找回密码
 会员注册
查看: 15|回复: 0

frida入门使用介绍

[复制链接]

2万

主题

0

回帖

6万

积分

超级版主

积分
65941
发表于 2024-10-9 15:19:24 | 显示全部楼层 |阅读模式
frida入门使用介绍 OPPO安珀实验室 OPPO安珀实验室 OPPO安珀实验室 OPPO广东移动通信有限公司 以用户数据安全和隐私保护为核心,开展系列研究工作并向开发者开放技术能力,致力为合作伙伴及用户打造信息安全堡垒,为OPPO终端安全保驾护航 43篇内容 2024年03月01日 16:01 四川 简介frida是android逆向分析最常用的工具之一,其是一种hook框架,可以在不改动目标源码的情况下,动态查看函数运行入参,返回值,注入代码,更改程序逻辑等,使得android逆向人员能够快速掌握一些问题的本质。本文将带大家了解各种frida的使用方法以及其中的一些坑。frida官网:https://github.com/frida/fridafrida-server的使用方法frida-server是最常用的一种hook方式。条件:手机root效果:无法实现持久化注入,需要依赖于电脑端脚本即时执行使用方法:1. 从官网下载frida-server-xxx(注意对应版本与架构)2. pip install frida==版本号;pip install frida-tools==版本号(相当于安装电脑客户端,可以不带版本号安装最新版本);pip install objection3. 将下载的frida-server-xxx放入手机端的/data/local/tmp目录下4. chmod 777 frida-server-xxx(这里必须是root权限执行这个操作)5. ./frida-server-xxx -P(启动手机端的frida-server)6. frida -U -l xxx.js pid 、frida -U -l xxx.js -n process_name 或者 objection -g process_name explore(进行电脑端连接)7. 后续操作手机执行到hook位置即可。对于objection可以在连接后加入js文件或者直接输入命令进行hook:import xxx.js(引入hook的js文件)对于java方法的hook,一般使用命令如下:android hooking watch class_method method_name --dump-args --dump-return --dump-backtrace(hook单独一个方法)android hooking watch class class_name --dump-args --dump-return --dump-backtrace(hook类下面所有方法)注:后面三个参数用来表示hook到目标时显示的内容,其依次为显示参数、显示返回值、显示调用栈,可根据自身需求进行添加。踩坑点:1.objection -g process_name 与frida -U -n process_name这里面的进程名不是ps -A 下的进程名而是frida-ps -U下的进程名(即使这里显示的是中文上面的进程名也需要对应中文才能连接到)2. ./frida-server-xxx -P中的-P参数是为了更稳定地运行,其主要是防止预加载优化,大多数情况下加上这个参数更好,防止hook时手机崩溃重启等。注:为了更稳定地运行,有时可以使用setenforce 0来关闭SELinux安全限制。3. objection下的hook(尤其是android hooking命令时)很多时候只针对于已经存在的代码,对于动态加载的代码(甚至一些跨进程调用的代码)都无法找到对应的方法,这时候建议使用frida -U -l xxx.js 的方式去hook特定的方法。4. 对于有源码的方法来hook时,最好不要使用源码的方法路径进行hook,有时代码会进行混淆,有些方法名等会有一些变化,一般利用jeb等工具逆向后的路径即可。frida-gadget用法frida-gadget主要是针对非root情况下的一种hook方式。条件(满足其中一个即可):1. 具有hook应用的签名2. hook的代码与应用的签名权限无关且应用无签名权限也可运行到功能处因为frida-gadget需要重新打包apk文件,所以如果没有应用的签名可能会导致功能无法正常完成。注:frida-gadget并不需要应用是debuggable,测试应用是否可调试都可以完成hook。效果:既可以实现持久化注入(在手机端持续运行脚本)也可以远程(在电脑端)运行脚本。使用方法:下面分为两种情况的使用持久化与非持久化持久化操作(在手机端运行脚本):1. 从官网下载frida-gadget-xxx(注意版本架构对应)并解压出其中的so2. 将so按照架构放入需要hook的apk的lib目录下的特定目录中注:arm64-v8a目录对应arm64;armeabi-v7a目录对应arm;x86目录对应为x86(主要是针对模拟器)。3. 创建config文件,命名为libfrida-gadget.config.so(命名中的libfrida-gadget与放入libs目录下的so名字保持一致即可),放入与so相同的目录下。里面的内容示例如下:其中具体的含义可以参考https://frida.re/docs/gadget/中的说明。4. 将system.loadlibrary(“frida-gadget”)的smali汇编语言注入apk开始的代码位置(一般是启动activity或application开始的位置)。如果apk本身存在加载其他so的代码,也可以利用lief的感染elf文件的功能实现so注入,具体使用方法可参考https://lief-project.github.io//doc/latest/tutorials/09_frida_lief.html。原理可参考https://gslab.qq.com/portal.phpmod=view&aid=1635. 最后对加入so与config和加入特殊smali代码的应用进行打包与重签名。6. 2—5步是frida-gadget使用的关键步骤,目前网上已经有现成的框架帮忙一次性实现了这几步。详细框架及使用方法可参考:https://github.com/nszdhd1/UtilScript/tree/main这个框架本身是利用了lief或者直接在smali代码中插入代码完成so的注入。注:这里的框架的签名是自己的签名,想要使用自己的证书签名就直接使用signerNew.jar这种工具对生成的未签名的apk进行签名即可。