android逆向奇技淫巧十六:frida hook java和so层函数常用脚本
逆向时用frida hook java层相对比较简单,找准hook点用objection就行!或则自己写脚本hook java常见的加密/编码也很简单,核心原因就是类名、函数名称得以保留,逆向人员能快速定位!java层常见的加密/编码hook脚本这里有:https://www.cnblogs.com/theseventhson/p/14852458.html ; java层的解决了? so层怎么办了? 因为so层用c/c++写的,编译后的release版本把变量名、函数名都去掉了,加密/编码算法单从名称上很难直接看准,需要逐个查看字符换、变量等,这就涉及到hook了,本文分享一些常用的so层hook脚本,希望对frida的粉丝有用!
1、OLLVM字符串加密
很多APP都会用OLLVM加密关键字段,然后在init_array解密!技术好的同学可以跟踪init_array的函数,看看这些字符串是怎么解密的!对于想"偷懒"的同学来说,可以直接用frida hook字符串的地址来查看解密后的值,脚本如下:
function print_string(addr) { var base_hello_jni = Module.findBaseAddress("libxxxx.so"); var addr_str = base_hello_jni.add(addr); console.log("addr:", addr, " ", ptr(addr_str).readCString()); }
使用的时候把so改成字符串所在的so;addr就是字符串相对so的偏移,在IDA中是可以查到的,比如下面这种:
打印结果:
2、registerNative:这个函数的作用就不赘述了;因为从第三个参数能看到jni函数的映射关系,而很多加解密函数都是Java层声明、在so层实现的,所以这个函数格外重要;下面这段代码可以动态获取registerNative函数地址,并且打印第三个参数的内容:
function hook_libart() { var module_libart = Process.findModuleByName("libart.so"); var symbols = module_libart.enumerateSymbols(); //枚举模块的符号 var addr_GetStringUTFChars = null; var addr_FindClass = null; var addr_GetStaticFieldID = null; var addr_SetStaticIntField = null; var addr_RegisterNatives = null; for (var i = 0; i < symbols.length; i++) { var name = symbols[i].name; if (name.indexOf("art") >= 0) {//动态获取各个函数的地址 if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) { if (name.indexOf("GetStringUTFChars") >= 0) { console.log(name); addr_GetStringUTFChars = symbols[i].address; } else if (name.indexOf("FindClass") >= 0) { console.log(name); addr_FindClass = symbols[i].address; } else if (name.indexOf("GetStaticFieldID") >= 0) { console.log(name); addr_GetStaticFieldID = symbols[i].address; } else if (name.indexOf("SetStaticIntField") >= 0) { console.log(name); addr_SetStaticIntField = symbols[i].address; } else if (name.indexOf("RegisterNatives") >= 0) { console.log(name); addr_RegisterNatives = symbols[i].address; } } } } if (addr_RegisterNatives) { Interceptor.attach(addr_RegisterNatives, { onEnter: function (args) { console.log("addr_RegisterNatives:", hexdump(args[2])); //打印第三个参数,也就是java和native映射的数组首地址 console.log("addr_RegisterNatives name:", ptr(args[2]).readPointer().readCString())//java层函数名称 console.log("addr_RegisterNatives sig:", ptr(args[2]).add(Process.pointerSize).readPointer().readCString());//函数参数 console.log("addr_RegisterNatives addr:", ptr(args[2]).add(Process.pointerSize+Process.pointerSize));//native函数入口地址 }, onLeave: function (retval) { } }); } }
注意:因为一个jni函数注册只调用一次registerNative,所以这里建议用frida -U --no-pause -f com.xxxx.xxxx -l xxxx.js命令注入js,同时启动目标app;如果人为开启目标app,再运行frida,可能regiserNative函数已经执行过了!
