hook的作用hook,譯為“鉤子”,是指將方法/函數(shù)勾住,勾住后我們可以做一些我們想做的事情。實(shí)際上我們可以通過(guò)一些工具,可以把我們java、native層面的方法/函數(shù)調(diào)用給“勾住了”,或者直接理解為監(jiān)聽(tīng),我們可以監(jiān)聽(tīng)到調(diào)用方法,方法的傳參,以及修改方法的返回值等等
了解這些工具,可以幫助我們更好的去定位問(wèn)題、進(jìn)行debug,甚至可以對(duì)一些app進(jìn)行破解修改
常見(jiàn)的逆向工具工具/方法 | 作用 | java層 | native層 | SDK集成 | 是否需要root | 備注 | 其他 |
---|---|---|---|---|---|---|---|
JADX | 反編譯查看源碼 | 支持 | 不支持 | 無(wú) | 無(wú) | 加固的apk需要先脫殼 | |
apktool | 反編譯/回編 APK | 無(wú) | 無(wú) | 無(wú) | 無(wú) | 修改smail碼 | |
epic/sandhook | app集成SDK進(jìn)行代碼hook | 支持 | 支持 | 需要 | 不需要 | xposed框架,不同的系統(tǒng)API不一致需要適配 | |
xposed插件 | 在集成了xposed框架的安卓環(huán)境上進(jìn)行hook | 支持 | 不支持 | 不需要 | 需要 | 需要root,其他同上 | |
frida | 在root的安卓環(huán)境下,對(duì)java/native 直接進(jìn)行二進(jìn)制hook | 支持 | 支持 | 需要 | 需要 | 需要root環(huán)境,python環(huán)境 |
frida是一款二進(jìn)制hook框架,支持java/native層hook,需要root環(huán)境,因?yàn)槭嵌M(jìn)制內(nèi)存hook,可以實(shí)現(xiàn)直接hook當(dāng)前進(jìn)程,無(wú)需集成SDK甚至不需要重啟進(jìn)程
// 安裝特定版本 pip install frida==版本號(hào)
pip install frida
pip install frida-tools
// 網(wǎng)絡(luò)不好使用鏡像庫(kù)
pip install firda -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com
// 查看當(dāng)前frida版本
frida --version
adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043
# 這里放于 /data/local/tmp
adb push E:\frida-server /data/local/tmp/frida-server
# 進(jìn)入adb shell
adb shell
# 以管理員權(quán)限訪問(wèn)
su
# 進(jìn)入frida-server目錄
cd /data/local/tmp
# 提供權(quán)限
chmod 777 frida-server
# 運(yùn)行frida-server
./frida-server
# 命令成功輸出進(jìn)程列表
frida-ps -U
# 根據(jù)包名連接目標(biāo)進(jìn)程
frida -U -f com.xxx.xxx
執(zhí)行hookimport frida, sys
def on_message(message, data):
if message['type'] == 'send':
print("[*] {0}".format(message['payload']))
else:
print(message)
jscode = """
Java.perform(() =>{
// Function to hook is defined here
const MainActivity = Java.use('com.example.seccon2015.rock_paper_scissors.MainActivity');
// Whenever button is clicked
const onClick = MainActivity.onClick;
onClick.implementation = function (v) {
// Show a message to know that the function got called
send('onClick');
// Call the original onClick handler
onClick.call(this, v);
// Set our values after running the original onClick handler
this.m.value = 0;
this.n.value = 1;
this.cnt.value = 999;
// Log to the console that it's done, and we should have the flag!
console.log('Done:' + JSON.stringify(this.cnt));
};
});
"""
# pid or package name
process = frida.get_usb_device().attach(13347)
script = process.create_script(jscode)
script.on('message', on_message)
print('[*] Running CTF')
script.load()
sys.stdin.read())
script = process.create_script(jscode)
script.on('message', on_message)
print('[*] Running CTF')
script.load()
sys.stdin.read()
frida -U [pid|packagename] -l test.js
常用hook腳本/APIpublic class TestStaticClass {public static int count = 0;
private static String TAG = "TestStaticClass";
public static String getCountString(){Log.i(TAG, "call testMethod");
return "count:" + count;
}
public static void addCount(){count++;
}
public static String getCountString(int input){return "getCountString:" + input;
}
public static String getCountString(int[] input){return "getCountString:" + Arrays.toString(input);
}
public void testStack(){Log.i(TAG, "call testStack");
}
}
方法 | 含義 | 其他 |
---|---|---|
$new | 新建對(duì)象 | |
$init | 構(gòu)造函數(shù) |
const JavaString = Java.use('java.lang.String');
var exampleString1 = JavaString.$new('Hello World, this is an example string in Java.');
獲取類與靜態(tài)函數(shù)方法調(diào)用
Java.perform(() =>{const TestStaticClass = Java.use("com.hjl.nativetest.TestStaticClass");
TestStaticClass.count.value = 1; //訪問(wèn)靜態(tài)變量
TestStaticClass.addCount(); //hook靜態(tài)函數(shù)直接調(diào)用
});
hook方法打印方法值并修改返回值
Java.perform(() =>{// 獲取類
const TestStaticClass = Java.use("com.hjl.nativetest.TestStaticClass");
// 獲取方法
const getCountString = TestStaticClass.getCountString;
// hook方法
getCountString.implementation = function () {// 當(dāng)方法調(diào)用時(shí)
send('call getCountString');
// 調(diào)用原方法獲取結(jié)果
var result = getCountString.call(this);
console.log("getCountString:" + result);
// 返回自定義的結(jié)果
return "hook return String";
};
// 獲取重載方法
// 基礎(chǔ)類型直接填,數(shù)組以類似JNI的簽名形式如[I ,類型填完整類
const getCountString2 = TestStaticClass.getCountString.overload('int')
getCountString2.implementation = function (data) {// 打印原始輸入?yún)?shù)
send('call getCountString:' + data);
// 調(diào)用原方法獲取結(jié)果
var result = getCountString2.call(this,data);
console.log("getCountString:" + result);
// 返回自定義的結(jié)果
return "hook return String";
};
});
獲取調(diào)用棧
Java.perform(() =>{const TestStaticClass = Java.use("com.hjl.nativetest.TestStaticClass");
const Exception = Java.use('java.lang.Exception');
const Log = Java.use('android.util.Log');
const testStack = TestStaticClass.testStack
testStack.implementation = function () {console.log(stackTraceHere());
};
function stackTraceHere() {return Log.getStackTraceString(Exception.$new());
}
});
你是否還在尋找穩(wěn)定的海外服務(wù)器提供商?創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源,準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性,企業(yè)級(jí)服務(wù)器適合批量采購(gòu),新人活動(dòng)首月15元起,快前往官網(wǎng)查看詳情吧