Frida-API之Java层Hook

原创 已于 2023-08-13 19:12:11 修改 · 3k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

于 2023-08-13 19:07:23 首次发布
本文详细介绍了如何使用FRIDA在Java中进行动态Hook、方法修改、类操作、枚举和类加载器管理等技术,包括Java.available检测、Android版本获取、Java.perform调用、类实例化与Hook方法、动态加载Dex等关键操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考文章

FRIDA-API使用篇:Java、Interceptor、NativePointer(Function/Callback)使用方法及示例-安全客 - 安全资讯平台 (anquanke.com)

JavaScript API | Frida • A world-class dynamic instrumentation toolkit

文章目录

1、Java.available

判断当前进程是否加载了JavaVM,DalvikART虚拟机

function frida_Java() {
    Java.perform(function () {
        if(Java.available)
        {
            console.log("hello java vm");
        }else{
            console.log("error");
        }
    });
}       
setImmediate(frida_Java);//setImmediate(回调方法, 参数1,参数2,...) 异步任务,立即执行

输出如下:
hello java vm

2、Java.androidVersion

显示android系统版本号

function frida_Java() {
    Java.perform(function () {
        if(Java.available)
        {
            console.log("",Java.androidVersion);
        }else{
            console.log("error");
        }
    });
}       
setImmediate(frida_Java);

输出如下:
10

3、附加调用Java.perform

主要用于当前线程附加到Java VM并且调用fn方法它也有一个好兄弟:Java.performNow(fn)

4、获取类Java.use

  1. 构造实例:$new
  2. 实例的一些属性
    • .$class == .getClass()
    • .$className == .getClass().getName()
    • .$superClass == .getClass().getSuperclass()
    • .$dispose 回收类

5、Hook静态方法和实例方法、修改函数参数和返回值

let str=Java.use("java.lang.String");
str.toString.implementation=function () {
    console.log("HooktoString")
    return "修改值"
}

6、Hook构造方法:$init

Java.use("java.io.File").$init.overload("java.lang.String").implementation = function (path) {
    console.log("",path)
    return this.$init(path);
}

7、Hook重载方法

  1. overload

    Java.use(className).方法名.overload(参数类型1,…).implementation

  2. overloads

    Java.use(className).方法名.overloads返回重载函数数组

8、扫描实例类Java.choose

用法Java.choose(“全类名”,回调对象),在堆上查找实例化的对象

function frida_Java(className) {
    Java.perform(function () {
        Java.choose(className,{
            onMatch:function (instance) {
                console.log("搜索到实例对象:",instance);
                return instance;
            },
            onComplete:function () {
                console.log("内存搜索完毕!");
            }
        });
    });
}
setImmediate(frida_Java,"com.android.settingslib.utils.PowerUtil");

9、主动调用

  1. 静态方法:直接调用
  2. 实例方法
    • 使用$new新建实例调用方法
    • 使用Java.choose在内存中寻找实例,使用找到的实例调用方法

10、获取和修改类的字段

设置/获取字段的值需要"字段.value"

  1. 静态字段:直接获取/修改
  2. 实例字段
    • 使用$new新建实例获取/修改字段
    • 使用Java.choose在内存中寻找实例,使用找到的实例获取/修改字段

11、Hook内部类与匿名类

  1. 内部类
    • Java.use(“全类名$内部类名”)
    • Java.choose(“全类名$内部类名”,JSON对象)
  2. 匿名内部类
    • Java.use(’全类名$1‘)
    • Java.choose(“全类名$1”,JSON对象)

12、Hook枚举类

  1. Java.use(‘枚举类路径’)

    枚举类.values():返回枚举类中所有的值

    let protocol=Java.use('okhttp3.Protolcol')
console.sole(protocol.values())

  2. Java.choose(“枚举类路径”,JSON对象)

    枚举对象.ordinal():返回该枚举常量的索引

    Java.choose("okhttp3.Protolcol", {
    //枚举时调用
    onMatch:function(instance){
        //打印实例
        console.log(instance.ordinal());
    },
    //枚举完成后调用
    onComplete:function() {
        console.log("end")
    }});

13、枚举所有类

  1. Java.enumerateLoadedClassesSync()

    枚举当前加载的所有类,并返回string数组

    console.log(Java.enumerateLoadedClassesSync().join("\n"));

