美文网首页
Android逆向 Frida的Hook之旅

Android逆向 Frida的Hook之旅

作者: LiuJP | 来源:发表于2020-05-09 16:26 被阅读0次

    1 安装python环境

    mac 自带不需要安装

    2 安装pip

    easy_install pip

    3 安装frida 安装frida-tools

    pip install frida
    pip install frida-tools
    //检测是否安装成功
    frida-ps
    //能看到系统进程,表示安装成功
    

    4 下载frida-server

    官网下载:https://github.com/frida/frida/releases 对应的版本,
    注意:Frida-server的版本必须跟你宿主机的Frida版本一致,比如我宿主机Frida的版本是12.2.28,

    getprop ro.product.cpu.abi
    armeabi-v7a
    

    Android手机是arm的,那么应该下载:rida-server-12.2.28-android-arm.xz 文件。

    5 推送frida-server到root过的手机

    #下载后解压文件,并将文件重命名为: frida-server,然后推送到手机
    adb push frida-server /data/local/tmp/
    #修改权限并运行frida-server
    adb shell
    su
    cd /data/local/tmp/
    chmod 777 frida-server
    ./frida-server
    #如果要启动frida-server作为后台进程、可以使用这个命令./frida-server &
    

    6 开一个终端,使用frida-ps -U命令检查Frida是否正常运行,如果正常运行则会列出Android设备上当前正在运行的进程


    7 开始Hook

    利用命令行工具hook libc.so的open()函数

    frida这个命令行工具,可以通过frida -help 查看
    "-U" 参数代表我们连接的是远程USB server,同理你也可以使用其他参数来连接,
    "-f "参数则表示在手机端启动一个你指定的android程序,那个FILE则表示应用的包名,
    通常"-f"这个参数配合"--no-pause"参数来使用,因为可能不让进程恢复的话可能会有奇怪的问题,
    "-p""-n"命令分别表示attach到进程的名字或者pid,
    "-l"参数则是代表需要注入的javascript脚本,而这个javascript的脚本就是我们所写的hook代码,完成函数的hook,内存的dump等一系列功能,

    当我们使用frida这个命令行工具成功attach到目标进程的时候,frida会给我们返回一个Frida CLI,说明白点就是一个交互窗口,下面我们就能看到
    test.js

    setImmediate(function() {
    Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
        onEnter: function(args) {
            log("open() called!")
        },
        onLeave:function(retval){
        
        }
    });
    });
    
    bogon:~ ljp$ frida -U -f com.android.chrome --no-pause
         ____
        / _  |   Frida 12.2.28 - A world-class dynamic instrumentation toolkit
       | (_| |
        > _  |   Commands:
       /_/ |_|       help      -> Displays the help system
       . . . .       object?   -> Display information about 'object'
       . . . .       exit/quit -> Exit
       . . . .
       . . . .   More info at http://www.frida.re/docs/home/
    [LGE Nexus 5::com.android.chrome]-> %load /Users/ljp/Documents/frida/test.js 
    

    首先我们知道frida是python的一个模块,那么这样我们当然可以通过写python脚本import frida来实现对frida的利用,此外frida同时会提供几个命令行工具(工具存放在python/Scripts目录下面,所以你可以添加到系统环境变量方便使用),

    # hook chrome进程的libc.so中的函数open
    import frida
    import sys
    
    device = frida.get_usb_device()
    pid = device.spawn(["com.android.chrome"])
    session = device.attach(pid)
    device.resume(pid)
    
    src = """
    Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
        onEnter: function(args) {
            send("open called!");
        },
        onLeave:function(retval){
        
        }
    });
    """
    def on_message(message ,data):
        print(message['payload'])
    
    
    script = session.create_script(src)
    script.on("message" , on_message)
    script.load()
    sys.stdin.read()
    

