一、Frida 基本介绍
官方文档: https://frida.re/docs/installation/
官方示例代码:https://github.com/oleavr/frida-agent-example
源码分析: https://mabin004.github.io/2018/07/31/Mac%E4%B8%8A%E7%BC%96%E8%AF%91Frida/
什么是Frida
Frida是一个轻量级的Hook框架,也可以说是动态代码插装工具,将一些代码插入到原有App的内存空间去,动态的监听和修改其行为,可运行在android、ios等平台。相对Xposed框架优势是其使用更加灵活。
- Hook中将使用到 python+js+被hook的语言(java/OC)
- 支持native 层的hook
Frida 工作流程(大致分为服务端和控制端)
- 在手机端安装运行frida-server程序(服务端)
- 开放手机端口,并通过端口27042连接到手机
- 在pc端使用python脚本利用frida-CIL等工具包进行发送Hook指令 (控制端)
Frida 可以做什么
- 可以在Android、IOS等平台进行Hook,同时支持native方法的hook 。
- 可以动态加载dex包
- 逆向-抓包
- 协议分析
Frida 常用工具
Frida CLI:基础框架,执行hook指令
frida-trace: 函数追踪工具
frida-ps: 查看设备进程 frida-ps -U
frida-discover:一种用于发现程序内部函数的工具
frida-kill :结束进程 frida-kill -D <DEVICE-ID> <PID>
二、Frida 快速上手
Frida 环境搭建
-
- Android端
- 下载设备对应ABI的 frida-server(https://github.com/frida/frida/releases)
- 解压压缩包并重命名为frida-server
- push到手机的/data/local/tmp/ 并授予可执行权限。
- 运行frida-server
adb push frida-server /data/local/tmp/ adb shell "chmod 755 /data/local/tmp/frida-server" adb shell "/data/local/tmp/frida-server &" -
IOS端
- 越狱并打开Cydia
- 添加源:https://build.frida.re (如何添加: Manage -> Sources -> Edit-> Add and enter)
- 安装对应版本的Frida插件
-
PC端
- 安装python3.7以上版本
- 安装Frida工具: pip3 install frida ; pip3 install frida-tools
Frida 简单Hook示例
- java层: 以hook Activity.onResume() 为例
import os
import frida
import sys
jsCode = '''
Java.perform(() => {
send("Hook Start[*]")
Java.use('android.app.Activity').onResume.implementation = function () {
send('[Java Hook]: Call onResume()!');
this.onResume();
};
});
'''
def message(msg, data):
if msg['type'] == 'send':
print("[*] {0}".format(msg['payload']))
else:
print(msg)
print(os.system("adb devices"))
os.system("adb forward tcp:27042 tcp:27042")
os.system("adb forward tcp:27043 tcp:27043")
process = frida.get_remote_device().attach('设置')
script = process.create_script(jsCode)
script.on("message", message)
script.load()
sys.stdin.read()
- native层: 以hook libc.so的open为例:
jsCode = '''
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
onEnter: function(args) {
send("[Native Hook][libc.so#open]open("+Memory.readCString(args[0])+","+args[1]+")");
},
onLeave:function(retval){
}
});
'''
三、 API介绍
Java类 (Java层)
- Java.use(class): 获取类Class
- Java.use(class).$new() 调用构造方法,创建类实例
代码示例:
//这里对TextView的setText方法进行hook,以打印界面文案。
Java.use('android.widget.TextView').setText //找到被hook的方法
.overload('java.lang.CharSequence', 'android.widget.TextView$BufferType') //如果有重载,指定重载方法
.implementation = function (text, type) { // 对方法执行hook监听
send("[Java Hook]: Call setText():" + text); // 插入hook代码块
this.setText(text, type) // 调用原有方法
};
- Java.openClassFile(filePath)
- Java.choose(className, callbacks)
- Java.retain(obj)
- Java.cast(handle, klass)
- Java.array(type, elements)
- Java.isMainThread()
- Java.registerClass(spec)
- Java.deoptimizeEverything()
- Java.deoptimizeBootImage()
- Java.vm
- Java.classFactory
Interceptor类 (native层)
- Interceptor.attach(target, callbacks[, data]) :
target 为native层内存地址:Module.getExportByName("libc.so" , "open") 方式获取
callback有onEnter(args) 和 onLeave(retval) 分别是该方法的进入和退出
示例:
jsCode = '''
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
onEnter: function(args) {
send("[Native Hook][libc.so#open]open("+Memory.readCString(args[0])+","+args[1]+")");
},
onLeave:function(retval){
}
});
'''
// TODO 其他api方法还没遇到,之后补充