3、 inline hook:想要查看某些函数的临时变量,而这些变量存放在寄存器、不在栈或堆上,没法用第一种方式打印,这可咋整?比如这里我想要查看x13的值(因为保存了异或的结果):
hook代码如下: 关键指令的位置在0x731C,所以这里hook 0x7320,然后调用this.context.x13打印想要看的寄存器值;
//刚注入的时候这个so还没加载,需要hook dlopen function inline_hook() { var base_hello_jni = Module.findBaseAddress("libxxxx.so"); console.log("base_hello_jni:", base_hello_jni); if (base_hello_jni) { console.log(base_hello_jni); //inline hook var addr_07320 = base_hello_jni.add(0x07320);//指令执行的地址,不是变量所在的栈或堆 Interceptor.attach(addr_07320, { onEnter: function (args) { console.log("addr_07320 x13:", this.context.x13);//注意这里是怎么得到寄存器值的 }, onLeave: function (retval) { } }); } } //8.0以下所有的so加载都通过dlopen function hook_dlopen() { var dlopen = Module.findExportByName(null, "dlopen"); Interceptor.attach(dlopen, { onEnter: function (args) { this.call_hook = false; var so_name = ptr(args[0]).readCString(); if (so_name.indexOf("libxxxx.so") >= 0) { console.log("dlopen:", ptr(args[0]).readCString()); this.call_hook = true;//dlopen函数找到了 } }, onLeave: function (retval) { if (this.call_hook) {//dlopen函数找到了就hook so inline_hook(); } } }); // 高版本Android系统使用android_dlopen_ext var android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext"); Interceptor.attach(android_dlopen_ext, { onEnter: function (args) { this.call_hook = false; var so_name = ptr(args[0]).readCString(); if (so_name.indexOf("libhxxxx.so") >= 0) { console.log("android_dlopen_ext:", ptr(args[0]).readCString()); this.call_hook = true; } }, onLeave: function (retval) { if (this.call_hook) { inline_hook(); } } }); }
这里有两点需要注意:(1)因为不知道目标so什么时候加载,所以要hook dlopen相关函数;确认目标so加载后才执行hook代码 (2)不同版本的dlopen不同,两种情况都要考虑到!异或后的结果:
4、OLLVM函数混淆/指令替换:不管是控制流平坦化,还是虚假控制流,原有的函数调用关系是不会改变的!所以有这么几种方式可以摸清函数的功能:
(1)一般来说:不在条件里面的函数是比较重要的,建议优先hook观察;比如有些函数在if、while等条件里面,这些函数的重要性是不如在条件外(无条件执行)的函数重要的!
(2)可以根据函数体内非if条件用到的常量大致判断函数加解密的类型,具体可以参考这里:https://www.cnblogs.com/theseventhson/p/14852458.html
(3)hook函数参数的时候,参数不外乎这么几种类型:
- 指针:可以指向字符串、数值、对象(虚函数指针表+成员变量);建议用hexdump打印查看具体内容;
- 正整数:大概率是字符串长度;
- 地址引用:&符号的,可能保存了函数的处理结果,也就是返回值,建议用hexdump打印内容;
(4)还有某些指令替换,加入大量的垃圾指令混淆视听,但函数调用的关系不会变!比如下面这种: 上面红框框都是垃圾指令,下面红框框才是核心的算法函数;
注意:如果无法判断这是正常的算法,还是垃圾指令替换,可以把这些常量google一下,看看到底是啥!
(5)hook某些函数,让这些函数在被调用时执行我们的代码,这个实现很简单,比如这种常见的Java.use,本质是在类函数额外增加一些代码,等到这个类的函数被调用时执行我们插入的代码!
function hook_sign2() { Java.perform(function () { var HelloJni = Java.use("com.xxxx.xxxx"); HelloJni.sign2.implementation = function (str, str2) { var result = this.sign2(str, str2); console.log("HelloJni.sign2:", str, str2, result); return result; }; }); }
但是有些时候我们需要主动调用目标函数,避免挨个手动去点击(避免麻烦,提高自动化测试或逆向的效率,还可以主动使用我们想用的参数),可以用Java.choose在堆内存去找对象实例:其中ins是实例符号,可以直接用ins.xxx来主动调用类成员函数!
function call_sign2() { Java.perform(function () { Java.choose("com.xxxx.xxxx", { onMatch: function (ins) { var result = ins.sign2("0123456789", "abcdefghakdjshgkjadsfhgkjadshfg"); console.log(result); }, onComplete: function () { } }); }); }
也可以用classloader来找到对象实例,代码如下:这个是模拟抢红包时点击onClick的动作;
Java.perform(function () { Java.enumerateClassLoadersSync().forEach(function (classloader) { try { var receive = classloader.findClass("com.xxxxx"); var view = Java.use('android.view.View').$new(); console.log("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyNotHookReceiveUI$15.onClick before invoke onclick3!"); receive.onClick(view); console.log("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyNotHookReceiveUI$15.onClick after invoke onclick!3"); } catch (e) { console.log("com.tencent.mm.plugin.luckymoney.ui.LuckyMoneyNotHookReceiveUI$15.onClick exception:"+e);//类找不到 } }) })
主动调用有一点需要注意: 因为是去堆内存查找类的实例,所以如果类还没生成实例时就调用,会报xxxx class not found error!
