记录对frida、xposed hook的一点理解

最新推荐文章于 2024-10-21 13:56:50 发布
最新推荐文章于 2024-10-21 13:56:50 发布
阅读量1.6k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
文章标签: java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zh619569096/article/details/119887526
本文探讨了在Android逆向工程中使用Frida和Xposed进行动态Hook的技术,以及如何通过广播实现模块间的通信。作者通过实例展示了如何在不修改原应用代码的情况下,利用Frida获取加密参数sign,并在Xposed环境中遇到的问题和解决方案,强调了进程间通信的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

记录对frida、xposed hook的一点理解


先说结论:hook就类似于在自己项目里导入了一个第三方jar,一般情况下不需要去关注app内的方法是怎么实现的,只需要确定需要传递的参数即可。使用方式和调用api类似。

由于数据抓取问题接触了安卓逆向,先后使用了frida与xposed,但之前在使用上一直存在误区,例如下面这段代码

Java.perform(function() {
		var SecurityGuardManager = Java.use("com.alibaba.wireless.security.open.SecurityGuardManager");
		var MtopUtils = Java.use("mtopsdk.common.util.MtopUtils");
		var Map = Java.use("java.util.HashMap");
		var Md5 = Java.use("mtopsdk.security.util.SecurityUtils");
		var SecurityGuardParamContext = Java.use("com.alibaba.wireless.security.open.SecurityGuardParamContext");
		/**
		省略一部分代码
		**/
		var input = hashMap.get("utdid") + "&" + hashMap.get("uid") + "&&" + hashMap.get("appKey") + "&" + hashMap.get("data") + "&" + hashMap.get("t") + "&" + hashMap.get("api") + "&" + hashMap.get("v") + "&" + hashMap.get("sid") + "&" + hashMap.get("ttid") + "&" + hashMap.get("deviceId") + "&" + hashMap.get("lat") + "&" + hashMap.get("lng") + "&" + hashMap.get("x-features");
		var inputMap = Map.$new();
		inputMap.put("INPUT", input);
		var securityGuardParamContext = SecurityGuardParamContext.$new();
		securityGuardParamContext.appKey.value = hashMap.get("appKey");
		securityGuardParamContext.requestType.value = 7;
		securityGuardParamContext.paramMap.value = inputMap;
		var sign = SecurityGuardManager.getInstance(MtopUtils.getContext()).getSecureSignatureComp().signRequest(securityGuardParamContext, "");
		console.log("sign:" + sign);
	});

这段代码是想实现主动调用frida获取加密参数sign,运行效果没有问题可以获取sign,但是代码实现属于脱裤子放屁多此一举。。。。。尤其是后来想按照这个逻辑编写xposed插件时,更是难以实现。

特此记录一下,引以为戒

记录xposed插件间通信方式


需要通过遍历ID的方式抓取某APP数据,最初的想法是为插件写个界面,在界面里设置要遍历的ID范围,通过一个按钮控制生成sign方法的启停,sign生成后发送http通过一个web服务将sign存入redis,然后服务器上的爬虫轮询redis进行数据抓取。
实际编写时遇到问题,即Activity与hook方法数据不能互通。原因是因为Activity与hook就不在一个进程内,虽然Activity与hook方法在同一个app内,所以需要将Activity与hook看作两个不同的app,数据想要互通就需要考虑跨进程通讯。
最后是通过广播实现的数据交互,当然还有其他解决方式,但对于一个android小白来说,这算是最简单的方法了。
再补充一点,同一个handleLoadPackage方法里不管你hook多少接口,只要hook的应用不同数据变不能共享,想共享数据就必须跨进程,相应的如果hook的应用相同,数据便是共享的。

下面来说下具体的实现
1.首先是在Activity的按钮点击监听事件中,发送广播

		// 首先是在Activity的按钮点击监听事件中,发送广播
        loginButton.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
							 // 要广播的参数
                JSONObject jsonObject = new JSONObject();
                jsonObject.put("startId", usernameEditText.getText().toString());
                jsonObject.put("endId", passwordEditText.getText().toString());
                jsonObject.put("status", loginButton.getText().equals("启动") ? 1 : 2);

