frida持久化

frida持久化

感谢正己大佬开源:安卓逆向这档事

1.免root方案

Frida的Gadget是一个共享库，用于免root注入hook脚本。
官方文档
思路:将APK解包后，通过修改smali代码或patch so文件的方式植入frida-gadget，然后重新打包安装。
优点:免ROOT、能过掉一部分检测机制
缺点:重打包可能会遇到解决不了的签名校验、hook时机需要把握

1. 基于obejction的patchapk功能

   官方文档

   命令：

   objection patchapk -V 14.2.18 -c config.txt -s demo.apk(注意路径不要有中文)
   -V 指定gadget版本
   -c 加载脚本配置信息
   -s 要注入的apk
   

注意的问题:
objection patchapk命令基本上是其他几个系统命令的补充，可尽可能地自动化修补过程。当然，需要先安装并启用这些命令。它们是：

• aapt- 来自：http://elinux.org/Android_aapt
• adb- 来自：https://developer.android.com/studio/command-line/adb.html
• jarsigner- 来自：http://docs.oracle.com/javase/7/docs/technotes/tools/windows/jarsigner.html
• apktool- 来自：https://ibotpeaches.github.io/Apktool/

ps:这几个环境工具，aapt、jarsigner都是Android Studio自带的，所以在配置好as的环境即可，abd的环境配置网上搜一下就行，apktool则需要额外配置.

另外会遇到的问题，patchapk的功能在patch的时候会下载对应版本的gadget的so，但是网络问题异常慢，所以建议根据链接去下载好，然后放到这个路径下并重命名

C:\Users\用户名\.objection\android\arm64-v8a\libfrida-gadget.so

2.root方案

方法一:
思路:可以patch /data/app/pkgname/lib/arm64(or arm)目录下的so文件，apk安装后会将so文件解压到该目录并在运行时加载，修改该目录下的文件不会触发签名校验。
Patch SO的原理可以参考Android平台感染ELF文件实现模块注入
优点:绕过签名校验、root检测和部分ptrace保护。
缺点:需要root、高版本系统下，当manifest中的android:extractNativeLibs为false时，lib目录文件可能不会被加载，而是直接映射apk中的so文件、可能会有so完整性校验
使用方法

python LIEFInjectFrida.py test.apk ./ lib52pojie.so -apksign -persistence
test.apk要注入的apk名称
lib52pojie.so要注入的so名称

然后提取patch后是so文件放到对应的so目录下

方法二:
思路:基于magisk模块方案注入frida-gadget，实现加载和hook。寒冰师傅的FridaManager
优点:无需重打包、灵活性较强
缺点:需要过root检测，magsik检测

方法三:
思路:基于jshook封装好的fridainject框架实现hook
JsHook

3.源码定制方案

原理:修改aosp源代码,在fork子进程的时候注入frida-gadget
ubuntu 20.04系统AOSP(Android 11)集成Frida
AOSP Android 10内置FridaGadget实践01
AOSP Android 10内置FridaGadget实践02(完)|