通常可以在 Bionic(Android 的 C 库)中找到。argTypes:一个数组,指定函数的参数类型,如 [“pointer”, “int”]。
Frida定位和还原简单参数
Xzike的博客
03-13 1711
分析其signature参数的生成逻辑: 首先使用jadx搜索大法,此处先搜索signature,发现有太多搜索结果: 考虑到生成的逻辑,有可能是通过比如"signature=加密参数"这样的方式来赋值的,那么我们尝试搜索一下**"signature**,发现定位到了关键代码: ...
frida脚本,自动化寻址JNI方法
10-25 793
2. 在 python 脚本中加载 jni_addr.js 并调用 get_jni_method_addr 方法打印指定类中所有 native 方法内存地址。1. 通过 ArtMethod 结构体找到 jni 方法在内存中的地址,并把寻址方法通过 rpc.exports 暴露给 Python 脚本调用。运行python脚本,执行结果如下。具体原理可以参考这篇文章【
Android-一个Frida模块用于跟踪Android应用中JNIAPI的使用情况
08-13
1. **JNI函数调用检测**:此模块可以识别并记录所有在Android应用中被调用的JNI方法。这有助于开发者了解哪些JNI函数在实际运行时被触发,以及它们的调用顺序。 2. **调用参数与返回值记录**:除了函数调用本身,...
jnitrace,一个Frida模块,跟踪Android应用程序中JNIAPI的使用情况。.zip
09-25
总结来说,jnitrace是一个强大的工具,它结合了Frida的动态插桩能力和JNI的监控需求,为开发者提供了深入洞察Android应用中JNI使用情况的手段,对于优化和保障应用的安全性具有重要意义。通过熟练掌握和运用jnitrace...
基于Frida的工具,可跟踪Android应用程序中JNI API的使用。-Android开发
05-26
jnitrace Frida模块,用于跟踪Android应用程序中JNI API的使用Android Apps中包含的本机库通常使用JNI API来利用Android Runtime。 通过手动反向引擎jnitrace跟踪这些调用Frida模块可跟踪Android应用程序中JNI API的使用Android Apps中包含的本机库通常使用JNI API来利用Android Runtime。 通过手动反向工程跟踪这些呼叫可能是一个缓慢而痛苦的过程。 jnitrace用作动态分析跟踪工具,类似于frida-trace或strace,但适用于JNI。 安装:运行jnitrace的最简单方法使用pip安装:pip install jnitrace依赖项:pip
frida-script:储存自己的FRIDA HOOK脚本
07-24
frida-script 储存自己的FRIDA HOOK脚本
frida 根据函数地址Hook
不仅仅是个程序员的博客
07-06 931
本文针对某版本的WeChat作例: js文件 hookAddress.js //获取MaChO的aslr function get_rva(module, offset) { var base_addr = Module.findBaseAddress(module); if (base_addr == null) base_addr = enum_to_find_module(module); console.log(module + ':' + base_addr
Frida查找Native函数地址和所属SO模块的方法
m0_59162559的博客
04-03 2916
动态注册的Native函数, 一般会调用RegisterNatives来注册Native函数。 从libart.so中查找RegisterNatives函数的指针地址, 然后使用 Interceptor.attach 来hook.
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 5475
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
【APP 逆向百例】Frida 初体验,root 检测与加密字符串定位
K哥爬虫
09-15 1673
运行 Hook 脚本有两种方式,一是结合 Python 使用,二是直接通过 frida 命令使用脚本,注入 Hook 代码也有个时机问题,有时候需要在 APP 启动就开始 Hook,有时候可以等 APP 启动加载完毕了再 Hook,本例中,过 root 检测的时候,如果采用第一、二种方法,即 Hook 三个检测方法或者 a 方法,那就需要在 APP 启动的时候就 Hook,如果采用第三、四种方法,即 Hook。:spawn 模式,重启 APP,启动的同时注入 frida 代码。
frida so hook all JNI
weixin_33939380的博客
05-21 871
https://github.com/Areizen/JNI-Frida-Hook 转载于:https://blog.51cto.com/haidragon/2397671
frida hook so JNIEnv函数hook
weixin_33704591的博客
05-21 995
# -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ function hexToBytes(str) { var pos = 0; var len = str.length; if (len % 2 != 0) { ...
frida hook算法
01-03
这需要先定位到要Hook的目标函数地址或者名称,在JavaScript脚本中定义相应的逻辑处理过程[^1]。 ```javascript Java.perform(function () { var targetClass = Java.use('com.example.TargetClass'); // 对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值