frida學習-4-對frida脫殼,自動化的理解,
轉載:
https://www.anquanke.com/post/id/197670
1 Frida用於脫殼
安全工程師在拿到應用評測的任務之後,第一件事情是抓到他的收包發包,第二件事情應該就是拿到它的apk,開啟看看裡面是什麼內容,如果不幸它加了殼,可能開啟就是這樣的場景,見下圖,什麼內容都看不到,這時候就要首先對它進行脫殼。
殼的種類非常多,根據其種類不同,使用的技術也不同,這裡稍微簡單分個類:
- 一代整體型殼:採用Dex整體加密,動態載入執行的機制;
- 二代函式抽取型殼:粒度更細,將方法單獨抽取出來,加密儲存,解密執行;
- 三代VMP、Dex2C殼:獨立虛擬機器解釋執行、語義等價語法遷移,強度最高。
先說最難的Dex2C目前是沒有辦法還原的,只能跟蹤進行分析;VMP虛擬機器解釋執行保護的是對映表,只要心思細、功夫深,是可以將對映表還原的;二代殼函式抽取目前是可以從根本上進行還原的,dump出所有的執行時的方法體,填充到dump下來的dex中去的,這也是fart的核心原理;最後也就是目前我們推薦的幾個記憶體中搜索和dump出dex的Frida工具,在一些場景中可以滿足大家的需求。
1.1 檔案頭搜dex
地址是:https://github.com/r0ysue/frida_dump
# frida -U --no-pause -f com.xxxxxx.xxxxxx -l dump_dex.js
____
/ _ | Frida 12.8.9 - A world-class dynamic instrumentation toolkit
| (_| |
> _ | Commands:
/_/ |_| help -> Displays the help system
. . . . object? -> Display information about 'object'
. . . . exit/quit -> Exit
. . . .
. . . . More info at https://www.frida.re/docs/home/
Spawned `com.xxxxx.xxxxx`. Resuming main thread!
[Google Pixel::com.xxxxx.xxxxx]-> [dlopen:] libart.so
_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE 0x7adcac4f74
[DefineClass:] 0x7adcac4f74
[find dex]: /data/data/com.xxxxx.xxxxx/files/7abfc00000_8341c4.dex
[dump dex]: /data/data/com.xxxxx.xxxxx/files/7abfc00000_8341c4.dex
[find dex]: /data/data/com.xxxxx.xxxxx/files/7ac4096000_6e6c8.dex
[dump dex]: /data/data/com.xxxxx.xxxxx/files/7ac4096000_6e6c8.dex
[find dex]: /data/data/com.xxxxx.xxxxx/files/7ac37c4028_8781c4.dex
[dump dex]: /data/data/com.xxxxx.xxxxx/files/7ac37c4028_8781c4.dex
其核心邏輯原理就是下面一句話magic.indexOf("dex") == 0,只要檔案頭中含有魔數dex,就把它dump下來。
if (dex_maps[base] == undefined) {
dex_maps[base] = size;
var magic = ptr(base).readCString();
if (magic.indexOf("dex") == 0) {
var process_name = get_self_process_name();
if (process_name != "-1") {
var dex_path = "/data/data/" + process_name + "/files/" + base.toString(16) + "_" + size.toString(16) + ".dex";
console.log("[find dex]:", dex_path);
var fd = new File(dex_path, "wb");
if (fd && fd != null) {
var dex_buffer = ptr(base).readByteArray(size);
fd.write(dex_buffer);
fd.flush();
fd.close();
console.log("[dump dex]:", dex_path);
}
}
}
}
1.2 DexClassLoader:objection
安卓只能使用繼承自BaseDexClassLoader的兩種ClassLoader,一種是PathClassLoader,用於載入系統中已經安裝的apk;一種就是DexClassLoader,載入未安裝的jar包或apk。
可以用objcetion直接在堆上暴力搜尋所有的dalvik.system.DexClassLoader例項,效果見下圖:
# android heap search instances dalvik.system.DexClassLoader
連熱補丁都被搜出來了,在某些一代殼上效果不錯。
1.3 暴力搜記憶體:DEXDump
地址:https://github.com/hluwa/FRIDA-DEXDump
- 對於完整的
dex,採用暴力搜尋dex035即可找到。 - 而對於抹頭的
dex,通過匹配一些特徵來找到,然後自動修復檔案頭。
效果非常好:
root@roysuekali:~/Desktop/FRIDA-DEXDump# python main.py
[DEXDump]: found target [7628] com.xxxxx.xxxxx