7. 安装签名后的注入so的应用8. 将写好的脚本重名为frida_script.js并放入/data/local/tmp目录下(主要与第3步的config配置文件保持一致即可)这里给出一个示例脚本:这个就是hook的Log函数,在打印日志时会多打印Have fun!一个日志。注:这里打印一定要用Log.e等方法,不要使用console.log,因为这是持久化注入,没有电脑端界面进行显示。9. 运行到hook的函数位置,通过查看log日志等方式就可看到完成了hook的持久化注入。非持久化操作(在电脑端连接引入脚本操作):这个本身与持久化操作大致相同,这里只说明一下其中不同的点:1. config配置文件内容不同,因为这里是需要与电脑端连接,因此需要开放接口,配置文件一般如下:上面参数的意思主要就是开放127.0.0.1:27042接口进行监听。其中resume是让应用功能正常进行,后续再连接也可。相对的还有一个参数是wait,其意思主要是当应用加载到frida-gadget.so时就会暂时阻塞,等待连接而不进行完整功能。详细的参数意思可以参考官方文档:https://frida.re/docs/gadget/上述持久化操作用法中提到的框架在/InjectFrida/tools目录下存在相应的config文件,可以根据自己的需求进行修改。2. 在安装好注入了so的应用后,不需要将js文件放入手机中,在手机端打开存在frida-gadget.so的应用后,可以先利用adb shell netstat -l查看当前手机的接口监听状态,这里如果注入成功应该会发现对应接口(27042)处于监听状态。后续可以利用frida -H 0.0.0.0:27042 -n Gadget -l frida_script.js来进行连接注入js脚本。注:这里最好使用0.0.0.0:27042,比较容易连接得到,正常也可以使用127.0.0.1:27042(只要进行了接口转发)也能够进行连接。踩坑点:1. 如果是利用框架进行so注入,需要根据自身情况修改里面的配置文件,框架自带的配置文件主要存在于/UtilScript/InjectFrida/tools下,包括config文件、frida-gadget.so、aapt等运行文件,都可以按照自己的实际需求对版本进行修改。2. 在使用框架时一定要先根据脚本中用到的库进行安装(包括lief),可以自己根据报错进行慢慢补全。同时,根据自己的环境可能脚本运行时会报一些错,一般主要可能是文件路径、文件名一些相关的问题,这里也可以根据报错信息结合自己实际情况进行修改。3. 对apk签名后安装时可能会遇到一些问题安装不上。一个常见的问题报错如下:错误有时不会提示30。按照官方解释是如果以 Android 11(API 级别 30)或更高版本为目标平台的应用包含压缩的 resources.arsc 文件或者如果此文件未按 4 字节边界对齐,应用将无法安装。这里可以采用zipalign工具来实现对齐,这里要采用先对齐后签名的操作,主要执行命令如下:这里是一个示例,其中的路径参数以及证书等都可以自行进行替代修改。详细的命令以及使用方法可参考https://blog.csdn.net/qq_23045311/article/details/1258147954. 最后连接时尽量用命令frida -H 127.0.0.1:27042 -n Gadget -l frida_script.js来进行连接,网络上一些文章解释会使用-U这种USB的连接方式包括frida -U Gadget与frida-ps -U这种方式连接,个人尝试即使进行了端口转化,只有非常偶然的一次连接执行成功,大多数情况下都不太容易完成连接。frida-inject使用方法frida-inject是一种存在于手机端的持久化注入方式,简便好用,依赖安装少。条件:手机root效果:只能实现持久化注入,脚本要存在于手机端使用方法:1. 从官网下载frida-inject-xxx(注意对应的版本与架构)并解压2. 将解压后的文件放入手机中的/data/local/tmp目录下3. chmod 777 frida-inject-xxx(对其赋予权限)4. 将要运行的js文件同样放入手机中,一般放在与frida-inject-xxx同一个目录下5. ./frida-inject-xxx -h可以看见其运行参数说明,后续按照参数说明进程与脚本即可完成持久化注入,这里给一个命令例子: ./frida-inject-16.1.4-android-arm64 -s frida_script.js -p 5795注:整个过程很简单,不需要电脑端的python、frida安装或者注入so代码等操作。详细纯手机端完整视频操作可参考https://www.youtube.com/watchv=Bnz9mZ7mJsk踩坑点:1. 利用这个进行hook时,有时-n app_name会找不到进程导致很难hook到,这里的名字正常是指应用的名字而不是包名,例如有一个应用Test包名为com.example.test这里应该使用Test而不是com.example.test。这里建议还是尽量使用-p pid这种方式,虽然麻烦点,但可以精确到进程。总结本文主要介绍了frida-server、frida-gadget、frida-inject的环境配置、简单的使用以及踩坑点。关于frida在hook场景下的特殊用法包括方法的主动调用、so库的hook、内存地址的修改查看、特殊参数结果的显示打印等并没有深入探讨,这些更需要在实际需求的情况进行探究学习,读者可以根据https://frida.re/docs/javascript-api/的介绍自由进行扩展,尽情领略frida在android逆向中的魅力。END往期推荐·使用honggfuzz进行Android模糊测试·蓝牙安全漏洞BLUFFS的原理解析及影响范围·Android本地服务漏洞挖掘技术 - 下篇·Android前台服务恶意进程防杀技术解析·浅谈Android BLE蓝牙安全隐私问题
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

QQ|手机版|心飞设计-版权所有:微度网络信息技术服务中心 ( 鲁ICP备17032091号-12 )|网站地图

GMT+8, 2024-12-31 03:30 , Processed in 0.490095 second(s), 25 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表