                // 发送广播
                Intent i = new Intent("koubei_intent_send");
                i.putExtra("json", jsonObject.toJSONString());
                sendBroadcast(i, null);
                // 修改按钮文字,输出提示信息
                if(loginButton.getText().equals("启动")) {
                    updateUiWithUser("任务已启动");
                    loginButton.setText("停止");
                } else {
                    updateUiWithUser("任务已停止");
                    loginButton.setText("启动");
                }
            }
        });

2.在handleLoadPackage里需要hook两个接口,一个是Application的onCreate方法并在此处动态注册自己的广播接收者(最好通过processName名称过滤一下,不然有可能多次注册广播接收者)。
另一个就是hook sign的生成方法了。

	/**
     * 实现广播接收
     * */
    private final BroadcastReceiver myReceiver = new BroadcastReceiver() {
        @Override
        public void onReceive(Context context, Intent intent) {
            if (intent.getAction().equals("koubei_intent_send")) {
                JSONObject jsonObject = JSONObject.parseObject(intent.getStringExtra("json"));
                startId = jsonObject.getInteger("startId");
                endId = jsonObject.getInteger("endId");
                status = jsonObject.getInteger("status");
                XposedBridge.log("=================>接收广播【json】:" + intent.getStringExtra("json"));
                if(status == 1) {
                    new Thread(() -> {
                    	// 具体的sign参数生成方法,这里省略了。。。
                        createSign();
                    }).start();
                }
            }
        }
    };
    
    // 实现目标接口hook
	@Override
    public void handleLoadPackage(LoadPackageParam loadPackageParam) throws Throwable {
        
        if(loadPackageParam.packageName.equals("com.taobao.mobile.dipei")) {
            /**
             * hook Application并注册广播接收者
             */
            XposedHelpers.findAndHookMethod(Application.class, "onCreate", new XC_MethodHook() {
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
                    application = (Application) param.thisObject;

                    // 过滤一下进程名称,不然广播接收会被多次注册,
                    if(intentFilter == null && loadPackageParam.processName.equals("com.taobao.mobile.dipei")) {
                        XposedBridge.log("=================>【" + loadPackageParam.processName + "】注册广播接收者");
                        intentFilter = new IntentFilter();
                        intentFilter.addAction("koubei_intent_send");//要接收的广播
                        application.registerReceiver(myReceiver, intentFilter);//注册接收者
                    }
                }
            });

            /**
             * hook sign参数生成接口
             */
            XposedHelpers.findAndHookMethod(
                 // 获取生成sign的method及object,将其赋值给当前类中的类变量 其他方便便可以调用到了。
            );
        }
    }
		
