文章目录

0x01 工具安装

0x02 设备环境配置(Android)

0x03 命令行运行

0x04 Python脚本运行

0x05 基本使用

0x06 常用API整理

0x07 开发用例

Frida，是一个类似 Xposed/Substrate 的跨平台、动态、插装工具，借助 python 和 javascript，可以非常快速便捷地操作目标进程、修改函数参数返回值等，支持 Android/iOS/Macos/Linux/Windows，参考官网

0x01 工具安装

有两种安装方式，命令行直接安装

# python 支持

$ pip3 install frida

# CLI命令行界面工具，支持 frida、frida-ls-devices、frida-ps、frida-kill、frida-trace、frida-discover

$ pip3 install frida-tools

或者直接从源码编译

$ git clone git://github.com/frida/frida.git

$ cd frida

# Linux 下直接 make 编译

# Macos 或 iOS 下需要安装证书，然后导出证书名指定为环境变量，再编译

$ export MAC_CERTID=frida-cert/export IOS_CERTID=frida-cert

$ make

# 确保系统信任新安装的证书，需要重启一下 taskgated 守护进程

$ sudo killall taskgated

0x02 设备环境配置(Android)

原理：手机端安装一个server程序，将手机端的端口转发到PC端，PC端通过python脚本进行交互，脚本内部又是通过javascript语言来写代码执行操作

frida-server下载地址，注意对应版本和支持平台，可以使用下面的命令查看设备abi信息

$ adb shell getprop | grep abi

[ro.product.cpu.abi]: [arm64-v8a]

[ro.product.cpu.abilist]: [arm64-v8a,armeabi-v7a,armeabi]

[ro.product.cpu.abilist32]: [armeabi-v7a,armeabi]

[ro.product.cpu.abilist64]: [arm64-v8a]

下载server程序并解压缩，然后推送到手机内部存储路径

$ curl -O https://github.com/frida/frida/releases/download/12.8.1/frida-server-12.8.1-android-arm64.xz

$ xz -d frida-server-12.8.1-android-arm64.xz

$ adb push frida-server-12.8.1-android-arm64 /data/local/tmp/frida-server

修改权限运行

blueline:/ # chmod 777 frida-server

blueline:/ # ./frida-server

跟IDA一下，需要对端口进行转发，默认使用27042端口与frida-server通信

$ adb forward tcp:27042 tcp:27042

然后可以运行ps查看手机端进程列表

$ frida-ps -R

PID Name

----- ---------------------------------------------------

581 ATFWD-daemon

29920 adbd

586 android.hardware.biometrics.fingerprint@2.1-service

398 android.hardware.cas@1.0-service

399 android.hardware.configstore@1.0-service

400 android.hardware.dumpstate@1.0-service.bullhead

401 android.hardware.graphics.allocator@2.0-service

556 audioserver

557 cameraserver

......

附加某个进程

$ frida -R com.demo.fridahook

____

/ _ | Frida 12.8.1 - A world-class dynamic instrumentation toolkit

| (_| |

> _ | Commands:

/_/ |_| help -> Displays the help system

. . . . object? -> Display information about 'object'

. . . . exit/quit -> Exit

. . . .

. . . . More info at https://www.frida.re/docs/home/

[Remote::com.demo.fridahook]->

对于非root设备，网上也给出了方法，需要反编译目标应用包，然后注入frida-gadget，参考这里【待验证】

下载对应版本和平台的工具，frida-gadget下载地址，修改命名为libfrida-gadget.so，放到反编译包/lib/目录下

从AndroidManifest.xml文件中找到应用入口文件，在较为靠前的函数中加载动态库

const-string v0, "frida-gadget"

invoke-static {v0}, Ljava/lang/System;>loadLibrary(Ljava/lang/String;)V

另外还需要检查下网络权限，如没有需要添加

回编译应用包，并签名安装，查看会显示Gadget进程

$> frida-ps -U

PID Name

----- ------

16251 Gadget

执行命令进行连接

frida -U gadget

安装objection，自动完成frida gadget注入到apk中

$ pip3 install -U objection

$ objection patchapk -s target_app.apk

0x03 命令行运行

命令行附加应用进程然后敲代码进程注入

$ frida -U -f com.demo.fridahook

____

/ _ | Frida 12.8.1 - A world-class dynamic instrumentation toolkit

| (_| |

> _ | Commands:

/_/ |_| help -> Displays the help system

. . . . object? -> Display information about 'object'

. . . . exit/quit -> Exit

. . . .

. . . . More info at https://www.frida.re/docs/home/

Spawned `com.demo.fridahook`. Use %resume to let the main thread start executing!

[LGE Nexus 5X::com.demo.fridahook]-> Java

{

"androidVersion": "8.1.0",

"available": true

}

[LGE Nexus 5X::com.demo.fridahook]->

插装指定函数，会在当前目录__handlers__文件夹下生成open.js脚本

$ frida-trace -i open -U com.demo.fridahook

或者直接加载js脚本

$ frida -U/-R -l --no-pause -f

js脚本用法示例

// javascript

// 将线程附加到Java虚拟机，成功会回调function()

Java.perform(function() {});

// 由于js代码注入存在超时，通常在外面再包装一层

setImmediate(function() {

...

});

// 动态获取一个js包装的Java类

var clazz = Java.use(className);

// $new()调用类构造方法，$dispose()调用析构清空js对象

// 获取到Java类之后，直接通过.获取方法

// 有些重载的方法需要通过.overload()传入参数类型指定方法

// 通过方法的.call(args)来调用函数，通过方法的.implementations = function(){}来实现hook

clazz.method.implementation = function(args) {

......

}

clazz.method.overload(argumentsType[]).call(args);

// 将js包装的类实例转换成另一种js包装类

Java.cast(clazz1, Clazz2)

0x04 Python脚本运行

除了在命令行直接将脚本注入进程，也可以通过python来加载脚本到指定进程

这里给出一个通用模板

# python

# -*- coding: utf-8 -*-

import frida

import sys

def on_message(message, data):

if message['type'] == 'send':

print("*****[frida hook]***** : {0}".format(message['payload']))

else:

print("*****[frida hook]***** : " + str(message))

def get_javascript(filepath):

code = ''

with open(filepath, 'r') as file:

code = code + file.read()

return code

# 连接远端设备

device = frida.get_remote_device()

# 附加到进程

session = device.attach(package_name)

# 1、直接写入 javascript 代码

javascript = """

"""

# 2、从文件中加载 javascript 脚本代码

javascript = get_javascript(javascript_file)

# 基于脚本内容创建运行脚本对象

script = session.create_script(javascript)

script.on('message', on_message)

# 加载脚本并执行

script.load()

sys.stdin.read()

0x05 基本使用

Frida提供了一些工具直接操作

比如查看连接的设备

# bash

$ frida-ls-devices

Id Type Name

---------------- ------ ------------

local local Local System

0105a575959b9fa9 usb LGE Nexus 5X

tcp remote Local TCP

使用python脚本获取的也是这样

# python

import frida

print(frida.get_local_device())

print(frida.get_usb_device())

print(frida.get_remote_device())

-------------------------------------------------------------------------

Device(id="local", name="Local System", type='local')

Device(id="0105a575959b9fa9", name="LGE Nexus 5X", type='usb')

Device(id="tcp", name="Local TCP", type='remote')

其中，local device对应的就是PC本机，usb device对应连接的Android设备，remote device也是经过端口转发的Android设备

附加指定进程

$ frida-trace -i open -U

也封装了许多常用功能和函数，可以直接调用接口

查看所有进程

# python

processes = device.enumerate_processes()

for process in processes:

print(process)