[DEXDump]: DexSize=0x8341c4, SavePath=./com.xxxxx.xxxxx/0x7abfc00000.dex
[DEXDump]: DexSize=0x8341c4, SavePath=./com.xxxxx.xxxxx/0x7ac0600000.dex
root@roysuekali:~/Desktop/FRIDA-DEXDump# du -h com.xxxxx.xxxxx/*
8.3M com.xxxxx.xxxxx/0x7abfc00000.dex
8.3M com.xxxxx.xxxxx/0x7ac0600000.dex
root@roysuekali:~/Desktop/FRIDA-DEXDump# file com.xxxxx.xxxxx/*
com.xxxxx.xxxxx/0x7abfc00000.dex: Dalvik dex file version 035
com.xxxxx.xxxxx/0x7ac0600000.dex: Dalvik dex file version 035
開啟dump下來的dex,非常完整,可以用jadx直接解析。用010開啟可以看到完整的檔案頭——dexn035,其實現程式碼也是簡單粗暴,直接搜尋:64 65 78 0a 30 33 35 00:
Memory.scanSync(range.base, range.size, "64 65 78 0a 30 33 35 00").forEach(function (match) {
var range = Process.findRangeByAddress(match.address);
if (range != null && range.size < match.address.toInt32() + 0x24 - range.base.toInt32()) {
return;
}
var dex_size = match.address.add("0x20").readInt();
if (range != null) {
if (range.file && range.file.path
&& (range.file.path.startsWith("/data/app/")
|| range.file.path.startsWith("/data/dalvik-cache/")
|| range.file.path.startsWith("/system/"))) {
return;
}
if (match.address.toInt32() + dex_size > range.base.toInt32() + range.size) {
return;
}
}
還有一部分想要特徵匹配的功能還在實現中:
// @TODO improve fuzz
if (
range.size >= 0x60
&& range.base.readCString(4) != "dexn"
&& range.base.add(0x20).readInt() <= range.size //file_size
// && range.base.add(0x24).readInt() == 112 //header_size
&& range.base.add(0x34).readInt() < range.size
&& range.base.add(0x3C).readInt() == 112 //string_id_off
) {
result.push({
"addr": range.base,
"size": range.base.add(0x20).readInt()
});
}
1.4 暴力搜記憶體:objection
既然直接使用Frida的API可以暴力搜尋記憶體,那麼別忘了我們上面介紹過的objection也可以暴力搜記憶體。
# memory search "64 65 78 0a 30 33 35 00"
搜出來的offset是:0x79efc00000,大小是c4 41 83 00,也就是0x8341c4,轉化成十進位制就是8602052,最後dump下來的內容與FRIDA-DEXDump脫下來的一模一樣,拖到jdax裡可以直接解析。
2 Frida用於自動化
在Frida出現之前,沒有任何一款工具,可以在語言級別支援直接在電腦上呼叫app中的方法。像Xposed是純Java,根本就沒有電腦上執行的版本;各種Native框架也是一樣,都是由C/C++/asm實現,根本與電腦毫無關係。
而Frida主要是一款在電腦上操作的工具,其本身就決定了其“高併發”、“多聯通”、“自動化”等特性:
- “高併發”:同時操作多臺手機,同時呼叫多個手機上的多個
app中的演算法; - “多聯通”:電腦與手機互聯互通,手機上處理不了的在電腦上處理、反之亦然;
- “自動化”:手機電腦互相協同,實現橫跨桌面、移動平臺協同自動化利器。
2.1 連線多臺裝置
Frida用於自動化的場景中,必然是不可能在終端敲frida-tools裡的那些命令列工具的,有人說可以將這些命令按順序寫成指令碼,那為啥不直接寫成python指令碼呢?枉費大鬍子叔叔(Frida的作者oleavr的頭像)為我們寫好了Python bindings,我們只需要直接呼叫即可享受。
Python bindings在安裝好frida-tools的時候已經預設安裝在我們的電腦上了,可以直接使用。
連線多臺裝置非常簡單,如果是USB口直接連線的,只要確保adb已經連線上,如果是網路除錯的,也要用adb connect連線上,並且都開啟frida server,鍵入adb devices或者frida-ls-devices命令時多臺裝置的id都會出現,最終可以使用frida.get_device(id)的API來選擇裝置,如下圖所示。
2.2 互聯互通
互聯互通是指把app中捕獲的內容傳輸到電腦上,電腦上處理結束後再發回給app繼續處理。看似很簡單的一個功能,目前卻僅有Frida可以實現。