	// 定义具体的sign生成方法
    private void createSign() {
		// 生成sign,通过okhttp发送给web服务器进行保存,爬虫轮询抓取。
		// 这样做的好处就是不用限制网络,只要有网就能运行,不过这并不是唯一的解决方式,像内网穿透之类的也可以	
	}
逆向中 工具:FridaXposedHook有什么区别?
liuruiaaa的博客
07-21 1557
逆向中 工具:FridaXposedHook有什么区别?
[超级详细]Frida HookXposed Hook 再搞Crackme
杰孑的博客
01-24 1434
[超级详细]Frida HookXposed Hook 再搞Crackme 推荐上篇文章地址:[超级详细]实战分析一个Crackme的过程 一、Frida Hook过登录密码验证 1、frida 安装配置与手机互通 安装firda: pip install frida Frida 下载地址 安装frida-tools: pip install frida-tools frida server 根据手机CPU型号下载合适的推送到手机 frida server 下载地址 我下载的是:f
xposedfrida对比
weixin_34194702的博客
05-28 5164
xposedfrida简单对比,xposed只能hook java函数,通过查看源码发现没有注入,而是劫持了app_process 程序。所有对native层无能为力,要想hook必须注入。frida 能够hook 所有平台的,肯定实现了注入。简单查看源码发现,windows下用的远程线程注入,代码地址:https://github.com/frida/frida-core/blob/5a2a5...
xposed/frida总结
iris的博客
05-14 2792
第一代加固 第一代加固原理是基于 Dex 加载器的加固技术。 基本步骤 1、从 Apk 文件中获取原始的 dex 文件。 2、对原始的 dex 文件进行加密,并将加密后的 dex 文件存放在 asset 目录。 3、用脱壳 dex 文件替换原始 apk 文件的 dex 文件。脱壳 dex 文件的作用主要有两个:一是解密加密后的 dex 文件,二是动态加载解密后的 dex 文件。 4、修改清单文件,将程序入口改为壳程序。 5、打包签名。 缺陷 依赖 Java 的动态加载机制,解密后的 dex 文件必须解压到文
hook Crackme
一纸繁鸢
01-06 253
[超级详细] FrIDA HookXposed Hook 再搞Crackme 推荐上篇文章地址:[超级详细]实战分析一个Crackme的过程 一、Frida Hook过登录密码验证 1、frida 安装配置与手机互通 安装firda:pip install frida Frida 下载地址 安装frida-tools:pip install frida-tools frida ser...
xposedfrida有什么区别?
最新发布
SXXYNHHXX的博客
10-21 1036
Xposed 是一个框架,允许用户在不修改 APK 文件的情况下更改系统和应用程序的行为。它通过替换。
Frida Android hook
墨鱼菜鸡
07-11 4155
From:https://eternalsakura13.com/2020/07/04/frida/ 目录 1、r0ysue 大佬 2、Frida 环境 2.1 pyenv 2.2 frida 安装 2.3 安装 objection 2.4 frida 使用 frida 帮助 和 frida-server 帮助 2.5 frida 开发...
frida hook java 函数_基于frida框架Hook native中的函数(1)
weixin_39628380的博客
02-23 851
0x01 前言关于androidhook以前一直用的xposedhook java层的函数,对于so层则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
使用 frida hook Android app
future_M的博客
06-25 1312
frida-server:运行在安卓端,与电脑端进行通信,接收电脑端的调试请求,并将 JavaScript 编写的 hook 代码注入到目标 app 中。电脑端:与 frida-server 通信,可以使用多种编程语言编写脚本和管理注入过程,最常用的是 Python。JavaScript脚本:编写具体的注入和修改逻辑,并通过电脑端提供的环境被推送到 frida-server 中,从而注入到目标 app。对此,我们需要建立两个文件,一个hook.js用于存放具体的修改逻辑,一个hook.py。
XposedFridaBridge:frida脚本实现XposedBridge并加载xposed模块,而无需安装xposed框架
03-08
XposedFridaBridge 介绍 frida脚本可实现XposedBridge并加载xposed模块,而无需安装xposed框架。 在不安装Xposed Framework的情况下,通过Frida使用Xposed插件。 用法 准备工作 将XposedBridge.jar推入设备中 安装插件或将插件APK推入设备中 配置插件列表configure modules.list adb push XposedBridge.jar /data/local/tmp/XposedBridge.jar adb install module.apk adb shell ' echo "/data/app/demo.xposedmodule-1/base.apk" > /data/local/tmp/conf/modules.list ' /data/local/tmp/conf/modules.l
xcubebase:基于xposedfrida持久化方案
04-01