查看所有安装的应用

# python

applications = device.enumerate_applications()

for application in applications:

print(application)

获取顶层应用进程

# python

front_app = remote_device.get_frontmost_application()

print(front_app)

-------------------------------------------------------------------------

Application(identifier="com.android.settings", name="设置", pid=6683)

获取加载的类

// javascript

Java.enumerateLoadedClasses({

onMatch:function(_className){

log("found instance of '" + _className + "'");

},

onComplete: function(){

log("enumerating completed !!!");

}

});

获取类声明的函数

// javascript

var clazz = Java.use(className);

var methods = clazz.class.getDeclaredMethods();

if(methods.length > 0){

log("getDeclaredMethods of class '" + className + "':");

methods.forEach(function(method){

log(method);

});

}

获取调用堆栈

// javascript

var stack = Java.use("java.lang.Thread").$new().currentThread().getStackTrace();

for(var i = 2; i < stack.length; i++){

log("getStackTrace[" + (i-2) + "] : " + stack[i].toString());

}

获取加载的所有模块

// javascript

Process.enumerateModules({

onMatch: function(module) {

log(module.name + " : " + module.base + "\t" + module.size + "\t" + module.path);

},

onComplete: function() {

log("enumerating completed !!!");

}

});

获取所有的导出符号

// javascript

var symbols = Module.enumerateExportsSync(moduleName);

symbols.forEach(function(symbol){

log(symbol.name + " address = " + symbol.address);

});

return symbols;

获取JNI注册的函数信息

// javascript

var RegisterNativesAddr = getSymbolAddr("libart.so", "_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi");

if(RegisterNativesAddr != null){

log("find symbol 'RegisterNatives' in libart.so, address = " + RegisterNativesAddr);

Interceptor.attach(RegisterNativesAddr, {

onEnter: function(args) {

var class_name = Java.vm.getEnv().getClassName(args[1]);

var methods_ptr = ptr(args[2]);

var module = Process.findModuleByAddress(Memory.readPointer(methods_ptr));

log("RegisterNativeMethod class = " + class_name + ", module = " + module.name + ", base = " + module.base);

var method_count = parseInt(args[3]);

log("registered methods count = " + method_count);

// get registered native method info

var offset = Process.pointerSize;

for (var i = 0; i < method_count; i++) {

var name = Memory.readCString(Memory.readPointer(methods_ptr.add(offset*3*i)));

var sig = Memory.readCString(Memory.readPointer(methods_ptr.add(offset*3*i+offset)));

var address = Memory.readPointer(methods_ptr.add(offset*(3*i+2)));

log("methods name = " + name + ", sig = " + sig + ", address = " + ptr(address) + ", offset = " + ptr(address).sub(module.base));

}

},

onLeave: function() {}

});

}

导出远程方法，注意不支持大写字母和下划线

// javascript

rpc.exports = {

: function(args) {

......

},

: function(args) {

......

}

};

远程调用

# python

script.exports.exportfuncname1(args)

0x06 常用API整理

console

log/warn/error(message) : 打印日志

hexdump(address, options) : 打印address内存，输出格式由options定义，一般为offset、length、header、ansi

Process

id : 返回目标进程id

isDebuggerAttached() : 检查目标进程是否附加成功

enumerateModules() : 枚举当前进程已加载的所有模块，并返回数组

enumerateThreads() : 枚举当前进程的所有线程，并返回数组

getCurrentThreadId() : 返回当前线程id

Module

name : 返回模块名称

base : 返回模块加载到内存中的地址，类型为 NativePointer

size : 模块大小

path : 模块的完整文件路径

load() : 加载so文件，返回 Module 对象

enumerateImports() : 枚举所有导入函数，返回数组(type/name/module/address)

enumerateExports() : 枚举所有导出函数，返回数组(type/name/module/address)

enumerateSymbols() : 枚举所有符号，返回数组(isGlobal/type/section/name/address)