比如說我們有這樣一個app,其中最核心的地方在於判斷使用者是否為admin,如果是,則直接返回錯誤,禁止登陸。如果不是,則把使用者和密碼上傳到伺服器上進行驗證登入操作,其核心程式碼邏輯如下:
public class MainActivity extends AppCompatActivity {
EditText username_et;
EditText password_et;
TextView message_tv;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
password_et = (EditText) this.findViewById(R.id.editText2);
username_et = (EditText) this.findViewById(R.id.editText);
message_tv = ((TextView) findViewById(R.id.textView));
this.findViewById(R.id.button).setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
if (username_et.getText().toString().compareTo("admin") == 0) {
message_tv.setText("You cannot login as admin");
return;
}
//我們hook的目標就在這裡
message_tv.setText("Sending to the server :" + Base64.encodeToString((username_et.getText().toString() + ":" + password_et.getText().toString()).getBytes(), Base64.DEFAULT));
}
});
}
}
執行起來的效果如下圖:
我們的目標就是在電腦上“得到”輸入框輸入的內容,並且修改其輸入的內容,並且“傳輸”給安卓機器,使其通過驗證。也就是說,我們的目標是哪怕輸入admin的賬戶名和密碼,也可以繞過本地校驗,進行伺服器驗證登陸的操作。
所以最終我們的hook程式碼的邏輯就是,擷取輸入,傳輸給電腦,暫停執行,得到電腦傳回的資料之後,繼續執行,用js來寫就這麼寫:
Java.perform(function () {
var tv_class = Java.use("android.widget.TextView");
tv_class.setText.overload("java.lang.CharSequence").implementation = function (x) {
var string_to_send = x.toString();
var string_to_recv;
send(string_to_send); // 將資料傳送給kali主機的python程式碼
recv(function (received_json_object) {
string_to_recv = received_json_object.my_data
console.log("string_to_recv: " + string_to_recv);
}).wait(); //收到資料之後,再執行下去
return this.setText(string_to_recv);
}
});
在電腦上的處理流程是,將接受到的JSON資料解析,提取出其中的密碼部分保持不變,然後將使用者名稱替換成admin,這樣就實現了將admin和password傳送給伺服器的結果。我們的程式碼如下:
import time
import frida
def my_message_handler(message, payload):
print message
print payload
if message["type"] == "send":
print message["payload"]
data = message["payload"].split(":")[1].strip()
print 'message:', message
data = data.decode("base64") # 解碼
user, pw = data.split(":") # 提取使用者名稱和密碼
data = ("admin" + ":" + pw).encode("base64") # 組成新的組合並編碼
print "encoded data:", data
script.post({"my_data": data}) # 將JSON物件傳送回去
print "Modified data sent"
device = frida.get_usb_device()
pid = device.spawn(["com.roysue.demo04"])
device.resume(pid)
time.sleep(1)
session = device.attach(pid)
with open("s4.js") as f:
script = session.create_script(f.read())
script.on("message", my_message_handler) # 註冊訊息處理函式
script.load()
raw_input()
同樣很多手機上無法處理的資料,也可以編碼後傳送到電腦上進行處理,比如處理GBK編碼的中文字符集資料,再比如對dump下來的記憶體或so進行二次解析還原等,這些在js幾乎是無法處理的(或難度非常大),但是到了電腦上就易如反掌,用python匯入幾個庫就可以。
在一些(網路)介面的模糊測試的場景中,一些字典和畸形資料的構造也會在電腦上完成,app端最多作為執行端接受和傳送這些資料,這時候也需要使用到Frida互聯互通動態修改的功能。
2.3 遠端呼叫(RPC)
在腳本里定義一個匯出函式,並用rpc.exports的字典進行宣告:
function callSecretFun() { //定義匯出函式
Java.perform(function () {
