Frida 玩转 JNI:方法地址追踪 + 指令反汇编 + Patch 注入

原创 已于 2025-07-20 22:38:14 修改 · 1k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#frida #反汇编 #汇编 #逆向 #jni #反编译 #android

于 2025-02-09 01:52:51 首次发布

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

Frida 反汇编

Frida 提供了反汇编 API,主要用于对目标进程的代码进行动态分析,例如:

  • 获取函数的机器代码并将其反汇编为汇编指令。

  • 分析内存中的指令流。

这些功能在 Frida 的 Instruction 类中实现,基于 Capstone 实现的反汇编功能。

https://frida.re/docs/javascript-api/#instruction

word/media/image1.png

比如,可以通过 Instruction.parse 方法反汇编指定地址的汇编信息

[Remote::AndroidExample]-> Instruction.parse(ptr("0x7e7acdb9a0"));
{
    "address": "0x7e7acdb9a0",
    "groups": [],
    "mnemonic": "sub",
    "next": "0x7e7acdb9a4",
    "opStr": "sp, sp, #0x10",
    "operands": [
        {
            "type": "reg",
            "value": "sp"
        },
        {
            "type": "reg",
            "value": "sp"
        },
        {
            "type": "imm",
            "value": "16"
        }
    ],
    "regsRead": [],
    "regsWritten": [],
    "size": 4
}

Android 示例代码

定义一个 native 函数 add,计算 1+ 1 + 1 并返回结果。

把 add 函数动态注册到 com.cyrus.example.frida.disassemble.FridaDisassembleActivity#add。

#include <jni.h>
#include <android/log.h>

#define LOG_TAG "FridaDisassemble"
#define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, LOG_TAG, __VA_ARGS__)

// 实现 add 方法:计算 1 + 1 + 1
jint native_add(JNIEnv *env, jobject obj) {
    return 1 + 1 + 1;
}

// 定义 JNI 方法映射
static const JNINativeMethod methods[] = {
        {"add", "()I", (void *)native_add} // 方法名, 方法签名, C++函数指针
};

// 动态注册 JNI 方法
JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved) {
    JNIEnv *env;
    if (vm->GetEnv(reinterpret_cast<void **>(&env), JNI_VERSION_1_6) != JNI_OK) {
        return JNI_ERR;
    }

    // 获取 Java 类
    jclass clazz = env->FindClass("com/cyrus/example/frida/disassemble/FridaDisassembleActivity");
    if (clazz == nullptr) {
        LOGD("[-] Failed to find class FridaDisassembleActivity");
        return JNI_ERR;
    }

    // 注册 native 方法
    if (env->RegisterNatives(clazz, methods, sizeof(methods) / sizeof(methods[0])) < 0) {
        LOGD("[-] Failed to register native methods");
        return JNI_ERR;
    }

    LOGD("[+] Successfully registered native methods");
    return JNI_VERSION_1_6;
}

在 kotlin 层调用 add 函数并 toast 结果。

// 调用 native 方法
val result = add()
// 显示 Toast
Toast.makeText(this, "add() returned: $result", Toast.LENGTH_LONG).show()

当点击按钮可以看到返回结果 3。

word/media/image2.png

接下来通过 Frida 实现:

  1. 找到 add 函数动态注册的地址

  2. 反汇编 add 函数机器码

  3. patch add 函数汇编指令修改返回结果

JNI 方法地址跟踪

1. 启动 Frida Server

# 启用超级管理员
adb root

# 进入命令行
adb shell 

# 启动frida-server,并指定端口
/data/local/tmp/fs -l 0.0.0.0:1234

# 端口转发到本地
adb forward tcp:1234 tcp:1234

Frida 的详细使用参考这篇文章:

最低0.47元/天 解锁文章
CYRUS STUDIO
关注
Frida实战:Java、Native、SO层面的Hook与主动调用详解
beidideshu的博客
03-06 6868
Frida实战:Java、Native、SO层面的Hook与主动调用详解
Frida 静态分析和Hook Native函数
小龙在线
12-29 1847
Java调用so package com.gdufs.xman; import android.app.Application; import android.util.Log; public class MyApp extends Application { public static int m = 0; public native void initSN(); public native void saveSN(String str); public nati
Frida 实战:Android JNI 数组 (jobjectArray) 操作全流程解析
最新发布
09-17 453
Android 的 Native 层,Java 中的 Object[] 类型参数会以 jobjectArray 的形式传递到 C/C++ 代码中。与 JS 数组不同,你不能直接对 jobjectArray 进行索引访问或直接操作其元素。要获取或修改其中的内容,必须借助 JNI 提供的接口,例如获取数组长度、读取单个元素或创建新的数组等操作。
app安全之安卓native层安全分析(一):frida 与unidbg
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-18 2411
这个专题是根据龙哥的unidbg博客的案例,核心部分会借鉴龙哥的unidbg,通过借鉴大佬的思路,完整的分析某个so层的加密参数各位朋友也可以直接读龙哥的博客,我只是用我的角度进一步加工一下SO入门实战教程一:OASIS_so学习路线_白龙~的博客-优快云博客unidbg 是一个基于 unicorn 的安全分析工具,可以实现黑盒调用安卓和 iOS 中的 so 文件unidbg是凯神写的一个开源的java项目。
frida so hook all JNI
weixin_33939380的博客
05-21 871
https://github.com/Areizen/JNI-Frida-Hook 转载于:https://blog.51cto.com/haidragon/2397671
Frida Native 层 Hook 技巧:JNI 函数调用、字符串解析、so 加载
04-03 1243
android_dlopen_ext 是 Android 特有的 dlopen 扩展版本,允许开发者在加载共享库时使用额外的选项,比如 指定库的加载路径 或 共享库的保护标志。dlopen 函数 在 linker 模块,是 Android 系统上的动态库加载函数,用于在运行时加载共享库(.so 文件)。在 Android 系统中,这些函数的原型通常可以在 Bionic(Android 的 C 库)中找到。argTypes:一个数组,指定函数的参数类型,如 [“pointer”, “int”]。
关于 smali:5. 结合工具进行辅助分析
Triste__chengxi的博客
06-08 1271
场景示例快速阅读 APK 源码查看逻辑代码、类结构、函数注释搜索关键类或函数如 LoginActivity、checkSignature 等配合 smali 对比分析用 Java 代码理解 smali 的结构分析混淆逻辑看哪些类被混淆了,哪些保留了原名快速分析第三方 SDK知道广告 SDK、支付 SDK、加密类做了什么1)AndBug:Android 级 Java 调试器。
Android逆向实战过掉MoMo签名验证和反调试
老袁的博客
12-19 4696
大家好,我是老袁,一名逆向分析人员,现主要研究Android平台逆向;今天给大家分享一篇,如何过掉MoMo的签名验证和C++层反调试。大神勿喷。 一、使用环境及工具 1.系统:windwos 10(x64) 2.设备:Google nexus 5真机。 3.反编译工具: Android Studio 3.2 开发和调试smali代码 IDA pro 7.0 ...
IDA PRO如何清除libwpmz_jni.so 中间的rtld_db_dlactivity
02-26
IDA处理符号通常是在反汇编或调试过程中自动加载的,如果用户想要“清除”这个符号,可能有几种情况:一是从符号列表中删除该符号的显示,二是修改二进制文件本身去除该符号,但后者可能涉及更复杂的操作,甚至可能...
APK逆向与重打包技术研究及Shell集成分析
在移动安全与Android应用逆向工程领域,APK的逆向分析、重打包、代码注入、Hook技术以及使用工具如APKTool进行静态与动态调试,已成为安全研究人员、渗透测试人员及开发者必须掌握的核心技能。本文将围绕标题“逆向...
基于Frida的工具,可跟踪Android应用程序中JNI API的使用。-Android开发
05-26
jnitrace Frida模块,用于跟踪Android应用程序中JNI API的使用。 Android Apps中包含的本机库通常使用JNI API来利用Android Runtime。 通过手动反向引擎jnitrace跟踪这些调用Frida模块可跟踪Android应用程序中JNI API的使用。 Android Apps中包含的本机库通常使用JNI API来利用Android Runtime。 通过手动反向工程跟踪这些呼叫可能是一个缓慢而痛苦的过程。 jnitrace用作动态分析跟踪工具,类似于frida-trace或strace,但适用于JNI。 安装:运行jnitrace的最简单方法是使用pip安装:pip install jnitrace依赖项:pip
