# Frida 基础

虚拟环境安装

给 frida一个纯净的 Python 环境

conda 创建虚拟环境

1
conda create -n frida python=3.8

进入虚拟环境

1
conda activate frida

退出虚拟环境

1
conda deactivate

删除虚拟环境

1
conda remove --name frida --all

Frida

github 地址: frida

官方文档 https://frida.re/docs/home/

安装

1
pip install frida-tools  # 会自动帮你下载Frida 最新版

安装指定版本

1
pip install frida==版本号

因为 一个 frida-tools 会对应多个 frida 版,所以安装指定版本不能直接安装最新版,需查看对应版本号

访问 https://github.com/frida/frida/releases/tag/ + frida 版本号,找到 python3-frida-tools-版本号,即 frida-tools 版本号

1
pip install frida-tools==版本号

查看版本号,验证是否安装成功

1
frida --v

frida 代码提示

1
npm i @types/frida-gum

frida 版本与 Android 版本与 Python 版本

frida Android Python
12.3.6 5-6 3.7
12.8.0 7-8 3.8
14+ 9+ 3.8

fridaserver

安装

fridaserver 与 frida 版本需要匹配,和 frida-tools 一样,访问 https://github.com/frida/frida/releases/tag/ + frida 版本号,可以找到对应的 fridaserver 版本。

文件名的格式为:frida-server-(version)-(platform)-(cpu).xz,需要下载的安卓的也就是frida-server-15.1.14-android-arm64.xz解压后将文件 push 到手机内/data/local/tmp/下,并重命名 fsarm64

1
2
3
4
5
6
7
8
adb push C:\Users\kuizuo\Desktop\frida-server-15.1.14-android-arm64 /data/local/tmp/fsarm64

adb shell
su
cd data/local/tmp
chmod 777 fsarm64

./fsarm64

使用

1
2
3
4
5
6
7
8
9
# CMD 手机端
adb shell
su
./data/local/tmp/fsarm64 # 启动fs服务
# 可添加参数 -l 0.0.0.0:9000 指定端口为9000(默认27042),用于frida -H连接多个设备

# CMD 电脑端
conda activate frida #进入frida环境
frida -H -U -l hook.js

新版本 fridaserver 无需端口转发,旧版可能还需要新开一个 CMD 窗口执行adb forward tcp:27042 tcp:27042

Frida 命令

Hook 前提: 在 hook 时,要保证参数类型执行流程与原代码保持一致,必要的调用与结果返回不可省略,否则将有可能导致程序崩溃。

frida -help 查看帮助,常用选项如下

选项 功能
-U,–usb 连接 USB 设备
-F, –attach-frontmost app 最前显示的应用
-H HOST, –host=HOST 通过端口连接 frida-server 默认监听 局域网 ip:27042
-f FILE, –file=FILE spawn FILE 以包名方式,自动启动 app 用%resume 恢复主线程
-l SCRIPT, –load=SCRIPT 以 js 脚本方式注入
-n NAME, –attach-name=NAME 以包名附加
-p PID, –attach-pid=PID 以 PID 附加
-o LOGFILE, –output=LOGFILE 将结果输出到文件上
–debug 附加到 Node.js 进行调试
–no-pause 启动后,自动运行主线程 可省略%resume

简单 Hook 脚本演示

注:Frida 老版本不支持 es6 语法。

代码如下

title
1
2
3
4
5
6
7
8
9
10
11
12
// java层的代码 都需要在perform下执行
Java.perform(function () {
  // Java.use()   // 选择对应的类名 返回实例化的对象  可直接调用类下方法(反编译后查看)
  var Util = Java.use('com.dodonew.online.util.Utils')
  // 调用类下的md5方法 同时实现方法改为新函数
  Util.md5.implementation = function (a) {
    console.log('a: ', a)
    var ret = this.md5(a)
    console.log('ret: ', ret)
    return ret
  }
})

运行 frida -U -F -l hook.js,触发 hook 的函数,便可打印出参。

获取类

1
2
3
4
// Java.use(类名)
let J_String = Java.use('java.lang.String')
let HashMap = Java.use('java.util.HashMap')
let Utils = Java.use('com.kuizuo.app.Utils')

静态方法与实例方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
类.方法.implementation = function () {
  this.方法()
}

// 如果有返回值则需要将返回值返回

Util.md5.implementation = function (a) {
  console.log('a: ', a)
  let ret = this.md5(a)
  console.log('ret: ', ret)
  return ret
}

const HashMap = Java.use('java.util.HashMap')
HashMap.put.implementation = function (key, value) {
  console.log(JSON.stringify({ key: key.toString(), value: value.toString() }))
  let ret = this.put(key, value) // 如果不修改的话,则需要原封不动的传入。
  return ret
}