//to-do 做自己想做的事情
//比如這裡是找到隱藏函式並且呼叫
Java.choose("com.roysue.demo02.MainActivity", {
onMatch: function (instance) {
console.log("Found instance: " + instance);
console.log("Result of secret func: " + instance.secret());
},
onComplete: function () { }
});
});
}
rpc.exports = {
callsecretfunction: callSecretFun //把callSecretFun函式匯出為callsecretfunction符號,匯出名不可以有大寫字母或者下劃線
};
在電腦上就可以直接在py程式碼裡呼叫這個方法:
import time
import frida
def my_message_handler(message, payload):
print message
print payload
device = frida.get_usb_device()
pid = device.spawn(["com.roysue.demo02"])
device.resume(pid)
time.sleep(1)
session = device.attach(pid)
with open("s3.js") as f:
script = session.create_script(f.read())
script.on("message", my_message_handler)
script.load()
command = ""
while 1 == 1:
command = raw_input("Enter command:n1: Exitn2: Call secret functionnchoice:")
if command == "1":
break
elif command == "2": #在這裡呼叫
script.exports.callsecretfunction()
最終效果就是按一下2,function callSecretFun()就會被執行一次,並且結果會顯示在電腦上的py腳本里,以供後續繼續處理,非常方便。
筆者有一位朋友甚至將該介面使用python的flask框架暴露出去,讓網路裡的每個人都可以呼叫該方法,給自己的發包進行簽名,可用說是一個需求非常龐大的場景。
3 Frida更多技巧
最後收集和整理一下大家在學習Frida的過程中可能會遇到的幾個高頻問題,以餮讀者。
3.1 必須上版本管理
Frida從面世到現在已經有四五年了,大概17~18年那會兒開始火爆起來,大量的指令碼和工具程式碼都是那段時間寫出來的,而Frida又升級特別快,新的Frida對老的指令碼相容性不是很好,見下圖最新的Frida執行老的指令碼,日誌格式已經亂掉了,而老版本(12.4.8)就沒問題,見圖2-18。如果要執行一些兩三年曆史的程式碼,必然需要安裝兩三年前左右的版本,這樣才能跑起來,並且不出錯。
版本管理用pyenv即可,熟練使用pyenv可以基本上滿足同時安裝幾十個Frida版本的需求。
3.2 反除錯基本思路
幾個最基本的思路,首先frida-server的檔名改掉,類似於frida-server-12.8.9-android-arm64這樣的檔名,我一般改成fs1289amd64,當然讀者可以想改成啥就改成啥。
有些反除錯還會檢查埠,比如frida-server的預設埠是27042,這個埠一般不會有人用,如果27042埠開啟並且正在監聽,反除錯就會工作,可以把埠改成非標準埠,方法下一小節就講。
最後還有一種通過Frida記憶體特徵對maps中elf檔案進行掃描匹配特徵的反除錯方法,支援frida-gadget和frida-server,專案地址在這裡。
其核心程式碼如下:
void *check_loop(void *) {
int fd;
char path[256];
char perm[5];
unsigned long offset;
unsigned int base;
long end;
char buffer[BUFFER_LEN];
int loop = 0;
unsigned int length = 11;
//"frida:rpc"的記憶體佈局特徵
unsigned char frida_rpc[] =
{
0xfe, 0xba, 0xfb, 0x4a, 0x9a, 0xca, 0x7f, 0xfb,
0xdb, 0xea, 0xfe, 0xdc
};
for (unsigned char &m : frida_rpc) {
unsigned char c = m;
c = ~c;
c ^= 0xb1;
c = (c >> 0x6) | (c << 0x2);
c ^= 0x4a;
c = (c >> 0x6) | (c << 0x2);
m = c;
}
//開始檢測frida反除錯迴圈
LOGI("start check frida loop");
while (loop < 10) {
fd = wrap_openat(AT_FDCWD, "/proc/self/maps", O_RDONLY, 0);
if (fd > 0) {
while ((read_line(fd, buffer, BUFFER_LEN)) > 0) {
// 匹配frida-server和frida-gadget的記憶體特徵
if (sscanf(buffer, "%x-%lx %4s %lx %*s %*s %s", &base, &end, perm, &offset, path) !=
5) {
continue;
}
if (perm[0] != 'r') continue;
if (perm[3] != 'p') continue;
if (0 != offset) continue;
if (strlen(path) == 0) continue;