说明 这是一个用于驱动frida脚本的xposed插件 使用方法 由于libfrida-gumjs.a库100多M,github无法上传,所以请解压xcubebase \ app \ src \ main \ cpp \ libs目录下的两个zip文件到当前目录。或者直接去frida官网下载放到libs下 序 去年下半年由于业务的需求,希望能够将frida的js脚本持久化到手机,只要APP启动就可以自行运行指定的脚本;一来希望可以脱离pc,二来可以为xposed增加而没有本机钩能力,三就是部署以后方便通过命令行来更新脚本; 我想到了两个方案 方案一。将frida-gumjs编译进一个riru插件,通过面具刷入手机,这样每个进程都可以加载frida js的能力; 方案二。使用xposed,在app启动时将frida-gumjs载入app进程内; 好消息是两个方案目前都已经实现。方案一是是去年
xposedfrida、以及平头哥框架三者区别
weixin_44236034的博客
11-03 6011
frida是一款便携的、自由的、支持全平台的hook框架,可以通过编写JavaScript、Python代码来和frida_server端进行交互,还记得当年用xposed时那种写了一大堆代码每次修改都要重新打包安装重启手机、那种调试调到头皮发麻的痛苦,百分之30的时间都是在那里安装重启安装重启。1、开发体验上:xposed 每次修改都需要重启,开发时候比较麻烦,frida,相对比较灵活,可以不重启手机跟应用,直接进行注入,平头哥框架介于两者之间,只需要进行重新重启应用。
APP攻防:Frida&HOOK&Xposed&单向双向&检验抓包
AlunXZhou的博客
11-29 1775
双向证书绕过&Frida&HOOK
python xposed_xposedfrida简单使用对比
weixin_34324114的博客
01-13 1197
HooksXposed两种方法分别使用了Android、python+JS作为开发语言进行hook。APP这个APP是在学习frida的时候看到的,非常简单,有源码,有apk,用来作一个这种类型的文章最合适不过了。先给出URL,再给出源码,不想实践的可以直接看文字。package com.example.a11x256.frida_test;import android.os.Bundle;imp...
探索FridaXposedModule:一款强大的Android模块调试工具
gitblog_00005的博客
04-08 1048
探索FridaXposedModule:一款强大的Android模块调试工具 去发现同类优质开源项目:https://gitcode.com/ 是一个开源项目,它将 Frida 动态代码插桩框架与 Xposed 框架相结合,为 Android 开发者和逆向工程师提供了一种强大而灵活的方式来调试和修改应用程序的行为。这篇文章将深入探讨该项目的技术原理、应用场景及其独特之处。 项目简介 FridaXp...
手把手教你在夜神、雷电上搭frida+Xposed
Innocence_0的博客
02-21 1029
手把手教你在夜神、雷电上搭frida+Xposed
记录一次抓包实战,全局代理+xposed+frida绕过各种坑点
大智若愚的博客
03-18 5864
遇到的问题 apk使用了360加固,无法反编译 apk没有走系统代理,导致设置wifi代理抓不到包 问题1解决办法: 使用FRIDA-DEXDump工具直接从内存dump出dex包,然后使用jadx-gui-1.1.0-with-jre-windows工具打开dex文件查看代码 FRIDA-DEXDUMPgithub链接 jadx-gui网上比较多,自行百度下载 需要先按照frida,自行百度下载安装 问题2解决办法: 有两种方法: 使用vpn代理将app流量全部代理到抓包工具的ip端口 使用OkHt
android sdk 虚拟机 目录,为Android应用集成SDK
weixin_28848739的博客
05-27 370
调用SDK接口步骤1:导入包import com.alibaba.wireless.security.jaq.JAQException;import com.alibaba.wireless.security.jaq.avmp.IJAQAVMPSignComponent;import com.alibaba.wireless.security.open.SecurityGuardManager;i...
IPC---共享内存
weixin_30586085的博客
08-07 240
  共享内存就是允许两个或多个不相关的进程访问同一个逻辑内存。共享内存是在两个正在运行的进程之间共享和传递数据时,不需要在客户进程和服务器进程之间幅值,因此是最快的一种IPC。不同进程之间共享的内存通常安排为同一段物理内存。进程可以将同一段共享内存连接到它们自己的地址空间中,所有进程都可以访问共享内存中的地址,就好像它们是由用C语言函数malloc分配的内存一样。而如果某个进程向共享内存写入数据,...
xposed frida
11-29
XposedFrida都是Android应用程序的Hook框架,但它们的实现方式不同。 Xposed是通过在Android系统中安装一个叫Xposed框架的模块,替换掉需要hook的应用的某些函数,从而实现对应用程序的hookXposed框架会在dex文件中插入一些代码,以实现hook的功能。 Frida是一个动态插桩工具,可以在运行时修改应用程序的行为。它可以在不需要重新编译或重新签名应用程序的情况下,直接在运行时修改应用程序的代码。Frida可以在应用程序运行时注入JavaScript代码,从而实现对应用程序的hook。 以下是XposedFrida的一些区别: 1. Xposed需要在Android系统中安装一个框架,而Frida只需要在设备上安装一个应用程序。 2. Xposed只能hook已经安装了Xposed框架的应用程序,而Frida可以hook任何应用程序。 3. Xposed只能hook Java层面的代码,而Frida可以hook Java层面和Native层面的代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值