一、Frida 基本介紹

官方文檔： https://frida.re/docs/installation/
官方示例代碼：https://github.com/oleavr/frida-agent-example
源碼分析： https://mabin004.github.io/2018/07/31/Mac%E4%B8%8A%E7%BC%96%E8%AF%91Frida/

什么是Frida

Frida是一個輕量級的Hook框架，也可以說是動態(tài)代碼插裝工具，將一些代碼插入到原有App的內(nèi)存空間去，動態(tài)的監(jiān)聽和修改其行為，可運行在android、ios等平臺。相對Xposed框架優(yōu)勢是其使用更加靈活。

1. Hook中將使用到 python＋js＋被hook的語言（java/OC）
2. 支持native 層的hook

Frida 工作流程（大致分為服務(wù)端和控制端）

1. 在手機端安裝運行frida-server程序（服務(wù)端）
2. 開放手機端口，并通過端口27042連接到手機
3. 在pc端使用python腳本利用frida-CIL等工具包進行發(fā)送Hook指令 （控制端）

Frida 可以做什么

1. 可以在Android、IOS等平臺進行Hook，同時支持native方法的hook 。
2. 可以動態(tài)加載dex包
3. 逆向-抓包
4. 協(xié)議分析

Frida 常用工具

Frida CLI：基礎(chǔ)框架，執(zhí)行hook指令
frida-trace： 函數(shù)追蹤工具
frida-ps： 查看設(shè)備進程 frida-ps -U
frida-discover：一種用于發(fā)現(xiàn)程序內(nèi)部函數(shù)的工具
frida-kill ：結(jié)束進程 frida-kill -D <DEVICE-ID> <PID>

二、Frida 快速上手

Frida 環(huán)境搭建

• 1. Android端
  2. 下載設(shè)備對應(yīng)ABI的 frida-server（https://github.com/frida/frida/releases）
  3. 解壓壓縮包并重命名為frida-server
  4. push到手機的/data/local/tmp/ 并授予可執(zhí)行權(quán)限。
  5. 運行frida-server

  adb push frida-server /data/local/tmp/
  adb shell "chmod 755 /data/local/tmp/frida-server"
  adb shell "/data/local/tmp/frida-server &"
  

• IOS端

  1. 越獄并打開Cydia
  2. 添加源：https://build.frida.re （如何添加： Manage -> Sources -> Edit-> Add and enter）
  3. 安裝對應(yīng)版本的Frida插件

• PC端

  1. 安裝python3.7以上版本
  2. 安裝Frida工具： pip3 install frida ; pip3 install frida-tools

Frida 簡單Hook示例

1. java層： 以hook Activity.onResume() 為例

import os
import frida
import sys

jsCode = '''
Java.perform(() => {
  send("Hook Start[*]")
  Java.use('android.app.Activity').onResume.implementation = function () {
    send('[Java Hook]: Call onResume()!');
    this.onResume();
  };
});
'''

def message(msg, data):
    if msg['type'] == 'send':
        print("[*] {0}".format(msg['payload']))
    else:
        print(msg)

print(os.system("adb devices"))
os.system("adb forward tcp:27042 tcp:27042")
os.system("adb forward tcp:27043 tcp:27043")
process = frida.get_remote_device().attach('設(shè)置')
script = process.create_script(jsCode)
script.on("message", message)
script.load()
sys.stdin.read()

1. native層： 以hook libc.so的open為例：

jsCode = '''
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
        onEnter: function(args) {
            send("[Native Hook][libc.so#open]open("+Memory.readCString(args[0])+","+args[1]+")");
        },
        onLeave:function(retval){
    }
});
'''   

三、 API介紹

Java類 （Java層）

• Java.use(class）： 獲取類Class
• Java.use(class).$new() 調(diào)用構(gòu)造方法，創(chuàng)建類實例
  代碼示例：

  //這里對TextView的setText方法進行hook，以打印界面文案。
 Java.use('android.widget.TextView').setText  //找到被hook的方法
  .overload('java.lang.CharSequence', 'android.widget.TextView$BufferType') //如果有重載，指定重載方法
  .implementation = function (text, type) { // 對方法執(zhí)行hook監(jiān)聽
      send("[Java Hook]: Call setText()：" + text);  // 插入hook代碼塊
      this.setText(text, type)  // 調(diào)用原有方法
};

• Java.openClassFile(filePath)
• Java.choose(className, callbacks)
• Java.retain(obj)
• Java.cast(handle, klass)
• Java.array(type, elements)
• Java.isMainThread()
• Java.registerClass(spec)
• Java.deoptimizeEverything()
• Java.deoptimizeBootImage()
• Java.vm
• Java.classFactory

Interceptor類 （native層）

• Interceptor.attach(target, callbacks[, data]) :

  target 為native層內(nèi)存地址：Module.getExportByName("libc.so" , "open") 方式獲取
  callback有onEnter(args) 和 onLeave(retval) 分別是該方法的進入和退出

示例：

jsCode = '''
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
        onEnter: function(args) {
            send("[Native Hook][libc.so#open]open("+Memory.readCString(args[0])+","+args[1]+")");
        },
        onLeave:function(retval){
    }
});
'''

// TODO 其他api方法還沒遇到，之后補充