重载方法

如果方法有重载,需要使用.overload('java.lang.String') 给定参数个数与类型,如果有重载,但是不使用 overload,frida 将会报错

1
2
3
4
5
6
7
8
9
Util.test.overload('java.lang.String').implementation = function (a) {
  let ret = this.test(a)
  return ret
}

Util.test.overload('int').implementation = function (a) {
  let ret = this.test(a)
  return ret
}

hook 所有重载方法

像上述两个重载方法,就需要编写两份代码,如果重载方法过多,代码不能很好的复用,就可以使用获取类下的所有重载方法

1
2
3
4
5
6
7
8
9
10
11
12
类.方法.overloads // 返回所有重载方法,依次为每个成员实现implementation方法即可hook多个重载方法

let overloads = RequestUtil.encodeDesMap.overloads
for (const overload of overloads) {
  overload.implementation = function () {
    // console.log(Array.from(arguments));
    console.log([...arguments])
    // 两者都是打印参数,将类数组转真实数组

    return this.encodeDesMap(...arguments)
  }
}

构造方法

1
2
3
类.$init.implementation = function () {
  this.$init()
}

实例化对象

1
类.$new() // 等同于 new 类()

主动调用类方法

以下的“类”,是通过Java.use()返回的值。

静态方法

1
类.方法()

实例方法 实例化对象

1
2
let obj = 类.$new()
obj.方法()

实例方法 获取已有对象(Java.choose)

内存中遍历,找到所有符合条件的对象。

1
2
3
4
5
6
7
8
Java.choose('类路径', {
  onMatch: function (obj) {
    obj.方法()
  },
  onComplete: function () {
    console.log('内存中的对象搜索完毕')
  },
})

这样调用不优雅,会陷入回调地狱,所以可以封装成一个外部函数,来调用。(留个伏笔 TODO…)

修改函数参数与返回值

1
2
3
4
5
6
Utils.md5.implementation = function (a) {
  let b = '随便设置的参数值'
  let result = this.md5(b) // 直接修改成b
  return '随便设置的返回值' // frida会将字符串包装成java的String对象。
  // return J_String.$new("随便设置的返回值");
}

获取与修改类字段(成员变量)

静态字段

1
2
类.字段.value // 获取类的属性值
类.字段.value = '新的值' // 修改类的值

实例字段 实例化对象

1
2
let obj = 类.$new()
obj.字段.value

实例字段 获取已有对象(Java.choose)

1
2
3
4
5
6
Java.choose('类路径', {
  onMatch: function (obj) {
    console.log(obj.字段.value)
  },
  onComplete: function () {},
})

:::tip

注: 如果字段名与方法名一样,则需要给字段名前加下划线_,否则获取到的是方法

:::

内部类与匿名类

内部类

1
2
const 外部类$内部类 = Java.use('外部类$内部类') // 变量命名随意
const 外部类$1 = Java.use('外部类$1') // 获取第一个内部类

匿名类

匿名类是根据内存生成,没有具体的内部类名,通过 smali 代码来判断,获取到的可能像下面这样

1
const $1 = Java.use('包名.MainActivity$1')

枚举类

1
2
3
4
5
6
7
8
Java.choose("枚举类" {
    onMatch: function (obj) {
        console.log(obj.ordinal()); // 输出枚举的键
    }, onComplete: function () {

    }
})
console.log(Java.use("枚举类").values()); // 输出值

获取所有类

1
2
Java.enumerateLoadedClassesSync() // 同步获取已加载所有类,返回一个数组
Java.enumerateLoadedClasses() // 异步

加载类下所有方法,属性

使用到 Java 的反射

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
const Utils = Java.use('com.kuizuo.app.Utils')
const methods = Utils.class.getDeclaredMethods() // 方法
const constructors = Utils.class.getDeclaredConstructors() // 构造函数
const fields = Utils.class.getDeclaredFields() // 字段
const classes = Utils.class.getDeclaredClasses() // 内部类
const superClass = Utils.class.getSuperclass() // 父类(抽象类)
const interfaces = Utils.class.getInterfaces() // 所有接口

// 遍历输出
for (const method of methods) {
  console.log(method.getName())
}
// ...

for (const class$ of classes) {
  // class$ 为类的字节码,无需.class
  let fields = class$.getDeclaredFields()
  for (const field of fields) {
    console.log(field.getName())
  }
}

函数堆栈的打印

1
2
3
4
5
function showStack() {
  Java.perform(function () {
    console.log(Java.use('android.util.Log').getStackTraceString(Java.use('java.lang.Throwable').$new()))
  })
}

