一、Frida 基本介紹
官方文檔: https://frida.re/docs/installation/
官方示例代碼:https://github.com/oleavr/frida-agent-example
源碼分析: https://mabin004.github.io/2018/07/31/Mac%E4%B8%8A%E7%BC%96%E8%AF%91Frida/
什么是Frida
Frida是一個輕量級的Hook框架,也可以說是動態(tài)代碼插裝工具,將一些代碼插入到原有App的內(nèi)存空間去,動態(tài)的監(jiān)聽和修改其行為,可運行在android、ios等平臺。相對Xposed框架優(yōu)勢是其使用更加靈活。
- Hook中將使用到 python+js+被hook的語言(java/OC)
- 支持native 層的hook
Frida 工作流程(大致分為服務(wù)端和控制端)
- 在手機端安裝運行frida-server程序(服務(wù)端)
- 開放手機端口,并通過端口27042連接到手機
- 在pc端使用python腳本利用frida-CIL等工具包進行發(fā)送Hook指令 (控制端)
Frida 可以做什么
- 可以在Android、IOS等平臺進行Hook,同時支持native方法的hook 。
- 可以動態(tài)加載dex包
- 逆向-抓包
- 協(xié)議分析
Frida 常用工具
Frida CLI:基礎(chǔ)框架,執(zhí)行hook指令
frida-trace: 函數(shù)追蹤工具
frida-ps: 查看設(shè)備進程 frida-ps -U
frida-discover:一種用于發(fā)現(xiàn)程序內(nèi)部函數(shù)的工具
frida-kill :結(jié)束進程 frida-kill -D <DEVICE-ID> <PID>
二、Frida 快速上手
Frida 環(huán)境搭建
-
- Android端
- 下載設(shè)備對應(yīng)ABI的 frida-server(https://github.com/frida/frida/releases)
- 解壓壓縮包并重命名為frida-server
- push到手機的/data/local/tmp/ 并授予可執(zhí)行權(quán)限。
- 運行frida-server
adb push frida-server /data/local/tmp/ adb shell "chmod 755 /data/local/tmp/frida-server" adb shell "/data/local/tmp/frida-server &" -
IOS端
- 越獄并打開Cydia
- 添加源:https://build.frida.re (如何添加: Manage -> Sources -> Edit-> Add and enter)
- 安裝對應(yīng)版本的Frida插件
-
PC端
- 安裝python3.7以上版本
- 安裝Frida工具: pip3 install frida ; pip3 install frida-tools
Frida 簡單Hook示例
- java層: 以hook Activity.onResume() 為例
import os
import frida
import sys
jsCode = '''
Java.perform(() => {
send("Hook Start[*]")
Java.use('android.app.Activity').onResume.implementation = function () {
send('[Java Hook]: Call onResume()!');
this.onResume();
};
});
'''
def message(msg, data):
if msg['type'] == 'send':
print("[*] {0}".format(msg['payload']))
else:
print(msg)
print(os.system("adb devices"))
os.system("adb forward tcp:27042 tcp:27042")
os.system("adb forward tcp:27043 tcp:27043")
process = frida.get_remote_device().attach('設(shè)置')
script = process.create_script(jsCode)
script.on("message", message)
script.load()
sys.stdin.read()
- native層: 以hook libc.so的open為例:
jsCode = '''
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
onEnter: function(args) {
send("[Native Hook][libc.so#open]open("+Memory.readCString(args[0])+","+args[1]+")");
},
onLeave:function(retval){
}
});
'''
三、 API介紹
Java類 (Java層)
- Java.use(class): 獲取類Class
- Java.use(class).$new() 調(diào)用構(gòu)造方法,創(chuàng)建類實例
代碼示例:
//這里對TextView的setText方法進行hook,以打印界面文案。
Java.use('android.widget.TextView').setText //找到被hook的方法
.overload('java.lang.CharSequence', 'android.widget.TextView$BufferType') //如果有重載,指定重載方法
.implementation = function (text, type) { // 對方法執(zhí)行hook監(jiān)聽
send("[Java Hook]: Call setText():" + text); // 插入hook代碼塊
this.setText(text, type) // 調(diào)用原有方法
};
- Java.openClassFile(filePath)
- Java.choose(className, callbacks)
- Java.retain(obj)
- Java.cast(handle, klass)
- Java.array(type, elements)
- Java.isMainThread()
- Java.registerClass(spec)
- Java.deoptimizeEverything()
- Java.deoptimizeBootImage()
- Java.vm
- Java.classFactory
Interceptor類 (native層)
- Interceptor.attach(target, callbacks[, data]) :
target 為native層內(nèi)存地址:Module.getExportByName("libc.so" , "open") 方式獲取
callback有onEnter(args) 和 onLeave(retval) 分別是該方法的進入和退出
示例:
jsCode = '''
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
onEnter: function(args) {
send("[Native Hook][libc.so#open]open("+Memory.readCString(args[0])+","+args[1]+")");
},
onLeave:function(retval){
}
});
'''
// TODO 其他api方法還沒遇到,之后補充