1.mumu模拟器官网:https://mumu.163.com/
2.frida-server下载链接:https://github.com/frida/frida/releases
3.adb-tool下载链接:https://adbdownload.com/
1.下载frida-server并解压
2.配置好adb的环境变量,并开启mumu浏览器且开启root模式
3.上传frida-server并启动
注意adb中如果不是root用户需要手动切换成root并启动
4.新开一个命令行并转发
adb forward tcp:27043 tcp:27043
adb forward tcp:27042 tcp:27042
5.在使用frida工具前,需要在python中安装frida
pip install frida
pip install frida-tools
6.最后使用 frida-ps 命令检查frida是否成功开启
frida-ps -U 查看正在运行进程
frida-ps -Uai 列出安装的程序
frida-ps -Ua 列出运行中的程序
开启frida-server时可能遇到链接失败的情况,把模拟器和adb重启后再走一遍流程即可
注意frida与frida-server的版本需要一致,可用 frida --version 查看版本
1.frida shell
命令: frida -U --no-pause -f 包名
进入后按Tab键可以查看frida支持的方法,此用法一般适用于查看基本信息
常用方法:
Process.getModuleByName(“libc.so”) 查看名字为libc.so的so库的详细信息
Module.findBaseAddress(“libc.so”) 查看名字为libc.so的so库的基址
Module.enumerateImportsSync(“libc.so”) 查看名字为libc.so的so库的导入函数表
Module.enumerateExportsSync(“libc.so”) 查看名字为libc.so的so库的导出函数表
Module.enumerateRangesSync(“libc.so”) 查看名字为libc.so的so库的可执行内存区
在shell里同样可以执行js脚本,不过我们一般不用shell来做这事。
2.frida js
命令: frida -U -l js脚本路径 包名
脚本demo:
Java.perform(function(){
var Hook = Java.use(''); //use方法里填要hook的完整类名
Hook.fun.implementation = function(arr){ //fun改成要hook的方法名
// hook逻辑
}
});
关于frida js方法的介绍可以看这篇文章:https://www.anquanke.com/post/id/195869
3.基于 frida 的 libil2cpp.so 运行时解析脚本,即unity3D开发的游戏(root的安卓机上使用)参考:https://github.com/axhlzy/Il2CppHookScripts
这里用之前实战过的某有加密参数的app来做示范,这里要找key为authorization的加密逻辑。
1.我这边用jadx定位实现逻辑的函数,静态分析加密逻辑
分析代码后可以知道value就是传进来的某参数sha256加密并base64编码
strtosign函数便是将参数传为字符串并处理的函数
2.当代码的逻辑过于混乱或无法准确分析出传入的参数时可以用frida来hook函数动态分析,这里我们hook authorization函数来观察传出的字符串。
js脚本:
Java.perform(function(){
var Hook = Java.use('cn.missevan.play.utils.SignUtils');
Hook.authorization.implementation = function(requestSign){
console.log('hook success');
var strToSign = Hook.strToSign(requestSign);
console.log(strToSign); //输出需要的参数
}
})
根据前面的流程开启frida之后在模拟器上触发函数执行
重复上面的流程直到成功重现加密逻辑,可以调用api为止
objection是一个封装了frida的python库,允许我们用命令行而不是代码脚本来实现一些基本的hook功能,比如监控函数的入参出参,从而减少开发者的代码量。
1.安装命令: pip install objection
2.启动objection shell:objection -g 包名 explore
其他的objection指令可以用objection --help命令查看
3.shell常用命令:
memory list modules 查看当前程序调用的所有so
memory list modules --json test.json 查看到其所有so 并保存位json (终端所在目录)
frida-ps -U |grep xxx 筛选过滤
memory search 内存搜索
android hooking list activities 打印所有 activities (页面)
android intent launch_activity activities名强行启动指定activities 可以强行启动页面
android hooking list classes 打印所有 classes
android hooking search classes 类名 筛选指定类
android hooking list class_methods 类名 打印方法体
android hooking watch class_method 类名.方法名 --dump-args --dump-return 快速hook(来看是否代码走到这里)