Frida 玩转 JNI:方法地址追踪 + 指令反汇编 + Patch 注入

已于 2025-07-20 22:38:14 修改
阅读量995 收藏 16
点赞数 22
CC 4.0 BY-SA版权
文章标签: frida 反汇编 汇编 逆向 jni 反编译 android
于 2025-02-09 01:52:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linchaolong/article/details/145525853

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

Frida 反汇编

Frida 提供了反汇编 API,主要用于对目标进程的代码进行动态分析,例如:

  • 获取函数的机器代码并将其反汇编为汇编指令。

  • 分析内存中的指令流。

这些功能在 Frida 的 Instruction 类中实现,基于 Capstone 实现的反汇编功能。

https://frida.re/docs/javascript-api/#instruction

word/media/image1.png

比如,可以通过 Instruction.parse 方法反汇编指定地址的汇编信息

[Remote::AndroidExample]-> Instruction.parse(ptr("0x7e7acdb9a0"));
{
    "address": "0x7e7acdb9a0",
    "groups": [],
    "mnemonic": "sub",
    "next": "0x7e7acdb9a4",
    "opStr": "sp, sp, #0x10",
    "operands": [
        {
            "type": "reg",
            "value": "sp"
        },
        {
            "type": "reg",
            "value": "sp"
        },
        {
            "type": "imm",
            "value": "16"
        }
    ],
    "regsRead": [],
    "regsWritten": [],
    "size": 4
}

Android 示例代码

定义一个 native 函数 add,计算 1+ 1 + 1 并返回结果。

把 add 函数动态注册到 com.cyrus.example.frida.disassemble.FridaDisassembleActivity#add。

#include <jni.h>
#include <android/log.h>

#define LOG_TAG "FridaDisassemble"
#define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, LOG_TAG, __VA_ARGS__)

// 实现 add 方法:计算 1 + 1 + 1
jint native_add(JNIEnv *env, jobject obj) {
    return 1 + 1 + 1;
}

// 定义 JNI 方法映射
static const JNINativeMethod methods[] = {
        {"add", "()I", (void *)native_add} // 方法名, 方法签名, C++函数指针
};

// 动态注册 JNI 方法
JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM *vm, void *reserved) {
    JNIEnv *env;
    if (vm->GetEnv(reinterpret_cast<void **>(&env), JNI_VERSION_1_6) != JNI_OK) {
        return JNI_ERR;
    }

    // 获取 Java 类
    jclass clazz = env->FindClass("com/cyrus/example/frida/disassemble/FridaDisassembleActivity");
    if (clazz == nullptr) {
        LOGD("[-] Failed to find class FridaDisassembleActivity");
        return JNI_ERR;
    }

    // 注册 native 方法
    if (env->RegisterNatives(clazz, methods, sizeof(methods) / sizeof(methods[0])) < 0) {
        LOGD("[-] Failed to register native methods");
        return JNI_ERR;
    }

    LOGD("[+] Successfully registered native methods");
    return JNI_VERSION_1_6;
}

在 kotlin 层调用 add 函数并 toast 结果。

// 调用 native 方法
val result = add()
// 显示 Toast
Toast.makeText(this, "add() returned: $result", Toast.LENGTH_LONG).show()

当点击按钮可以看到返回结果 3。

word/media/image2.png

接下来通过 Frida 实现:

  1. 找到 add 函数动态注册的地址

  2. 反汇编 add 函数机器码

  3. patch add 函数汇编指令修改返回结果

JNI 方法地址跟踪

1. 启动 Frida Server

# 启用超级管理员
adb root

# 进入命令行
adb shell 

# 启动frida-server,并指定端口
/data/local/tmp/fs -l 0.0.0.0:1234

# 端口转发到本地
adb forward tcp:1234 tcp:1234

Frida 的详细使用参考这篇文章:

最低0.47元/天 解锁文章

200万优质内容无限畅学
CYRUS STUDIO
关注
看雪3万课程笔记-FRIDA高级API实用方法Frida Hook Native层
kfyzjd2008的博客
03-02 1608
一、使用工具: apk:攻防世界中CTF题,安装后图表显示黑客精神 xman.apk 工具:IDA,jadx 二、分析: 1、首先jadx打开app分析java代码 从上图可以看出关键判断点为MyApp中m的值,从图二可以看出MyApp的方法注册在native层。 有initSN、saveSN、work三个函数。 2、解压apk用IDA打开libmyjni.so文件。导出函数中不能直接搜索到上面三个函数,我们直接双击JNI_ONLOAD,F5查看伪代码 当我们手动更改Get.
frida- registernatives获取so动态注册函数
weixin_38387147的博客
02-28 2473
有大哥分享了代码: ​​​​​​https://github.com/lasting-yang/frida_hook_libart 使用方式如下: frida -U -f 包名 -l hook.js --no-pause 第一种: function hook_RegisterNatives() { var symbols = Module.enumerateSymbolsSync("libart.so"); var addrRegisterNatives = null;.
使用Frida分析动态注册jni函数绑定流程
键盘的起始页
11-13 2065
前言 这是3W班7月份的练习题第一题。题目要求是分析总结动态注册jni函数时的流程,并编写frida脚本,达到能够跟踪测试apk中动态注册jni函数的绑定流程的目标。 通过查看源码,使用Frida验证了部分绑定流程。加深了对之前使用的hook RegisterNative脚本原理的理解。 解题过程 按照hanbing老师的讲解,native函数有2次绑定。这里分别查看绑定 第一次绑定 Jni注册Demo 自己写Demo方便测试 1 2 3 4 .
Frida0D - hook JNIEnv 相关函数
a5right的博客
09-11 678
想到 frida 可以注入 so,所以也可以考虑编译一个打印堆栈的 so,然后调用方法。上面,我们采用的是查询符号的地址,然后hook的方式。对这个函数的 hook,前一篇文章已经贴了一段代码了,这里简单分析一下就ok。JNIEnv 是一个结构体,整个结构体看成一个表,第 215 项对应的就是。,但是这里使用 frida 提供的不需要担心这个问题,有点神奇。namespace 是对的上的,说明是我们需要hook的符号。因为,JNIEnv 结构是不会变化的,所以这个相当实用。同样的,在处理参数的时候,
基于Frida的工具,可跟踪Android应用程序中JNI API的使用。-Android开发
05-26
jnitrace Frida模块,用于跟踪Android应用程序中JNI API的使用。 Android Apps中包含的本机通常使用JNI API来利用Android Runtime。 通过手动反向引擎jnitrace跟踪这些调用Frida模块可跟踪Android应用程序中JNI API的使用。 Android Apps中包含的本机通常使用JNI API来利用Android Runtime。 通过手动反向工程跟踪这些呼叫可能是一个缓慢而痛苦的过程。 jnitrace用作动态分析跟踪工具,类似于frida-trace或strace,但适用于JNI。 安装:运行jnitrace的最简单方法是使用pip安装:pip install jnitrace依赖项:pip
frida native hook简单demo
北京流年
07-28 405
注意:最开始的时候,写的demo,一直不能hook,因为我在activity页面初始化的时候就调用so里面的方法了,后来我发现需要加一个按钮,然后点击按钮再去调用so里面的方法,这个时候就能hook了。记录frida hook native的笔记。当前frida的版本是16.1.0。
douyin_search:Frida_rpc + Flask简单实现抖音搜索接口
04-24
douyin_search frida rpc + Flask简单实现抖音搜索接口 运行演示:
mocxx:通用的C ++函数模拟框架
02-06
- **对比`frida`**:`frida`是一个动态代码插桩工具,可以在运行时修改函数行为,而`mocxx`是在编译时进行模拟,两者应用场景不同,`mocxx`更适合静态编译环境。 - **对比`TestingC++`**:`TestingC++`是一个轻量级...
Androidfrida注入检测的demo
08-14
总结来说,这个"Androidfrida注入检测的demo"提供了一个基础的框架,帮助开发者学习如何防止Frida这类工具对应用进行恶意注入。通过端口和libc检测,以及深入理解Android系统,我们可以构建更安全的应用,抵御潜在...
Frida安装大冒险:离线版(附全套资源)
11-15
Frida是一个动态代码插桩工具,常用于逆向工程、调试和自动化任务,它允许你对运行时的进程注入JavaScript代码,以便于分析和修改应用的行为。 首先,`frida-14.2.18-py3.8-win-amd64.egg`是Frida的Python扩展包,...
常见Frida检测方法+一个小Demo
qq_44885775的博客
04-16 3931
常见Frida检测方法+一个小Demo
Android逆向之旅—Hook神器Frida使用详解
尼古拉斯.赵四的博客
01-30 6306
一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,在不同场景下面这两个框架工具具备各自的用途,当然Xposed现在也是我最常用的框架工具,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍和Android中Hook神器SubstrateCydia工具介绍这两篇文章非常重要一个是Hook Java层的时候最...
frida 自定义端口 解决闪退
u014139511的博客
09-27 9731
备注:get_remote_device()方法,后来发现这个函数默认连接的是127.0.0.1:27042,使用上面代码代替即可。
frida编译 hluda编译 问题记录
头铁逆向的旅程
08-01 3689
frida编译 hluda编译 问题记录
