Frida基礎(chǔ)學(xué)習(xí)(Hook相關(guān))

Hook構(gòu)造方法

我們要hook的是一個(gè)類的構(gòu)造函數(shù)

public class Utils {
    public static Money getMoney() {
        return new Money(60, "RMB");
    }
...
}

我們可以通過$init來獲取并修改一個(gè)類的構(gòu)造方法。(注意,js是弱類型語言,而Java強(qiáng)類型,注意構(gòu)造的時(shí)候的類型轉(zhuǎn)換。)
下面是jscode

    var money=Java.use("com.xiaojianbang.app.Money");
    money.$init.implementation = function(a, b)
    {
        console.log("Hook Start...");
        send(arguments[0]);
        send(arguments[1]);
        return this.$init(a,b);
    }

Hook重載方法

我們先看一下要hook的重載方法

public class Utils {
    public static String test() {
        return "this is test without argument";
    }

    public static String test(int num) {
        return "this is test with num "+num;
    }
...
}

在方法后面加一個(gè)overload屬性,參數(shù)為函數(shù)的類型,類型用字符串傳入,用于指定具體要hook的方法。例如utils.test.overload("int").implementation。
注意,要填寫類的路徑,例如如果是字符串類型,則要用overload("int","java.lang.String")
jscode:

utils.test.overload("int").implementation = function(a)
    {
        console.log("Hook Start...");
        send(arguments[0]);
        console.log("Hook Success...");
        return "This overload func is hooked";
    }

Hook對(duì)象參數(shù)的構(gòu)造

我們來看一下要hook的方法

package com.XXXX.app;

public class Utils {
    public static String test(Money money) {
        return money.getInfo();
    }
....
}

這里我們使用一個(gè)類型的$new來實(shí)例化一個(gè)類
jscode:

jscode = """
Java.perform(function(){
    var utils = Java.use("com.XXXX.app.Utils");
    var money=Java.use("com.XXXX.app.Money");
    
    utils.test.overload("com.XXXX.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        send(a.getInfo());
        var m = money.$new(6666,"DOLLAR");
        send(m.getInfo());
        return m.getInfo();
        //return this.test(m);
    }
});
"""

修改對(duì)象屬性的值

常規(guī)方法
  • 如果obj.Attr的話,獲取到的還是對(duì)象,例如a.name的返回值是[*] {'value': '美元', 'fieldType': 2, 'fieldReturnType': {'className': 'java.lang.String', 'name': 'Ljava/lang/String;', 'type': 'pointer', 'size': 1}} [*] 美元
  • 我們使用a.name.value就能獲取對(duì)象屬性的值了。
    例如
utils.test.overload("com.xiaojianbang.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        send(a.name); //object
        send(a.name.value); //real value
        var m = money.$new(6666,"DOLLAR");
        m.name.value="ForeignMoney";
        send(m.getInfo());
        return m.getInfo();
        //return this.test(m);
    }
Java反射

對(duì)于私有屬性,我們可以用Java反射的方法設(shè)置。
在Java反射中,通過Java.cast(m.getClass(),clazz).getDeclaredField('num'),m為一個(gè)實(shí)例化對(duì)象,后面getDeclaredField可以獲得屬性。通過Java.use('java.lang.Class');獲取類的構(gòu)造器
這里,通過屬性的get(ObjectsInstantiated)可以獲取值,通過屬性的setInt(ObjectsInstantiated,value)可以設(shè)置一個(gè)對(duì)象的屬性值。ObjectsInstantiated為一個(gè)對(duì)象。
這里,對(duì)于反射后的值,用console.log可以很好的輸出值,而send在此處會(huì)打印對(duì)象。

Java.perform(function(){
    var utils = Java.use("com.xiaojianbang.app.Utils");
    var money=Java.use("com.xiaojianbang.app.Money");
    
    utils.test.overload("com.xiaojianbang.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        var m = money.$new(6666,"DOLLAR");
        var clazz = Java.use('java.lang.Class');
        var num_id = Java.cast(m.getClass(),clazz).getDeclaredField('num');
        num_id.setAccessible(true);
        var value = num_id.get(m);
        console.log(value);
        send(value); // have format problem
        num_id.setInt(m,23333);
        console.log(num_id.get(m));
        return this.test(m);
    }
});

跟蹤native方法

Hook程序的open()函數(shù)為例

frida-trace -U -i open com.android.browser

執(zhí)行后

Instrumenting functions...
open: Auto-generated handler at "C:\Users\HAPPY\Desktop\__handlers__\libc.so\open.js"
Started tracing 1 function. Press Ctrl+C to stop.

__handlers__\libc.so目錄下生成了open.js文件,修改該文件內(nèi)容。例如,將參數(shù)信息添加到輸出的信息中,代碼如下

onEnter: function (log, args, state) {
    log('open(pathname='+Memory.readUtf8String(args[0])+") flag: "+args[1]);
},

保存后重新執(zhí)行,在輸出結(jié)果中,可以看到,我們成功獲取了函數(shù)的參數(shù)

148906 ms  open(pathname=/data/data/com.android.browser/app_webview/databases/Databases.db) flag: 0x88042
148907 ms  open(pathname=/data/data/com.android.browser/app_webview/databases/Databases.db-journal) flag: 0x88042
148914 ms  open(pathname=/data/data/com.android.browser/app_webview/databases) flag: 0x80000
......

其中,onEnter是函數(shù)調(diào)用前的,onLeave是函數(shù)調(diào)用后所觸發(fā)的。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容