if ('[' == path[0]) continue;
if (end - base <= 1000000) continue;
if (wrap_endsWith(path, ".oat")) continue;
if (elf_check_header(base) != 1) continue;
if (find_mem_string(base, end, frida_rpc, length) == 1) {
//發現其記憶體特徵
LOGI("frida found in memory!");
#ifndef DEBUG
//殺掉自己的程序
wrap_kill(wrap_getpid(),SIGKILL);
#endif
//退出
break;
}
}
} else {
LOGI("open maps error");
}
wrap_close(fd);
//休息三秒,進入下一個檢查迴圈,也就是這個反除錯一共會運作30秒,30秒後結束
loop++;
sleep(3);
}
return nullptr;
}
void anti_frida_loop() {
pthread_t t;
//建立一個執行緒,執行反除錯工作
if (pthread_create(&t, nullptr, check_loop, (void *) nullptr) != 0) {
exit(-1);
};
pthread_detach(t);
}
想過這種反除錯,得找到反除錯在哪個so的哪裡,nop掉建立check_loop執行緒的地方,或者nop掉kill自己程序的地方,都可以。也可以直接kill掉反除錯程序,筆者就曾經遇到過這種情況,frida命令注入後,app調不起來,這時候用ps -e命令檢視多一個反除錯程序,直接kill掉那個程序後,app就起來了,這個app是使用的一個大廠的加固服務,這個程序就是殼的一部分。
3.3 非標準埠連線
比如將frida-server啟動在6666埠:
# ./fs1287amd64 -l 0.0.0.0:6666
使用frida-tools工具和objection分別連線的方法如下:
# frida-ps -H 192.168.1.102:6666
# objection -N -h 192.168.1.102 -p 6666 -g com.android.settings explore
效果如圖所示:
圖 連線非標準埠
在python bindings中連線的話,會稍微複雜一點點,因為python bindings只認adb,所以要通過adb命令將手機的6666埠對映到電腦的27042埠:
$ adb forward tcp:27042 tcp:6666
這樣python bindings也可以正常使用了。
3.4 列印byte[]``[B
ByteString.of是用來把byte[]陣列轉成hex字串的函式, 安卓系統自帶ByteString,app裡面沒有也沒關係,可以去系統裡面拿,這裡給個小案例:
var ByteString = Java.use("com.android.okhttp.okio.ByteString");
var j = Java.use("xxxxxxx.business.comm.j");
j.x.implementation = function() {
var result = this.x();
console.log("j.x:", ByteString.of(result).hex());
return result;
};
j.a.overload('[B').implementation = function(bArr) {
this.a(bArr);
console.log("j.a:", ByteString.of(bArr).hex());
};
3.5hook管理子程序
經常有人會問,像那種com.xxx.xxx:push、com.xxx.xxx:service、com.xxx.xxx:notification、com.xxx.xxx:search這樣的程序如何hook,或者說如何在其建立伊始進行hook,因為這樣的程序一般都是由主程序fork()出來的。
這種的就要用到Frida最新的Child gating機制,可以參考我的這篇文章《FRIDA腳本系列(四)更新篇:幾個主要機制的大更新》,官方的完整程式碼在這裡。可以在程序建立之初對該程序進行控制和hook,已經很多人用了,效果很好,達成目標。
3.6hook混淆方法名
有些方法名上了很強的混淆,如何處理?其實很簡單,可以看上面ZenTracer的原始碼,hook類的所有子類,hook類的所有方法,並且hook方法的所有過載,我這裡也提供了原始碼和文章,《FRIDA腳本系列(二)成長篇:動靜態結合逆向WhatsApp》。
3.7 中文引數問題
hook某些方法的時候,發現傳進來的引數竟然是中文的,如何打印出來?如果是utf8還好,Frida的CLI也是直接支援utf8的,如果是GBK字符集的,目前沒有找到在js裡進行列印的方法,可以send()到電腦上進行列印。
3.8hook主動註冊
使用Frida來hookJNI的一些函式,打印出主動呼叫的執行路徑。下面是hookGoogle play Market的例子:
frida -U --no-pause -f com.android.vending -l hook_RegisterNatives.js
____
/ _ | Frida 12.6.13 - A world-class dynamic instrumentation toolkit
| (_| |
> _ | Commands:
/_/ |_| help -> Displays the help system
. . . . object? -> Display information about 'object'
. . . . exit/quit -> Exit
. . . .
. . . . More info at http://www.frida.re/docs/home/
Spawning `com.android.vending`...