  2. Java.enumerateLoadedClasses(callbacks)

    枚举当前加载的所有类信息,它有一个回调函数分别是onMatch(每找到一次,执行一次)、onComplete(只执行一次,在搜索完成内存后)函数

    function frida_Java() {
    Java.perform(function () {
        //枚举当前加载的所有类
        Java.enumerateLoadedClasses({
            //每一次回调此函数时其参数className就是类的信息
            onMatch: function (className)
            {
                //输出类字符串
                console.log("",className);
            },
            //枚举完毕所有类之后的回调函数
            onComplete: function ()
            {
                //输出类字符串
                console.log("输出完毕");
            }
        });
    });
}
setImmediate(frida_Java);

14、枚举类的所有方法

通过Java反射

function frida_Java(className) {
    Java.perform(function () {
        let cn=Java.use(className);
        let methods=cn.class.getDeclaredMethods();
        for (let i = 0; i < methods.length; i++) {//循环遍历所有方法
            let methodName = methods[i].getName();
            console.log("",methodName)
        }
    });
}
setImmediate(frida_Java,"com.android.settingslib.utils.PowerUtil");

15、Hook类的所有方法

function frida_Java(className) {
    Java.perform(function () {
        let cn=Java.use(className);
        let methods=cn.class.getDeclaredMethods();//cn.class:相当于Object.class   获取所有方法
        for (let i = 0; i < methods.length; i++){//循环遍历所有方法
            let methodName=methods[i].getName();//获取方法名
            let loads=cn[methodName].overloads;//获取该方法的所有重载
            for (let j = 0; j < loads.length; j++) {//遍历该方法的所有重载
                loads[j].implementation=function () {//Hook方法
                    let result=this[methodName].apply(this,arguments);
                    console.log('参数:'+JSON.stringify(arguments));
                    console.log('返回值:'+JSON.stringify(result));
                    return result;
                }
            }
        }
    });
}
setImmediate(frida_Java,"com.android.settingslib.utils.PowerUtil");

16、枚举所有类加载器

  1. Java.enumerateClassLoadersSync()

    枚举所有的ClassLoader,并返回Wrapper数组

    let loaders=Java.enumerateClassLoadersSync();
for (let i = 0; i < loaders.length; i++) {
    try {
        Java.classFactory.loader = classloader;
        //Hook代码
    }catch (e) {
    }
}

  2. 替换默认ClassLoader

    Java.classFactory.loader = classloader;

  3. Java.enumerateClassLoaders(callbacks)

    Java VM中存在的类加载器,它有一个回调函数分别是onMatch(每找到一次,执行一次)、onComplete(只执行一次,在搜索完成内存后)函数

    function frida_Java() {
    Java.perform(function () {
        Java.enumerateClassLoaders({
            onMatch: function (classloader) {
                console.log(JSON.stringify(classloader));
                try {
                    //替换默认classLoader
                    Java.classFactory.loader = classloader;
                    //Hook代码
                } catch (e) {
                }
            },
            onComplete: function () {
                console.log("内存搜索完毕!");
            }
        });
    });
}
setImmediate(frida_Java);

17、类型转换器Java.cast

Java.cast(handle, klass),handle即对象实例,klass是要强转成的句柄,从Java.use获取。

//此类包装器还具有用于获取其类的包装器的类属性,以及用于获取其类名的字符串表示的$className属性,通常在拦截so层时会使用此函数将jstring、jarray等等转换之后查看其值。
Java.cast(map,Java.use("java.util.HashMap"))//将map实例对象强转成HashMap对象

18、定义任意数组类型Java.array

使用Java.array(“类型”,[实例对象,实例对象])

function frida_Java() {
    Java.perform(function () {
        let name=Java.use('java.lang.String').$new('Jack')
        let age=Java.use('java.lang.Integer').$new(18)
        Java.array('java.lang.Object',[name,age])
        /**
         * 可省略描述符 [name,age] == Java.array('java.lang.Object',[name,age])
         * 可变参数本质上就是数组,按数组处理即可
         * 基本数据类型数据要使用其包装类构造 Java.use('java.lang.Integer').$new(18)
         * 类型可以是"java.lang.Object",也可以是"Ljava/lang/Object;"
         */
    });
}
setImmediate(frida_Java);

19、注册类Java.registerClass(spec)