Android-一个Frida模块用于跟踪Android应用中JNIAPI的使用情况
08-13
一个Frida模块,用于跟踪Android应用中JNI API的使用情况
使用 Frida 定位 JNI 方法内存地址
10-11 950
ArtMethod 是 Android Runtime (ART) 中一个非常重要的数据结构,它在 Android 系统中用于表示每个 Java 方法。entry_point_from_jni_ 是 ArtMethod 结构体的一个字段,专门用于存储一个 Java 方法JNI(Java Native Interface)入口点。
frida工具Jnitrace | Objection | r0tracer
Codeoooo 博客
06-21 2489
要求是frida版本大于14点多,目前推荐使用 14.2.18。
android jni 注册函数,使用Frida分析动态注册jni函数绑定流程
weixin_36473811的博客
05-25 577
原标题:使用Frida分析动态注册jni函数绑定流程 本文为看雪论坛文章看雪论坛作者ID:无造本文为 看雪安卓高研3w班(7月班)优秀学员作品。下面先让我们来看看讲师对学员学习成果的点评,以及学员的学习心得吧!讲师点评在对app进行逆向分析过程中,jni函数往往是非常关键的。不管是jni函数地址的绑定,还是jni函数的调用和执行过程,都离不开ART的支持。得益于Android的开源,可以通过对源码...
Frida0D - hook JNIEnv 相关函数
a5right的博客
09-11 791
想到 frida 可以注入 so,所以也可以考虑编译一个打印堆栈的 so,然后调用方法。上面,我们采用的是查询符号的地址,然后hook的方式。对这个函数的 hook,前一篇文章已经贴了一段代码了,这里简单分析一下就ok。JNIEnv 是一个结构体,整个结构体看成一个表,第 215 项对应的就是。,但是这里使用 frida 提供的不需要担心这个问题,有点神奇。namespace 是对的上的,说明是我们需要hook的符号。因为,JNIEnv 结构是不会变化的,所以这个相当实用。同样的,在处理参数的时候,
使用frida获取jni动态注册函数的地址
weixin_42486644的博客
05-18 8240
众所周知,frida是一款跨平台的(适用于Windows,Android,IOS等等)的Hook框架,由于其使用的是ptrace注入方法,所以相比于Xposed框架,优点是Hook代码写完或修改后,不需要重启手机。由于使用的是js,python脚本语言,所以支持代码热更新(更新Hook代码时不需要重启应用)。 而我这次使用frida目的是获取Android应用里jni动态注册函数的地址,大家都知...
使用Frida分析动态注册jni函数绑定流程
键盘的起始页
11-13 2230
前言 这是3W班7月份的练习题第一题。题目要求是分析总结动态注册jni函数时的流程,并编写frida脚本,达到能够跟踪测试apk中动态注册的jni函数的绑定流程的目标。 通过查看源码,使用Frida验证了部分绑定流程。加深了对之前使用的hook RegisterNative脚本原理的理解。 解题过程 按照hanbing老师的讲解,native函数有2次绑定。这里分别查看绑定 第一次绑定 Jni注册Demo 自己写Demo方便测试 1 2 3 4 .
Frida快速入门/OD/CE/IDA/Python/TS/JS
06-13
Frida是一款免费的,基于Python和JavaScript来实现的,面向开发人员、逆向工程师和安全研究人员的动态检测工具包。 Frida拥有一套全面的测试套件,不但调试效率极高,而且在广泛的使用中经历了多年严格的测试。 尤其是,移动应用安全测试和服务巨头NowSecure对齐钟爱有加,在NowSecure内部,安全人员通过Frida这个工具套装,已经完成对大量的移动应用程序大规模深度的安全分析测试。目前依然在该公司的安全测试中扮演重要的角色。 基于Python和JavaScript的Frida,天生就是跨平台的动态调试工具,不但可以运行在Windows、Linux、macOS之上,而且还可以调试Windows应用程序、Linux应用程序,macOS、iOS、Andriod和QNX等几乎全平台的应用程序。可以说,一旦掌握Frida这套工具,就可以在全平台,对全平台的应用程序进行动态调试和分析。 Frida使用极其方便,在使用过程中,只需将你编写的JavaScript脚本通过Frida自身的工具注入到目标进程中,就可以HOOK任何功能,其中包括但不限于监视加密API或跟踪应用程序关键代码等。在使用过程中,无需知道被“研究”程序的源代码。 尤其是可以一边编辑JavaScript脚本,一边运行JavaScript脚本的功能对于调试分析来说极为友好。只需“保存”正在编辑的JavaScript脚本,就立即就能看到该脚本执行的结果,全称无需其它人工介入,也无需重新启动被“研究”的应用程序,极大地简化了分析流程,同时也极大地提高了工作效率。因此,得到了众多安全分析人士的青睐。 本课程从最基本的调试环境搭建开始,基于经典的Windows“扫雷”游戏的动态调试分析,编码等,循序渐进演示Firda在分析调试Windows应用程序中基本使用方法和技巧。拥有这些知识储备之后,在加上官方的参考文档,你就可以轻松地将这些知识“迁移”至分析和调试其他平台的应用程序。 课程资料,请看第一课中github链接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值