GetFieldID is at 0xf1108e4d _ZN3art3JNI10GetFieldIDEP7_JNIEnvP7_jclassPKcS6_
AllocObject is at 0xf10f1809 _ZN3art3JNI11AllocObjectEP7_JNIEnvP7_jclass
GetMethodID is at 0xf10f3175 _ZN3art3JNI11GetMethodIDEP7_JNIEnvP7_jclassPKcS6_
NewStringUTF is at 0xf111fc71 _ZN3art3JNI12NewStringUTFEP7_JNIEnvPKc
GetObjectClass is at 0xf10f2841 _ZN3art3JNI14GetObjectClassEP7_JNIEnvP8_jobject
RegisterNatives is at 0xf11301fd _ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi
CallObjectMethod is at 0xf10f3745 _ZN3art3JNI16CallObjectMethodEP7_JNIEnvP8_jobjectP10_jmethodIDz
GetStaticFieldID is at 0xf111949d _ZN3art3JNI16GetStaticFieldIDEP7_JNIEnvP7_jclassPKcS6_
GetStaticMethodID is at 0xf110e6d1 _ZN3art3JNI17GetStaticMethodIDEP7_JNIEnvP7_jclassPKcS6_
GetStringUTFChars is at 0xf11203e1 _ZN3art3JNI17GetStringUTFCharsEP7_JNIEnvP8_jstringPh
ReleaseStringUTFChars is at 0xf11207fd _ZN3art3JNI21ReleaseStringUTFCharsEP7_JNIEnvP8_jstringPKc
FindClass is at 0xf10ec7a1 _ZN3art3JNI9FindClassEP7_JNIEnvPKc
Spawned `com.android.vending`. Resuming main thread!
[Google Pixel XL::com.android.vending]-> [RegisterNatives] method_count: 0x6
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeInit sig: ([Ljava/lang/String;)V fnPtr: 0xd454f349 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130349
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeHasSwitch sig: (Ljava/lang/String;)Z fnPtr: 0xd454f369 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130369
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeGetSwitchValue sig: (Ljava/lang/String;)Ljava/lang/String; fnPtr: 0xd454f3bd module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x1303bd
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeAppendSwitch sig: (Ljava/lang/String;)V fnPtr: 0xd454f461 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130461
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeAppendSwitchWithValue sig: (Ljava/lang/String;Ljava/lang/String;)V fnPtr: 0xd454f499 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130499
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeAppendSwitchesAndArguments sig: ([Ljava/lang/String;)V fnPtr: 0xd454f4f1 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x1304f1
[RegisterNatives] method_count: 0x3
[RegisterNatives] java_class: org.chromium.base.EarlyTraceEvent name: nativeRecordEarlyEvent sig: (Ljava/lang/String;JJIJ)V fnPtr: 0xd454f94d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x13094d
[RegisterNatives] java_class: org.chromium.base.EarlyTraceEvent name: nativeRecordEarlyStartAsyncEvent sig: (Ljava/lang/String;JJ)V fnPtr: 0xd454fa3d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130a3d
[RegisterNatives] java_class: org.chromium.base.EarlyTraceEvent name: nativeRecordEarlyFinishAsyncEvent sig: (Ljava/lang/String;JJ)V fnPtr: 0xd454fae5 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130ae5
[RegisterNatives] method_count: 0x4
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeFindFullName sig: (Ljava/lang/String;)Ljava/lang/String; fnPtr: 0xd454fb8d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130b8d
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeTrialExists sig: (Ljava/lang/String;)Z fnPtr: 0xd454fbff module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130bff
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeGetVariationParameter sig: (Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String; fnPtr: 0xd454fc2f module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130c2f
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeLogActiveTrials sig: ()V fnPtr: 0xd454fd1d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130d1d
[RegisterNatives] method_count: 0x2
原始碼地址:https://github.com/lasting-yang/frida_hook_libart
3.9 追蹤JNI API
地址:https://github.com/chame1eon/jnitrace
3.10 延遲hook
很多時候在帶殼hook的時候,善用兩個frida提供的延時hook機制:
frida --no-pause是程序直接執行,有時候會hook不到,如果把--no-pause拿掉,進入CLI之後延遲幾秒再使用%resume恢復執行,就會hook到;js中的setTimeout(func, delay[, ...parameters])函式,會延時delay毫秒來呼叫func,有時候不加延時會hook不到,加個幾百到幾千毫秒的延時就會hook到。