抖音資料采集Frida進階:脫殼、自動化、高頻問題
短視頻、直播資料實時采集介面,請查看檔案: TiToData
免責宣告:本檔案僅供學習與參考,請勿用于非法用途!否則一切后果自負,
1 Frida用于脫殼
安全工程師在拿到應用評測的任務之后,第一件事情是抓到他的收包發包,第二件事情應該就是拿到它的apk,打開看看里面是什么內容,如果不幸它加了殼,可能打開就是這樣的場景,見下圖,什么內容都看不到,這時候就要首先對它進行脫殼,
殼的種類非常多,根據其種類不同,使用的技術也不同,這里稍微簡單分個類:
- 一代整體型殼:采用Dex整體加密,動態加載運行的機制;
- 二代函式抽取型殼:粒度更細,將方法單獨抽取出來,加密保存,解密執行;
- 三代VMP、Dex2C殼:獨立虛擬機解釋執行、語意等價語法遷移,強度最高,
先說最難的Dex2C目前是沒有辦法還原的,只能跟蹤進行分析;VMP虛擬機解釋執行保護的是映射表,只要心思細、功夫深,是可以將映射表還原的;二代殼函式抽取目前是可以從根本上進行還原的,dump出所有的運行時的方法體,填充到dump下來的dex中去的,這也是fart的核心原理;最后也就是目前我們推薦的幾個記憶體中搜索和dump出dex的Frida工具,在一些場景中可以滿足大家的需求,
1.1 檔案頭搜dex
地址是:https://github.com/r0ysue/frida_dump
# frida -U --no-pause -f com.xxxxxx.xxxxxx -l dump_dex.js
____
/ _ | Frida 12.8.9 - A world-class dynamic instrumentation toolkit
| (_| |
> _ | Commands:
/_/ |_| help -> Displays the help system
. . . . object? -> Display information about 'object'
. . . . exit/quit -> Exit
. . . .
. . . . More info at https://www.frida.re/docs/home/
Spawned `com.xxxxx.xxxxx`. Resuming main thread!
[Google Pixel::com.xxxxx.xxxxx]-> [dlopen:] libart.so
_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE 0x7adcac4f74
[DefineClass:] 0x7adcac4f74
[find dex]: /data/data/com.xxxxx.xxxxx/files/7abfc00000_8341c4.dex
[dump dex]: /data/data/com.xxxxx.xxxxx/files/7abfc00000_8341c4.dex
[find dex]: /data/data/com.xxxxx.xxxxx/files/7ac4096000_6e6c8.dex
[dump dex]: /data/data/com.xxxxx.xxxxx/files/7ac4096000_6e6c8.dex
[find dex]: /data/data/com.xxxxx.xxxxx/files/7ac37c4028_8781c4.dex
[dump dex]: /data/data/com.xxxxx.xxxxx/files/7ac37c4028_8781c4.dex
其核心邏輯原理就是下面一句話magic.indexOf("dex") == 0,只要檔案頭中含有魔數dex,就把它dump下來,
if (dex_maps[base] == undefined) {
dex_maps[base] = size;
var magic = ptr(base).readCString();
if (magic.indexOf("dex") == 0) {
var process_name = get_self_process_name();
if (process_name != "-1") {
var dex_path = "/data/data/" + process_name + "/files/" + base.toString(16) + "_" + size.toString(16) + ".dex";
console.log("[find dex]:", dex_path);
var fd = new File(dex_path, "wb");
if (fd && fd != null) {
var dex_buffer = ptr(base).readByteArray(size);
fd.write(dex_buffer);
fd.flush();
fd.close();
console.log("[dump dex]:", dex_path);
}
}
}
}
1.2 DexClassLoader:objection
安卓只能使用繼承自BaseDexClassLoader的兩種ClassLoader,一種是PathClassLoader,用于加載系統中已經安裝的apk;一種就是DexClassLoader,加載未安裝的jar包或apk,
可以用objcetion直接在堆上暴力搜索所有的dalvik.system.DexClassLoader實體,效果見下圖:
# android heap search instances dalvik.system.DexClassLoader
連熱補丁都被搜出來了,在某些一代殼上效果不錯,
1.3 暴力搜記憶體:DEXDump
地址:https://github.com/hluwa/FRIDA-DEXDump
- 對于完整的
dex,采用暴力搜索dex035即可找到, - 而對于抹頭的
dex,通過匹配一些特征來找到,然后自動修復檔案頭,
效果非常好:
root@roysuekali:~/Desktop/FRIDA-DEXDump# python main.py