HashMap 的打印

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
RequestUtil.paraMap.overload('java.util.Map').implementation = function (a) {
  // // a是一个HashMap对象
  let key = a.keySet()
  let it = key.iterator()
  let obj = {}
  while (it.hasNext()) {
    let keystr = it.next()
    let valuestr = a.get(keystr)
    // keystr 与 valuestr 都是Java的对象,需要使用toString转成文本
    // 直接打印结果为 <instance: java.lang.Object, $className: java.lang.String>
    obj[keystr.toString()] = valuestr.toString()
  }
  console.log('obj: ', JSON.stringify(obj)) // 将打印成js的对象
  var result = this.paraMap(a)
  return result
}

安卓关键代码类

类名 方法 作用
android.widget.Toast show 弹窗提示
android.widget.EditText getText 获取编辑框文本
java.lang.StringBuilder toString 字符串获取与拼接
java.lang.String toString/getBytes 获取字符串与字符串字节

写文件

写文件如果写入的不是私有空间的话,需要获取内部存储空间权限

私有空间 /data/data/包名/storage/emulated/0/Android/data/包名

1
2
3
4
5
6
7
8
let current_application = Java.use('android.app.ActivityThread').currentApplication()
let context = current_application.getApplicationContext()
let path = Java.use('android.content.ContextWrapper').$new(context).getExternalFilesDir('Download').toString()
console.log(path) // 获取app的私有空间 /storage/emulated/0/Android/data/包名/files/Download
let file = new File(path + '/test.txt', 'w')
file.write('内容')
file.flush()
file.close()

修改类型

Java.cast

1
2
3
4
5
6
utils.shufferMap2.implementation = function (map) {
  console.log('map: ', map) // 传入的是HashMap对象,但是会向上转型为Map对象 输出[object Object]
  var hashMap = Java.cast(map, Java.use('java.util.HashMap'))
  console.log('hashMap: ', hashMap)
  return this.shufferMap2(hashMap)
}

构建 Java 数组

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
// 普通字符串数组
let arr = Java.array('Ljava.lang.String;', ['字符串1', '字符串2', '字符串3'])

// 对象数组
let integer = Java.use('java.lang.Integer')
let boolean = Java.use('java.lang.Boolean')
let objarr = Java.array('Ljava.lang.Object;', ['字符串1', integer.$new(10), boolean.$new(true)])

// arrayList
var arrayList = Java.use('java.util.ArrayList').$new()
var integer = Java.use('java.lang.Integer')
var boolean = Java.use('java.lang.Boolean')
var Person = Java.use('com.kuizuo.app.Person')
var person = Person.$new('kuizuo', 20)
arrayList.add('kuizuo')
arrayList.add(integer.$new(10))
arrayList.add(boolean.$new(true))
arrayList.add(person)

注: 第一个参数类型给的是Ljava.lang.String; 而不是 [Ljava.lang.String;

指定函数下 hook(取消 hook)

HashMap.put.implementation = null 取消对 HashMap.put 方法的 hook

1
2
3
4
5
6
7
8
9
10
11
12
13
const HashMap = Java.use('java.util.HashMap')
RequestUtil.paraMap.overload('java.util.Map').implementation = function (a) {
  // a是一个HashMap对象
  HashMap.put.implementation = function (key, value) {
    // 只在RequestUtil.paraMap方法调用的时候才会打印HashMap传入的参数
    console.log(JSON.stringify({ key: key.toString(), value: value.toString() }))
    let ret = this.put(key, value)
    return ret
  }
  var result = this.paraMap(a)
  HashMap.put.implementation = null
  return result
}

dex 加载

注入一个类 registerClass

JavaScript API | Frida • A world-class dynamic instrumentation framework

通常是加载某个类,复写某些方法,达到绕过的目的,如证书效验

但此方法相对繁琐,不如直接编写 java 代码编译成 dex 直接注入来的方便,也就有了 dex 的动态加载。

DexClassLoader

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
Java.perform(function () {
  // console.log(Java.enumerateLoadedClassesSync().join("\n"));
  // var dynamic = Java.use("com.xiaojianbang.app.Dynamic");
  // console.log(dynamic);