    这个args其实就包括我们想要的东西,
    onEnter 表示在函数调用之前执行的代码,
    onLeave 表示在函数执行后需要执行的代码,所以这个retval也就包括了返回值,关于我们用的Interceptor API,frida官方的JavaScript API 文档是这么写的:

    image

    Interceptor.attach()第一个参数是一个NativePointer指针,
    在之前我们用的Module.findExportByName("libc.so" , "open")的返回值,关于Moudle同样在文档中可以找到,
    第二个参数则就是我们的js代码块,我们所要的打印参数与返回值也就是在这里完成。

    image

    我们完善一下代码,关于libc.so的open函数参数是这样定义的,int open( const char * pathname, int flags);

    //hook chrome进程的libc.so中的函数open
    import frida
    import sys
    import io
    device = frida.get_usb_device()
    pid = device.spawn(["com.android.chrome"])
    session = device.attach(pid)
    
    scr = """
    setImmediate(function() {
    Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
        onEnter: function(args) {
            send("open called! args[0]:",Memory.readByteArray(args[0],256));
        },
        onLeave:function(retval){
    
        }
    });
    });
    """
    
    def on_message(message ,data):
        file_object=open("/Users/ljp/Documents/frida/log.txt",'ab+')
        file_object.write(message['payload'].encode())
        file_object.write(data.split(b'\x00')[0])
        file_object.write('\n'.encode())
        file_object.close()
    
    script = session.create_script(scr)
    script.on("message" , on_message)
    script.load()
    sys.stdin.read()
    

    细心的同学可能会发现,我这次没有用spawn()函数来启动chrome应用,因为如果你想hook的动作如果不是在程序开始就进行的话,而是可控的动作,那么你直接attach到其相应的进程上就好了,这样可以避免我从程序一开始就大量hook open,
    此次我们启动的方式为python open.py

    send("open called! args[0]:",Memory.readByteArray(args[0],256));
    

    可以看到args[0]表示open的第一个参数,由于我并不知道第一个参数的长度有多长,所以我用Memory.readByteArray(args[0],256)来读取256个字节(文件名一般不会长过256个字节吧)
    然后传递给send(message[, data])的第二个参数data,
    关于send(message[, data])的介绍也在官网的JS的API中,如下截图:

    image

    可见第二个参数是需要ArrayBuffer类型的,而Memory.readByteArray(args[0],256)的返回值刚好是ArrayBuffer类型的,所以直接传值就可以。
    那么有的同学会问,如果不是ArrayBuffer类型的怎么办,比如说文档中的hexdump(target[, options])函数,它的返回值不是ArrayBuffer类型的,那么我们就需要利用下面的函数来转换:

    function str2ab(str) {
                var buf = new ArrayBuffer(str.length); // 1 bytes for each char
                var bufView = new Uint8Array(buf);
                for (var i=0, strLen=str.length; i < strLen; i++) {
                    bufView[i] = str.charCodeAt(i);
                    }
                return buf;
            }
    

    将上面这段代码放入hook代码中,然后调用它便可以解决问题。
    数据通过send(message[, data])传递给python的on_message(message,data)函数。
    第一个参数message是一个python字典类型,message['payload']存放的是send(message[, data])参数1的内容
    第二个参数data是send(message[, data])的第二个参数,不过是以bytes的类型传递给python data参数。
    所以我们写入文件的话,如果文件打开方式为"ab+"那么直接可以写进去,否则如果是"a+"来打开文件的话,那么需要data.decode()转换为str类型来写入。
    那细心的同学可能问了,你为啥写的data.split(b'\x00')[0],首先我打开方式是"ab+",所以不需要转换类型,其次由于我之前不知道args[0]有多长,所以我读取了256个字节,那这256个字节肯定不是我全想要的,我们知道文件名中肯定不能存在0x00字节,而且C语言中字符串是要以0x00'\0'作为截断的,所以我用split(b'\x00')[0]分割字符串并且取列表中的第一项输出到文件。

    到此我们的open函数就算是hook完了;

    作者:SimonKoh
    链接:https://www.jianshu.com/p/b833fba1bffe
    来源:简书
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

    相关文章

      网友评论

          本文标题:Android逆向 Frida的Hook之旅

          本文链接:https://www.haomeiwen.com/subject/roiknhtx.html