[DEXDump]: found target [7628] com.xxxxx.xxxxx
[DEXDump]: DexSize=0x8341c4, SavePath=./com.xxxxx.xxxxx/0x7abfc00000.dex
[DEXDump]: DexSize=0x8341c4, SavePath=./com.xxxxx.xxxxx/0x7ac0600000.dex
root@roysuekali:~/Desktop/FRIDA-DEXDump# du -h com.xxxxx.xxxxx/*
8.3M com.xxxxx.xxxxx/0x7abfc00000.dex
8.3M com.xxxxx.xxxxx/0x7ac0600000.dex
root@roysuekali:~/Desktop/FRIDA-DEXDump# file com.xxxxx.xxxxx/*
com.xxxxx.xxxxx/0x7abfc00000.dex: Dalvik dex file version 035
com.xxxxx.xxxxx/0x7ac0600000.dex: Dalvik dex file version 035
打開dump下來的dex,非常完整,可以用jadx直接決議,用010打開可以看到完整的檔案頭——dexn035,其實作代碼也是簡單粗暴,直接搜索:64 65 78 0a 30 33 35 00:
Memory.scanSync(range.base, range.size, "64 65 78 0a 30 33 35 00").forEach(function (match) {
var range = Process.findRangeByAddress(match.address);
if (range != null && range.size < match.address.toInt32() + 0x24 - range.base.toInt32()) {
return;
}
var dex_size = match.address.add("0x20").readInt();
if (range != null) {
if (range.file && range.file.path
&& (range.file.path.startsWith("/data/app/")
|| range.file.path.startsWith("/data/dalvik-cache/")
|| range.file.path.startsWith("/system/"))) {
return;
}
if (match.address.toInt32() + dex_size > range.base.toInt32() + range.size) {
return;
}
}
還有一部分想要特征匹配的功能還在實作中:
// @TODO improve fuzz
if (
range.size >= 0x60
&& range.base.readCString(4) != "dexn"
&& range.base.add(0x20).readInt() <= range.size //file_size
// && range.base.add(0x24).readInt() == 112 //header_size
&& range.base.add(0x34).readInt() < range.size
&& range.base.add(0x3C).readInt() == 112 //string_id_off
) {
result.push({
"addr": range.base,
"size": range.base.add(0x20).readInt()
});
}
1.4 暴力搜記憶體:objection
既然直接使用Frida的API可以暴力搜索記憶體,那么別忘了我們上面介紹過的objection也可以暴力搜記憶體,
# memory search "64 65 78 0a 30 33 35 00"
搜出來的offset是:0x79efc00000,大小是c4 41 83 00,也就是0x8341c4,轉化成十進制就是8602052,最后dump下來的內容與FRIDA-DEXDump脫下來的一模一樣,拖到jdax里可以直接決議,
2 Frida用于自動化
在Frida出現之前,沒有任何一款工具,可以在語言級別支持直接在電腦上呼叫app中的方法,像Xposed是純Java,根本就沒有電腦上運行的版本;各種Native框架也是一樣,都是由C/C++/asm實作,根本與電腦毫無關系,
而Frida主要是一款在電腦上操作的工具,其本身就決定了其“高并發”、“多聯通”、“自動化”等特性:
- “高并發”:同時操作多臺手機,同時呼叫多個手機上的多個
app中的演算法; - “多聯通”:電腦與手機互聯互通,手機上處理不了的在電腦上處理、反之亦然;
- “自動化”:手機電腦互相協同,實作橫跨桌面、移動平臺協同自動化利器,
2.1 連接多臺設備
Frida用于自動化的場景中,必然是不可能在終端敲frida-tools里的那些命令列工具的,有人說可以將這些命令按順序寫成腳本,那為啥不直接寫成python腳本呢?枉費大胡子叔叔(Frida的作者oleavr的頭像)為我們寫好了Python bindings,我們只需要直接呼叫即可享受,Python bindings在安裝好frida-tools的時候已經默認安裝在我們的電腦上了,可以直接使用,
連接多臺設備非常簡單,如果是USB口直接連接的,只要確保adb已經連接上,如果是網路除錯的,也要用adb connect連接上,并且都開啟frida server,鍵入adb devices或者frida-ls-devices命令時多臺設備的id都會出現,最終可以使用frida.get_device(id)的API來選擇設備,如下圖所示,
2.2 互聯互通
互聯互通是指把app中捕獲的內容傳輸到電腦上,電腦上處理結束后再發回給app繼續處理,看似很簡單的一個功能,目前卻僅有Frida可以實作,