  1. Java.registerClass:创建一个新的Java类并返回一个包装器

    • name:指定类名称的字符串。
    • superClass:(可选)父类。要从 java.lang.Object 继承的省略。
    • implements:(可选)由此类实现的接口数组。
    • fields:(可选)对象,指定要公开的每个字段的名称和类型。
    • methods:(可选)对象,指定要实现的方法。
    function frida_Java() {
    Java.perform(function () {
        //注册一个目标进程中的类,返回的是一个类对象
        var r0ysue = Java.registerClass({
            name: 'com.roysue.roysueapplication',
            implements:[Java.use('java.lang.Runnable')],
            methods:{
                run:function () {
                    console.log('Thread Starting...')
                }
            }
        });
        Java.use('java.lang.Thread').$new(r0ysue.$new()).start()//开启一个线程
    });
}

setImmediate(frida_Java);

20、注入dex

使用Java.openClassFile(“dex路径”).load()

//加载Dex文件,相当于new DexClassLoader(...)
Java.openClassFile("/data/local/tmp/classes.dex").load()

21、写文件

function writeToFile(filePath,data) {
    Java.perform(function () {
        let ios=new File(filePath,'w');
        ios.write(data);
        ios.flush();
        ios.close();
    });
}

22、全局上下文环境获取

function getApplicationContext() {
    //获取Application实例对象
    let activityThread=Java.use("android.app.ActivityThread");
    let application=activityThread.currentApplication();
    //获取context
    // let context=application.getBaseContext();
    let context=application.getApplicationContext();
    return context;
}

23、打印函数堆栈

function showStacks() {
    console.log(
        Java.use("android.util.Log")
            .getStackTraceString(
                Java.use("java.lang.Throwable").$new()
            )
    );
}

24、Hook只在指定函数内生效

  1. 步骤

    1. Hook指定函数

    2. 在指定函数内Hook要生效的函数

    3. 在指定函数结束前,将要生效的函数Hook赋值null

      类名.方法名.implementation=null

  2. 代码

    function makeHookMethodInSpecifiedFunction(specifiedClass,specifiedMethod,className,methodName) {
    Java.perform(function () {
        //Hook指定函数
        let specifiedClazz=Java.use(specifiedClass);
        specifiedClazz[specifiedMethod].implementation=function () {
            console.log("指定的Hook函数生效");
            //Hook 要Hook的函数
            let clazz=Java.use(className);
            clazz[methodName].implementation=function () {
                console.log("要Hook的函数生效");
                return this[methodName](arguments);
            }
            //关闭要Hook的函数
            clazz[methodName].implementation=null;
            return this[specifiedMethod](arguments);
        }
    });
}

25、Hook定位接口/抽象类的实现类

  1. 定位接口的实现类

    1. 枚举所有类
    2. 获取类的所有接口
    3. 遍历接口过滤符合条件的类

  2. 定位抽象类的实现类

    1. 枚举所有类
    2. 获取类的父类
    3. 遍历父类过滤符合条件的类

  3. 代码

    //Hook定位接口/抽象类的实现类:className是接口全路径或抽象类全路径   type:0表示接口、1表示抽象类
function HookLocateInterfaceOrAbstract(superClassName,type) {
    Java.perform(function () {
        if (type===0){//接口
            try {
                //1.遍历类
                let classes=Java.enumerateLoadedClassesSync();
                for (let i = 0; i < classes.length; i++) {
                    //2.获取类的所有接口
                    let name=classes[i];
                    let clazz=Java.use(name);
                    let interfaces=clazz.class.getInterfaces();
                    //3.遍历接口
                    for (let j = 0; j < interfaces.length; j++) {
                        //4.获取接口类名
                        let interClass=interfaces[j];
                        let interName=interClass.getName();
                        //5.过滤
                        if (interName==superClassName){
                            //输出实现类名
                            console.log(clazz.class.getName());
                        }
                    }
                }
            }catch (e) {
            }
        }else if (type===1){//抽象类
            //1.遍历类
            Java.enumerateLoadedClasses({
                onMatch:function (className) {
                    try {
                        //2.获取类的父类
                        let clazz=Java.use(className);
                        let superClass=clazz.class.getSuperclass();
                        //3.获取父类名
                        let superName=superClass.getName();
                        //4.过滤
                        if (superName==superClassName){
                            //输出实现类名
                            console.log(className);
                        }
                    }catch (e){
                    }
                },
                onComplete:function () {
                    console.log("内存搜索完毕!");
                }
            });
        }
    });
}