findExportByName()/getExportByName() : 返回指定so文件中导出函数绝对地址

findBaseAddress()/getBaseAddress() : 返回指定so文件内存基址

Memory

scan(address, size, pattern, callback) : 从address开始搜索size大小空间中满足pattern条件的数据回调callback，可以返回“stop”提前取消内存扫描

scan(address, size, pattern) : 返回符合条件的数据数组

alloc(size) : 在目标进程堆中申请size大小的内存，并按照Process.pageSize对齐，返回NativePointer的地址指针，且自动释放

allocUtf8String(string)/allocUtf16String(string)/allocAnsiString(string) : 分配UTF-8/UTF-16/ANSI字符串

copy(obj_addr, tar_addr, size) : 将目标地址开始size大小的数据拷贝到目的地址

writeByteArray(addr, array) : 将数组写入目的地址

readByteArray(addr, size) : 从目标地址读取size大小的数组

Java

available : 判断当前进程是否加载JavaVM，Dalvik/ART虚拟机

androidVersion : 当前设备系统版本

enumerateLoadedClasses() : 枚举当前加载的所有类，回调onMatch(name)/onComplete()

enumerateLoadedClassesSync() : 枚举当前加载的所有类，返回数组

enumerateClassLoaders() : 枚举当前所有的类加载器，回调onMatch(loader)/onComplete()

enumerateClassLoadersSync() : 枚举当前所有的类加载器，返回数组

perform(callback) : 用于当前线程附加到Java VM，回调callback

use(classname) : 动态获取classname对应的类定义，$new()调用构造函数，$dispose()显式释放

choose(classname) : 在堆上查找实例化对象，回调onMatch(instance)/onComplete()

cast(instance, clazz) : 将指定变量或数据强制转化为给定类定义

array(type, [value1, value2, …]) : 定义type类型的Java的数组

registerClass(args) : 注册一个新的Java类并返回对象，类定义由args给出，name指定类名[superClass指定父类，implements指定实现接口数组，fields指定域字段，methods指定方法]

vm : 虚拟机，一般用于调用getEnv()来获取JNIEnv对象

Interceptor

attach(address, callback) : 拦截NativPointer类型的函数地址，回调onEnter/onLeave

detach() : 取消对地址的拦截

replace(function, callback) : 替换NativeFunction类型的原函数为回调函数

NativePointer : javascript中的指针

new NativePointer(var) : 构造指向var的指针

add/sub/and/or/xor(var) : 四则和逻辑运算

shl/shr(n) : 左/右移动n位

isNull() : 检查指针是否为空

toString/toInt32() : 转为字符串/32位整数

readXXX()/writeXXX(value) : 从内存读取内容/向内存写入内容

readByteArray(length) : 从内存读取length长度字节以ArrayBuffer返回

writeByteArray(bytes) : 将Arraybuffer类型或整数数组写入内存位置

readCSString/readUtf8String/readUtf16String/readAnsiString() : 将内存位置的字节作为ASCII、UTF-8、UTF-16、ANSI字符串读取

writeUtf8String/writeUtf16String/writeAnsiString(value) : 对JavaScript字符串进行编码并写入内存位置

NativeFunction : 本地函数

new NativeFunction(address, retType, argTypes) : 构造方法，address为NativePointer类型函数地址，retType指定返回类型，argTypes数组指定参数类型，返回函数对象，可以直接调用

NativeCallback : 本地函数回调

new NativeCallback(callback, retType, argTypes) : 构造方法，callback为回调函数，retType指定返回类型，argTypes数组指定参数类型，返回NativePointer对象

0x07 开发用例

上面所有的代码都可以在这里找到，这是我从学习frida开始写过的一些用例，包含测试应用程序、hook测试用例，还封装了一些常用功能

另外总结了一些优秀的应用案例：

appmon

objection

ssl_logger

passionfruit

r2frida = Frida + Radare2

Brida = Frida + Burp