比如說我們有這樣一個app,其中最核心的地方在于判斷用戶是否為admin,如果是,則直接回傳錯誤,禁止登陸,如果不是,則把用戶和密碼上傳到服務器上進行驗證登錄操作,其核心代碼邏輯如下:
public class MainActivity extends AppCompatActivity {
EditText username_et;
EditText password_et;
TextView message_tv;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
password_et = (EditText) this.findViewById(R.id.editText2);
username_et = (EditText) this.findViewById(R.id.editText);
message_tv = ((TextView) findViewById(R.id.textView));
this.findViewById(R.id.button).setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
if (username_et.getText().toString().compareTo("admin") == 0) {
message_tv.setText("You cannot login as admin");
return;
}
//我們hook的目標就在這里
message_tv.setText("Sending to the server :" + Base64.encodeToString((username_et.getText().toString() + ":" + password_et.getText().toString()).getBytes(), Base64.DEFAULT));
}
});
}
}
運行起來的效果如下圖:
我們的目標就是在電腦上“得到”輸入框輸入的內容,并且修改其輸入的內容,并且“傳輸”給安卓機器,使其通過驗證,也就是說,我們的目標是哪怕輸入admin的賬戶名和密碼,也可以繞過本地校驗,進行服務器驗證登陸的操作,
所以最終我們的hook代碼的邏輯就是,截取輸入,傳輸給電腦,暫停執行,得到電腦傳回的資料之后,繼續執行,用js來寫就這么寫:
Java.perform(function () {
var tv_class = Java.use("android.widget.TextView");
tv_class.setText.overload("java.lang.CharSequence").implementation = function (x) {
var string_to_send = x.toString();
var string_to_recv;
send(string_to_send); // 將資料發送給kali主機的python代碼
recv(function (received_json_object) {
string_to_recv = received_json_object.my_data
console.log("string_to_recv: " + string_to_recv);
}).wait(); //收到資料之后,再執行下去
return this.setText(string_to_recv);
}
});
在電腦上的處理流程是,將接受到的JSON資料決議,提取出其中的密碼部分保持不變,然后將用戶名替換成admin,這樣就實作了將admin和password發送給服務器的結果,我們的代碼如下:
import time
import frida
def my_message_handler(message, payload):
print message
print payload
if message["type"] == "send":
print message["payload"]
data = https://www.cnblogs.com/titodata/p/message["payload"].split(":")[1].strip()
print 'message:', message
data = https://www.cnblogs.com/titodata/p/data.decode("base64") # 解碼
user, pw = data.split(":") # 提取用戶名和密碼
data = https://www.cnblogs.com/titodata/p/("admin" + ":" + pw).encode("base64") # 組成新的組合并編碼
print "encoded data:", data
script.post({"my_data": data}) # 將JSON物件發送回去
print "Modified data sent"
device = frida.get_usb_device()
pid = device.spawn(["com.roysue.demo04"])
device.resume(pid)
time.sleep(1)
session = device.attach(pid)
with open("s4.js") as f:
script = session.create_script(f.read())
script.on("message", my_message_handler) # 注冊訊息處理函式
script.load()
raw_input()
同樣很多手機上無法處理的資料,也可以編碼后發送到電腦上進行處理,比如處理GBK編碼的中文字符集資料,再比如對dump下來的記憶體或so進行二次決議還原等,這些在js幾乎是無法處理的(或難度非常大),但是到了電腦上就易如反掌,用python匯入幾個庫就可以,
在一些(網路)介面的模糊測驗的場景中,一些字典和畸形資料的構造也會在電腦上完成,app端最多作為執行端接受和發送這些資料,這時候也需要使用到Frida互聯互通動態修改的功能,
2.3 遠程呼叫(RPC)