上述都是java层函数的主动调用;因为java是完全面向对象的,所有的方法都包含在类里面;要调用方法直接用对象去调用就行了;但是so层可能是用c写的,没有对象实例,怎么主动调用so层的方法了?用new NativeFuntion找到代码实例后再调用,demo代码如下:
// 绑定 var thiscall_func = new NativeFunction(ptr("0x0041153C"), // 函数地址 'int', // 返回值类型 ['pointer', 'int'],// 函数参数(__thiscall的第一个参数为this指针) 'thiscall' // 调用约定 ); // 调用并打印返回值 console.log(thiscall_func( ptr('0x00421360'), 0xb ));
(6)还有“二级”指针的打印方式:
var sub_18AB0 = base_hello_jni.add(0x18AB0); Interceptor.attach(sub_18AB0, { onEnter: function (args) { this.arg0 = args[0]; this.arg1 = args[1]; this.arg8 = this.context.x8; console.log("sub_18AB0 onEnter:", hexdump(args[0]), "\r\n", hexdump(args[1])); }, onLeave: function (retval) { //console.log("sub_18AB0 onLeave:", hexdump(retval)); console.log("sub_18AB0 onLeave:", hexdump(this.arg8)); console.log("sub_18AB0 onLeave:", hexdump(ptr(this.arg8).add(Process.pointerSize * 2).readPointer()));//二级指针 // console.log("sub_18AB0 onLeave:", hexdump(this.arg0), "\r\n", hexdump(this.arg1)); } });
打印结果:
5、Native api的获取方法:Java.vm.tryGetEnv().xxxx
var sign2 = Module.findExportByName("libhello-jni.so", "Java_com_example_hellojni_HelloJni_sign2"); console.log(sign2); Interceptor.attach(sign2, { onEnter: function (args) { //jstring console.log("sign2 str1:", ptr(Java.vm.tryGetEnv().getStringUtfChars(args[2])).readCString()); console.log("sign2 str2:", ptr(Java.vm.tryGetEnv().getStringUtfChars(args[3])).readCString()); }, onLeave: function (retval) { console.log("sign2 retval:", ptr(Java.vm.tryGetEnv().getStringUtfChars(retval)).readCString()); } });
6、其他常见java类hook函数 :
(1)String类:很多关键字符需要通过string类生成,hook代码如下:
function hookjavalangString() { Java.perform(function () { var JavaString = Java.use('java.lang.String'); JavaString.$init.overload('java.lang.String').implementation = function (content) { console.log('JavaString.$init.overload(\'java.lang.String\')->' + content); var result = this.$init(content); return result; }; JavaString.$init.overload('[C').implementation = function (content) { console.log("JavaString.$init.overload('[C')->" + content); var result = this.$init(content); return result; }; var StringFactory = Java.use('java.lang.StringFactory'); StringFactory.newStringFromString.implementation = function (arg0) { console.log("java.lang.StringFactory.newStringFromString->" + arg0); var result = this.newStringFromString(arg0); return result; }; var exampleString1 = JavaString.$new('Hello World, this is an example string in Java.'); console.log('[+] exampleString1: ' + exampleString1); }) }
(2)JSONObject:很多app在拼接关键字段时用的就是这个类的put方法,然后通过toString方法转成String,hook代码如下:
var JSONObject=Java.use('org.json.JSONObject'); JSONObject.toString.overload().implementation = function(){ send("=================org.json.JSONObject.toString===================="); send(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new())); var data=this.toString(); send("org.json.JSONObject.toString result:"+data); return data; } for(var i = 0; i < JSONObject.put.overloads.length; i++){ JSONObject.put.overloads[i].implementation = function(){ send("=================org.json.JSONObject.put===================="); if(arguments.length == 2){ send(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new())); send("key:"+arguments[0]); send("value:"+arguments[1]); var data=this.put(arguments[0],arguments[1]); return data; } } } for(var i = 0; i < JSONObject.