Android逆向之旅---破解某应用加密算法(动态调试sofrida hook so代码)
尼古拉斯.赵四的博客
04-19 9961
一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ​ 这个应用不知道干嘛的,但是他的防护做的还挺厉害的,之前我们介绍过小黄车应用内部也用了这...
Frida学习笔记之hook基础
的博客
12-02 1302
普通方法可直接hook 重载方法+ overload(‘对应类型’) 构造方法为$init 静态字段直接通过 类.字段名.value = ‘new’ 来修改 非静态需要通过Java.choose(‘类’,{ onMatch中修改 }) Java.enumerateClassLoaders()可用来hook动态加载的dex 内部类/匿名类 $+名字 堆栈定位打印log var log = Java.use(“android.util.Log”).getStackTraceString(Ja.
Android逆向之旅---Hook神器家族的Frida工具使用详解
zhangmiaoping23的专栏
02-23 4372
一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍和Android中Hook神器SubstrateCydia工具介绍这两篇文章非常重要一个是Hook Java层的时候最常用的Xposed和Hook Native层的SubstrateCydia,可以看我之前的文章比如写微信插件等都采用了Xposed工具,因为个人觉得Xposed用起来比较爽,写代码比较方便。而对于Su...
Frida 使用教程和错误汇总
热门推荐
m0_54352040的博客
02-11 2万+
Frida 使用教程和错误汇总 Frida安装 Frida基本使用教程 python接口错误汇总1. 端口转发 Frida安装 Frida基本使用教程 Frida进阶使用教程 Frida python接口 错误汇总 1. 端口转发
Frida高级篇-Stalker(1)
helloworlddm的博客
01-14 2434
快捷键的区别 三者的区别 Ctrl+C :强制中断程序,程序无论运行哪里都停止。 Ctrl+D :发送一个 exit 的信号,退出当前的用户或者是客户端。 Ctrl+Z :暂停程序,在进程中维持挂起状态。 引用别人的说法: 1、Ctrl+C比较暴力,就是发送Terminal到当前的程序,比如你正在运行一个查找功能,文件正在查找中,Ctrl+C就会强制结束当前的这个进程。 2、Ctrl+Z 是把当前的程序挂起,暂停执行这个程序,比如你正在mysql终端中,需要出来搞点其他的文件操作,又不想退出mysql终端(
frida hook jni
最新发布
05-06
### 使用 Frida 进行 JNI Hook 的方法 Frida 是一种强大的动态工具,允许开发者在运行时注入 JavaScript 脚本到原生应用程序中。通过 Frida 可以实现对 Java 和本地代码 (C/C++) 的钩子功能。以下是关于如何使用 FridaAndroid 应用程序中的 JNI 函数进行 Hook 的详细介绍。 #### 什么是 JNI? Java Native Interface (JNI) 提供了一种机制,使 Java 方法可以调用本地 C 或 C++ 编写的函数[^3]。由于许多 Android 应用依赖于这些本地来执行性能敏感的操作或者访问特定硬件特性,因此 Hook JNI 函数对于逆向工程和安全分析非常重要。 #### 如何设置 Frida 环境 要开始使用 Frida 钩住 JNI 函数,首先需要安装并配置好环境: 1. **安装 Frida 工具链** - 安装 Python 版本的 Frida CLI 工具。 ```bash pip install frida-tools ``` - 将目标设备连接至计算机并通过 USB 调试启用它。 2. **验证 Frida 是否能正常工作** - 执行 `frida-ps` 命令查看当前正在运行的应用列表。 #### 实现 JNI Hook 的基本流程 为了拦截某个具体的 JNI 函数,通常按照如下方式编写脚本: 1. **加载应用进程** 利用 Frida API 加载指定包名的目标应用实例。 ```javascript const appPackage = 'com.example.targetapp'; let session; try { session = await frida.attach(appPackage); } catch(e){ console.error('Failed to attach:', e.message); } ``` 2. **定位 SO 文件及其导出符号** 大多数情况下,JNI 接口会被封装在一个 `.so` 动态链接里。可以通过枚举模块找到对应的共享对象文件位置以及其中定义的方法名称。 ```javascript session.enumerateModules().forEach(module => { if (/libnative/.test(module.name)) { // Example regex pattern matching target library name. console.log(`Found module: ${module.base}`); } }); ``` 3. **Hook 导出函数** 当确认了具体哪个 so 文件包含了待 hook 的 native method 后,则可以直接对其入口地址实施拦截逻辑。 ```javascript Interceptor.replace(Module.findExportByName(null, "your_jni_function_name"), function(arg0,arg1,...argsN){ console.log("Arguments passed:", arg0, arg1, ...argsN); var result = this.original.apply(this, arguments); console.log("Result returned from original implementation:",result); return result; }); ``` 以上过程展示了怎样利用 Frida 来监控甚至修改某些关键性的 JNI 行为[^4]。 ```python def example_python_code(): pass ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值