在腳本里定義一個匯出函式,并用rpc.exports的字典進行宣告:
function callSecretFun() { //定義匯出函式
Java.perform(function () {
//to-do 做自己想做的事情
//比如這里是找到隱藏函式并且呼叫
Java.choose("com.roysue.demo02.MainActivity", {
onMatch: function (instance) {
console.log("Found instance: " + instance);
console.log("Result of secret func: " + instance.secret());
},
onComplete: function () { }
});
});
}
rpc.exports = {
callsecretfunction: callSecretFun //把callSecretFun函式匯出為callsecretfunction符號,匯出名不可以有大寫字母或者下劃線
};
在電腦上就可以直接在py代碼里呼叫這個方法:
import time
import frida
def my_message_handler(message, payload):
print message
print payload
device = frida.get_usb_device()
pid = device.spawn(["com.roysue.demo02"])
device.resume(pid)
time.sleep(1)
session = device.attach(pid)
with open("s3.js") as f:
script = session.create_script(f.read())
script.on("message", my_message_handler)
script.load()
command = ""
while 1 == 1:
command = raw_input("Enter command:n1: Exitn2: Call secret functionnchoice:")
if command == "1":
break
elif command == "2": #在這里呼叫
script.exports.callsecretfunction()
最終效果就是按一下2,function callSecretFun()就會被執行一次,并且結果會顯示在電腦上的py腳本里,以供后續繼續處理,非常方便,
筆者有一位朋友甚至將該介面使用python的flask框架暴露出去,讓網路里的每個人都可以呼叫該方法,給自己的發包進行簽名,可用說是一個需求非常龐大的場景,
3 Frida更多技巧
最后收集和整理一下大家在學習Frida的程序中可能會遇到的幾個高頻問題,以餮讀者,
3.1 必須上版本管理
Frida從面世到現在已經有四五年了,大概17~18年那會兒開始火爆起來,大量的腳本和工具代碼都是那段時間寫出來的,而Frida又升級特別快,新的Frida對老的腳本兼容性不是很好,見下圖最新的Frida運行老的腳本,日志格式已經亂掉了,而老版本(12.4.8)就沒問題,見圖2-18,如果要運行一些兩三年歷史的代碼,必然需要安裝兩三年前左右的版本,這樣才能跑起來,并且不出錯,
版本管理用pyenv即可,熟練使用pyenv可以基本上滿足同時安裝幾十個Frida版本的需求,
3.2 反除錯基本思路
幾個最基本的思路,首先frida-server的檔案名改掉,類似于frida-server-12.8.9-android-arm64這樣的檔案名,我一般改成fs1289amd64,當然讀者可以想改成啥就改成啥,
有些反除錯還會檢查埠,比如frida-server的默認埠是27042,這個埠一般不會有人用,如果27042埠打開并且正在監聽,反除錯就會作業,可以把埠改成非標準埠,方法下一小節就講,
最后還有一種通過Frida記憶體特征對maps中elf檔案進行掃描匹配特征的反除錯方法,支持frida-gadget和frida-server,專案地址在這里,
其核心代碼如下:
void *check_loop(void *) {
int fd;
char path[256];
char perm[5];
unsigned long offset;
unsigned int base;
long end;
char buffer[BUFFER_LEN];
int loop = 0;
unsigned int length = 11;
//"frida:rpc"的記憶體布局特征
unsigned char frida_rpc[] =
{
0xfe, 0xba, 0xfb, 0x4a, 0x9a, 0xca, 0x7f, 0xfb,
0xdb, 0xea, 0xfe, 0xdc
};
for (unsigned char &m : frida_rpc) {
unsigned char c = m;
c = ~c;
c ^= 0xb1;
c = (c >> 0x6) | (c << 0x2);
c ^= 0x4a;
c = (c >> 0x6) | (c << 0x2);
m = c;
}
//開始檢測frida反除錯回圈
LOGI("start check frida loop");
while (loop < 10) {
fd = wrap_openat(AT_FDCWD, "/proc/self/maps", O_RDONLY, 0);
if (fd > 0) {
while ((read_line(fd, buffer, BUFFER_LEN)) > 0) {
// 匹配frida-server和frida-gadget的記憶體特征
if (sscanf(buffer, "%x-%lx %4s %lx %*s %*s %s", &base, &end, perm, &offset, path) !=
5) {
continue;
}
if (perm[0] != 'r') continue;
if (perm[3] != 'p') continue;