26、Hook动态加载的Dex

  1. Java.enumerateClassLoaders

    onMatch:function (classloader) {
    try {
        Java.classFactory.loader=classloader;
        //Hook 代码
    }catch (e) {
    }
}

  2. Java.enumerateClassLoadersSync()

    for (let i = 0; i < loaders.length; i++) {
    try {
        Java.classFactory.loader = classloader;
        //Hook代码
    }catch (e) {
    }
}

  3. Hook DexClassLoader.loadClass

    function HookDexClassLoaderLoadClass() {
    Java.perform(function () {
        let loader=Java.use("dalvik.system.DexClassLoader");
        loader.loadClass.overload("java.lang.String").implementation=function (className) {
            try {
                Java.classFactory.loader=this;
                //Hook代码   
            }catch (e) {
            }
            return this.loadClass(className);
        }
    });
}

27、注意事项

  • Java类型对象调用Java方法,js类型对象调用js方法

  • frida会自动处理Java和js字符串的相互转换

  • Hook属性字段时,设置/获取字段的值需要"字段.value"

  • 定义变量时,尽量使用let而非var

    var是全局变量,在遍历Hook函数时,很容易导致最后返回方法时,方法名与变量名对不上,导致Hook出错

  • Hook函数中的"this"指的是Java.use获取的对象

  • this.方法名.apply(this,arguments)