  // Java.enumerateClassLoaders({
  //     onMatch: function (loader){
  //         try {
  //             Java.classFactory.loader = loader;
  //             var dynamic = Java.use("com.xiaojianbang.app.Dynamic");
  //             console.log("dynamic: ", dynamic);
  //             //console.log(dynamic.$new().sayHello());
  //             dynamic.sayHello.implementation = function () {
  //                 console.log("hook dynamic.sayHello is run!");
  //                 return "xiaojianbang";
  //             }
  //         }catch (e) {
  //             console.log(loader);
  //         }
  //     }, onComplete: function () {
  //
  //     }
  // });

  var dexClassLoader = Java.use('dalvik.system.DexClassLoader')
  dexClassLoader.loadClass.overload('java.lang.String').implementation = function (className) {
    //console.log(className);
    var result = this.loadClass(className)
    //console.log("class: ", result);
    //console.log("class.class: ", result.class);
    //console.log("xxxxxxxx: ", result.getDeclaredMethods());
    if ('com.xiaojianbang.app.Dynamic' === className) {
      Java.classFactory.loader = this
      var dynamic = Java.use('com.xiaojianbang.app.Dynamic')
      console.log('dynamic: ', dynamic)
      //var clazz = dynamic.class;
      //console.log("xxxxxxxx: ", clazz.getDeclaredMethods()[0].invoke(clazz.newInstance(), []));
      //console.log(dynamic.$new().sayHello());
      dynamic.sayHello.implementation = function () {
        console.log('dynamic.sayHello is called')
        return 'xiaojianbang'
      }
      console.log(dynamic.$new().sayHello())
    }
    return result
  }
})

dx

bat: android\SDK\build-tools\sdk 版本\dx.bat

jar 包: android\SDK\build-tools\sdk 版本\lib\dx.jar

使用

1
dx --dex --output=C:\Users\zeyu\Desktop\com\output.dex C:\Users\zeyu\Desktop\com\*

C:\Users\zeyu\Desktop\com\*下存放 java 代码编译后的.class 将其转为 dex 文件,也可指定.class 文件

注: C:\Users\zeyu\Desktop\com\* 绝对路径可能会报错,可使用相对路径。

baksmali 与 smali

github: JesusFreke/smali: smali/baksmali (github.com)

下载地址: JesusFreke / smali / Downloads — Bitbucket

baksmali 将 dex 编译成 smali

smali 将 smali 编译成 dex

使用

反编译 dex

1
java -jar baksmali-2.5.2.jar d classes.dex # 将会生成out的文件夹

回编译 dex

1
java -jar smali-2.5.2.jar a out # 将会生成out.dex文件

apktool

iBotPeaches/Apktool: A tool for reverse engineering Android apk files (github.com)

安装文档: Apktool - How to Install (ibotpeaches.github.io)

apksigner

jar 包: android\SDK\build-tools\sdk 版本\lib\apksigner.jar

1
2
3
apksigner sign --ks xxx.jks xxx.apk
Keystore password for signer #1:
#

frida 注入 dex 文件

1
2
3
Java.openClassFile("/data/local/tmp/xxx.dex").load();

// 就可以在内存中使用加载后的类

脱离 PC 使用 frida

Termux

使用 Termux 终端,补齐 python,node 环境,相当于手机端运行电脑端的 frida,本质上与电脑端相同。

frida-inject

同 fridaserver,下载 frida-inject 移动到手机上,

1
2
3
4
5
6
adb push C:\Users\kuizuo\Desktop\frida-inject-15.1.14-android-arm64 /data/local/tmp/fiarm64

adb shell
su
cd data/local/tmp
chmod 777 fiarm64
使用

前提,hook 的 js 脚本也移动到 fiarm64 相同路径或指定路径。

1
2
./fiarm64 -n 包名 -s 脚本.js
./fiarm64 -p pid -s 脚本.js # ps -A 可查看pid

可以加-e,–eternalize 使其在后台运行。

frida-gadget.so

免 root 使用 frida,但需要重打包 app,比较稳定。可通过魔改系统,让系统帮我们注入 so,免去重打包的繁琐

环境

abd、aapt、jarsigner、apksigner、apktool(这些都需要添加到环境变量中)

使用

使用到 objection patchapk 命令,选项如下

选项 例子 功能
-s xxx.apk -s xxx.apk 指定 apk 文件
-a so 版本 -a arm64-v8a 指定安卓 so 版本
-V frida-gadget 版本号 -V 15.1.14 指定 frida-gadget 版本号,默认最新
-d, –enable-debug -d 是否允许调试
-c, –gadget-config TEXT -c config.txt 加载配置方式打包

frida-gadget 可能会下载失败,去 github 下载frida-gadget-15.1.14-android-arm64.so.xz,解压后将 gadget 文件更名libfrida-gadget.so为存放到C:\Users\zeyu\.objection\android\arm64-v8a

执行

1
objection patchapk -a arm64-v8a -V 15.1.14 -s xxx.apk

将会生成 xxx.objection.apk 文件,卸载原 app(与原 apk 签名不一样,无法覆盖安装),重新安装

重新打开将会进入白屏,正常现象,等待 frida 去连接,相当于 apk 中运行了一个 frida-server。