if (0 != offset) continue;
if (strlen(path) == 0) continue;
if ('[' == path[0]) continue;
if (end - base <= 1000000) continue;
if (wrap_endsWith(path, ".oat")) continue;
if (elf_check_header(base) != 1) continue;
if (find_mem_string(base, end, frida_rpc, length) == 1) {
//發現其記憶體特征
LOGI("frida found in memory!");
#ifndef DEBUG
//殺掉自己的行程
wrap_kill(wrap_getpid(),SIGKILL);
#endif
//退出
break;
}
}
} else {
LOGI("open maps error");
}
wrap_close(fd);
//休息三秒,進入下一個檢查回圈,也就是這個反除錯一共會運作30秒,30秒后結束
loop++;
sleep(3);
}
return nullptr;
}
void anti_frida_loop() {
pthread_t t;
//創建一個執行緒,執行反除錯作業
if (pthread_create(&t, nullptr, check_loop, (void *) nullptr) != 0) {
exit(-1);
};
pthread_detach(t);
}
想過這種反除錯,得找到反除錯在哪個so的哪里,nop掉創建check_loop執行緒的地方,或者nop掉kill自己行程的地方,都可以,也可以直接kill掉反除錯行程,筆者就曾經遇到過這種情況,frida命令注入后,app調不起來,這時候用ps -e命令查看多一個反除錯行程,直接kill掉那個行程后,app就起來了,這個app是使用的一個大廠的加固服務,這個行程就是殼的一部分,
3.3 非標準埠連接
比如將frida-server啟動在6666埠:
# ./fs1287amd64 -l 0.0.0.0:6666
使用frida-tools工具和objection分別連接的方法如下:
# frida-ps -H 192.168.1.102:6666
# objection -N -h 192.168.1.102 -p 6666 -g com.android.settings explore
效果如圖所示:
圖 連接非標準埠
在python bindings中連接的話,會稍微復雜一點點,因為python bindings只認adb,所以要通過adb命令將手機的6666埠映射到電腦的27042埠:
$ adb forward tcp:27042 tcp:6666
這樣python bindings也可以正常使用了,
3.4 列印byte[]``[B
ByteString.of是用來把byte[]陣列轉成hex字串的函式, 安卓系統自帶ByteString,app里面沒有也沒關系,可以去系統里面拿,這里給個小案例:
var ByteString = Java.use("com.android.okhttp.okio.ByteString");
var j = Java.use("xxxxxxx.business.comm.j");
j.x.implementation = function() {
var result = this.x();
console.log("j.x:", ByteString.of(result).hex());
return result;
};
j.a.overload('[B').implementation = function(bArr) {
this.a(bArr);
console.log("j.a:", ByteString.of(bArr).hex());
};
3.5 hook管理子行程
經常有人會問,像那種com.xxx.xxx:push、com.xxx.xxx:service、com.xxx.xxx:notification、com.xxx.xxx:search這樣的行程如何hook,或者說如何在其創建伊始進行hook,因為這樣的行程一般都是由主行程fork()出來的,
這種的就要用到Frida最新的Child gating機制,可以參考我的過往的文章,官方的完整代碼在這里,可以在行程創建之初對該行程進行控制和hook,已經很多人用了,效果很好,達成目標,
3.6 hook混淆方法名
有些方法名上了很強的混淆,如何處理?其實很簡單,可以看上面ZenTracer的原始碼,hook類的所有子類,hook類的所有方法,并且hook方法的所有多載,
3.7 中文引數問題
hook某些方法的時候,發現傳進來的引數竟然是中文的,如何列印出來?如果是utf8還好,Frida的CLI也是直接支持utf8的,如果是GBK字符集的,目前沒有找到在js里進行列印的方法,可以send()到電腦上進行列印,
3.8 hook主動注冊
使用Frida來hook JNI的一些函式,列印出主動呼叫的執行路徑,下面是hook Google play Market的例子:
frida -U --no-pause -f com.android.vending -l hook_RegisterNatives.js
____
/ _ | Frida 12.6.13 - A world-class dynamic instrumentation toolkit
| (_| |
> _ | Commands:
/_/ |_| help -> Displays the help system
. . . . object? -> Display information about 'object'
. . . . exit/quit -> Exit
. . . .
. . . . More info at http://www.frida.re/docs/home/
Spawning `com.android.vending`...