$init.overloads.length; i++){ JSONObject.$init.overloads[i].implementation = function(){ send("=================org.json.JSONObject.$init===================="); send(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new())); if(arguments.length == 1){//只有1个string参数 send("string:"+arguments[0]); }else if(arguments.length == 2){ //其他构造函数用到的时候可以继续添加 } } }
(3)另一个和JSONObject类似的类是hashmap了,hook代码如下:
var linkerHashMap=Java.use('java.util.LinkedHashMap'); linkerHashMap.put.implementation = function(arg1,arg2){ send("=================linkerHashMap.put===================="); var data=this.put(arg1,arg2); send(arg1+"-----"+arg2); send(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new())); return data; }
(4)以上是java层的字符串拼接相关函数;部分防护很好的app转移到so层拼接字符串了,比如在so层调用java层的stringBuffer拼接,拼接的代码如下:
所以hook的时候也要重点关注这些函数!针对这些jni函数的跟踪,可以用jnitrace(https://github.com/chame1eon/jnitrace),效果如下:
这些jni函数的地址、调用顺序、参数都被看的一清二楚!
7、某些app会做各种检测,比如frida、xpose、模拟器检测,一旦发现这些就直接在so层调用kill、exit等方法退出;为了反检测,可以直接静态NOP掉这些关键代码,也可以通过frida动态打补丁NOP掉这些退出的代码(当然也可以直接hook kill或exit函数,这两个函数一旦被调用啥都不做,直接返回),以32位为例,js代码如下:
function dis(address, number) { for (var i = 0; i < number; i++) { var ins = Instruction.parse(address); console.log("address:" + address + "--dis:" + ins.toString()); address = ins.next; } } //libc->strstr() 从linker里面找到call_function的地址:趁so代码还未执行前就hook function hook() { //call_function("DT_INIT", init_func_, get_realpath()); var linkermodule = Process.getModuleByName("linker"); var call_function_addr = null; var symbols = linkermodule.enumerateSymbols(); for (var i = 0; i < symbols.length; i++) { var symbol = symbols[i]; //LogPrint(linkername + "->" + symbol.name + "---" + symbol.address); if (symbol.name.indexOf("__dl__ZL13call_functionPKcPFviPPcS2_ES0_") != -1) { call_function_addr = symbol.address; //LogPrint("linker->" + symbol.name + "---" + symbol.address) } } Interceptor.attach(call_function_addr, { onEnter: function (args) { var type = ptr(args[0]).readUtf8String(); var address = args[1]; var sopath = ptr(args[2]).readUtf8String(); console.log("loadso:" + sopath + "--addr:" + address + "--type:" + type); if (sopath.indexOf("libnative-lib.so") != -1) { var libnativemodule = Process.getModuleByName("xxxx.so");//call_function正在加载目标so,这时就拦截下来 var base = libnativemodule.base; dis(base.add(0x1234).add(1), 10); var patchaddr = base.add(0x2345);//改so的机器码,避免待会完全加载后运行时就错过时机了! Memory.patchCode(patchaddr, 4, patchaddr => { var cw = new ThumbWriter(patchaddr); cw.putNop(); cw = new ThumbWriter(patchaddr.add(0x2)); cw.putNop(); cw.flush(); }); console.log("+++++++++++++++++++++++") dis(base.add(0x1234).add(1), 10); console.log("----------------------") dis(base.add(0x2345).add(1), 10); Memory.protect(base.add(0x8E78), 4, 'rwx'); base.add(0x1234).writeByteArray([0x00, 0xbf, 0x00, 0xbf]); console.log("+++++++++++++++++++++++") dis(base.add(0x2345).add(1), 10); } } }) } function main() { hook(); } setImmediate(main);
参考:
1、https://eternalsakura13.com/2020/07/04/frida/ Frida Android hook
2、https://github.com/lasting-yang frida hook
3、https://frida.re/docs/javascript-api/ frida官网api