    遍历重载函数时,可用此返回

  • Java.use获得的只是句柄,若需要对象,则使用句柄.$new()。若需要class字节码,则使用句柄.class

看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(一)
kfyzjd2008的博客
02-10 2108
一、环境: 1、安装frida的已root手机 2、课程配套的apk文件 二、需具备的知识点: 1、在命令行执行fridahook脚本 frida -U {APP包名} -l {脚本文件} 2、命令行像文本框输入文本 adb shell input test "文本内容" #手机文本框获取焦点后运行 三、课程内容 1、通过提示字符串在jadx中找到对应的判断位置 2、找到判断的代码 3、找到调用的函数 4、编写hook代码 function hook_jav..
Frida-Hook-Native操作大全
qq_24481913的博客
03-07 4364
可以看到在onLeave中有一个参数retval,这个retval,就是我们hook上的程序的返回值,我们可以使用retval.replace(val)来修改返回值。但是我们需要注意的是strcmp可能不止调用一次,因此我们需要判断strcmp的第一个参数是否为0我们才进行操作,不然hook可能会一直循环输出。程序在cmpstr中使用了strcmp函数,那么我们只需要拿到strcmp函数的传入参数就可以知道程序的正确输入了。获取了strcmp的地址就可以使用之前给的模板进行Hook了。
Frida-Hook-Java操作大全
qq_24481913的博客
03-04 2472
让我们从非常基础的知识开始。什么是钩子?Hook是指拦截和修改应用程序或Android系统中函数或方法行为的过程。例如,我们可以钩取我们应用程序中的一个方法,并通过插入我们自己的实现来改变其功能。现在,让我们尝试在一个应用程序中钩取一个方法。我们将使用JavaScript API 来完成这个任务,但值得注意的是,Frida也支持Python。
frida的用法--Hook Java方法
菜鸡小白的成长记录
07-11 3571
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就是客
11.安卓逆向2-frida hook技术-HookJava静态方法和实例方法
最新发布
计算机王的博客
06-10 1231
安卓逆向 安卓协议分析 app协议分析 保姆级攻略 app逆向 Android apk逆向 Frida
Frida hook Java
YJJYXM的博客
12-17 1320
Frida hook Java包括Hook普通方法(包含静态方法)、构造方法、重载方法、以及构造对象参数和修改对象属性象参数。
Frida Hook Java
qq_45414878的博客
12-19 2302
hook简述 Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。 要实现钩子函数,有两个步骤:  1. 利用系统内部提供的接口,通过实现该接口,然后注入进系统(特定场景下使用)  2. 动态代理(使用所有场景) 本次测试用到的工具有: ​ 夜神模拟器 ​ frida15.0.9 ​ GDA ​ adb Ja
frida的用法--Hook Java代码篇
孩子眼里的钢铁侠&每天进步一点点
11-25 7132
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就
FRIDA-JSAPIJava使用
Bileton的博客
09-20 1244
这样的包装器还具有一个 class 属性,用于获取其的包装器,以及一个 $className 属性,用于获取其名的字符串表示。setImmediate(fn) 的作用是立即将指定的函数 fn 放入事件队列的前面,并尽快执行,通常在当前的 JavaScript 事件循环完成后立即执行。JSON.stringify() 是 JavaScript 中的一个方法,用于将 JavaScript 对象或值转换为 JSON 字符串。动态获取一个JavaScript包装器,用于className,你可以通过调用它的。
安卓逆向_24( 一 ) --- Hook 框架 fridaHook Java 和 so) )
墨鱼菜鸡
07-11 5758
From:Hook 神器家族的 Frida 工具使用详解:https://blog.youkuaiyun.com/FlyPigYe/article/details/90258758 详解 Hook 框架 frida ( 信抢红包 ):https://www.freebuf.com/company-information/180480.html APP逆向神器之F...
FridaHook(一)——Java常见方法
0nc3的博客
01-11 704
参数a为Money,即overload(“com.xiaojianbang.app.Money”)三种不同的参数,分别是无参数,int 型参数,以及一个构造参数。下载对应版本frida-server,安装运行。重新给参数a,b赋值,并将其相加的结果返回。显示信息为修改后的Dollar:20000。选择hook不同参数的重载方法。修饰,而不是用要调用的方法名。修改参数a的值及返回字段信息。Money的构造方法。
Java语言的Hook实现
10-26
最近在玩完美时空的诛仙Online(不知道这里有没人有共同爱好的),这个游戏每晚七点会出现一个任务“新科试炼”。这个任务简单地说就是做选择题,范围小到柴米油盐,大到世界大千,所以多玩的YY上出现一个频道叫“诛仙答题频道”,这个频道会即时为玩家提供正确答案,所以当大家都上YY的时候,最终出来的成绩的高低并不取决于你的知识面,而是取决你家的网速及你的反应速度(答题越早,所获得的成绩越高)。我家的网速很好,可惜我的反应速度一般,所以从来没上过一次前十,因为每次听说YY上的答案后还要移动鼠标去点击相应的答案,这个过程平均需要0.5秒,这无疑是我成绩不高的根本所在。所以我想到了通过按下键盘上的某些按键实现将鼠标移动到指定位置并模拟鼠标键按下事件(以下简称模拟)。也许你会问:这还不简单,直接加个KeyListener不就完了
java hook demo
04-09
java hook android hook java hook android hook java hook android hook
Frida JAVA API 文档
AI天才研究院
05-09 9605
Java Java.available: a boolean specifying whether the current process has the a Java VM loaded, i.e. Dalvik or ART. Do not invoke any other Java properties or methods unless this ...
Frida-JavaHook
github_38641765的博客
06-08 671
Frida使用
fridaHOOK篇(二)手动hook
kfyzjd2008的博客
06-14 559
一、编写测试用APP package com.example.helloworld; import androidx.appcompat.app.AppCompatActivity; import android.os.Bundle; import android.view.View; import android.widget.Button; import android.widget.TextView; public class MainActivity extends AppCompatAc
安卓逆向高阶之frida hook java
自成背后的博客
03-22 1872
安卓逆向frida hook app java
frida逆向开发】Hook应用软件Java
ssrf
11-11 784
目录一、目标app二、使用jadx反编译app分析关键代码1、分析需要hook的页面2、定位主界面加载3、使用jadx分析定位到的加载三、hook校验函数 一、目标app 对该app进行hook,实现用任意密码绕过认证。 二、使用jadx反编译app分析关键代码 注意:前提是app没有进行加固,如果有加固需要先进行脱壳 1、分析需要hook的页面 app一打开就进入上图的页面(主界面) 2、定位主界面加载 使用apktool工具反编译app 查看AndroidManifest.xml定位主
frida-java常用模板
warmful的博客
01-12 1223
1、HOOK普通方法 import frida, sys jscode =""" Java.perform(function () { var utils = Java.use('com.renren.mobile.utils.RSA');//Java.use('名') utils.D.implementation D为方法名 utils.D.implementation = function (a, b,c) { console.log("
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值