GetFieldID is at 0xf1108e4d _ZN3art3JNI10GetFieldIDEP7_JNIEnvP7_jclassPKcS6_
AllocObject is at 0xf10f1809 _ZN3art3JNI11AllocObjectEP7_JNIEnvP7_jclass
GetMethodID is at 0xf10f3175 _ZN3art3JNI11GetMethodIDEP7_JNIEnvP7_jclassPKcS6_
NewStringUTF is at 0xf111fc71 _ZN3art3JNI12NewStringUTFEP7_JNIEnvPKc
GetObjectClass is at 0xf10f2841 _ZN3art3JNI14GetObjectClassEP7_JNIEnvP8_jobject
RegisterNatives is at 0xf11301fd _ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi
CallObjectMethod is at 0xf10f3745 _ZN3art3JNI16CallObjectMethodEP7_JNIEnvP8_jobjectP10_jmethodIDz
GetStaticFieldID is at 0xf111949d _ZN3art3JNI16GetStaticFieldIDEP7_JNIEnvP7_jclassPKcS6_
GetStaticMethodID is at 0xf110e6d1 _ZN3art3JNI17GetStaticMethodIDEP7_JNIEnvP7_jclassPKcS6_
GetStringUTFChars is at 0xf11203e1 _ZN3art3JNI17GetStringUTFCharsEP7_JNIEnvP8_jstringPh
ReleaseStringUTFChars is at 0xf11207fd _ZN3art3JNI21ReleaseStringUTFCharsEP7_JNIEnvP8_jstringPKc
FindClass is at 0xf10ec7a1 _ZN3art3JNI9FindClassEP7_JNIEnvPKc
Spawned `com.android.vending`. Resuming main thread!
[Google Pixel XL::com.android.vending]-> [RegisterNatives] method_count: 0x6
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeInit sig: ([Ljava/lang/String;)V fnPtr: 0xd454f349 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130349
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeHasSwitch sig: (Ljava/lang/String;)Z fnPtr: 0xd454f369 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130369
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeGetSwitchValue sig: (Ljava/lang/String;)Ljava/lang/String; fnPtr: 0xd454f3bd module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x1303bd
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeAppendSwitch sig: (Ljava/lang/String;)V fnPtr: 0xd454f461 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130461
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeAppendSwitchWithValue sig: (Ljava/lang/String;Ljava/lang/String;)V fnPtr: 0xd454f499 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130499
[RegisterNatives] java_class: org.chromium.base.CommandLine name: nativeAppendSwitchesAndArguments sig: ([Ljava/lang/String;)V fnPtr: 0xd454f4f1 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x1304f1
[RegisterNatives] method_count: 0x3
[RegisterNatives] java_class: org.chromium.base.EarlyTraceEvent name: nativeRecordEarlyEvent sig: (Ljava/lang/String;JJIJ)V fnPtr: 0xd454f94d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x13094d
[RegisterNatives] java_class: org.chromium.base.EarlyTraceEvent name: nativeRecordEarlyStartAsyncEvent sig: (Ljava/lang/String;JJ)V fnPtr: 0xd454fa3d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130a3d
[RegisterNatives] java_class: org.chromium.base.EarlyTraceEvent name: nativeRecordEarlyFinishAsyncEvent sig: (Ljava/lang/String;JJ)V fnPtr: 0xd454fae5 module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130ae5
[RegisterNatives] method_count: 0x4
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeFindFullName sig: (Ljava/lang/String;)Ljava/lang/String; fnPtr: 0xd454fb8d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130b8d
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeTrialExists sig: (Ljava/lang/String;)Z fnPtr: 0xd454fbff module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130bff
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeGetVariationParameter sig: (Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String; fnPtr: 0xd454fc2f module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130c2f
[RegisterNatives] java_class: org.chromium.base.FieldTrialList name: nativeLogActiveTrials sig: ()V fnPtr: 0xd454fd1d module_name: libcronet.76.0.3809.21.so module_base: 0xd441f000 offset: 0x130d1d
[RegisterNatives] method_count: 0x2
原始碼地址:https://github.com/lasting-yang/frida_hook_libart
3.9 追蹤JNI API
地址:https://github.com/chame1eon/jnitrace
3.10 延遲hook
很多時候在帶殼hook的時候,善用兩個frida提供的延時hook機制:
frida --no-pause是行程直接執行,有時候會hook不到,如果把--no-pause拿掉,進入CLI之后延遲幾秒再使用%resume恢復執行,就會hook到;js中的setTimeout(func, delay[, ...parameters])函式,會延時delay毫秒來呼叫func,有時候不加延時會hook不到,加個幾百到幾千毫秒的延時就會hook到,
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/251617.html
標籤:大數據