[超级详细]Frida Hook和Xposed Hook 再搞Crackme
本帖最后由 佚名RJ 于 2020-11-29 09:24 编辑# [超级详细] Frida Hook和Xposed Hook 再搞Crackme
**推荐上篇文章地址:**[[超级详细]实战分析一个Crackme的过程](https://www.52pojie.cn/thread-1315444-1-1.html)
## 一、Frida Hook过登录密码验证
### 1、frida 安装配置与手机互通
> **安装firda:**pip install frida (https://pypi.org/project/frida/#files)
>
>**安装frida-tools:**pip install frida-tools
>
>**frida server 根据手机CPU型号下载合适的推送到手机** [ frida server 下载地址](https://github.com/frida/frida/releases)
>
> 我下载的是:frida-server-14.0.5-android-x86(需要解压缩成单文件之后推送手机)
>
> **连接手机或者mumu模拟器:**adb connect 127.0.0.1:7555 (7555为mumu模拟器端口号,其它百度)
>
>**将文件push 进手机的指定目录下:**adb push frida-server-14.0.5-android-x86/data/local/tmp/
>
>**进入手机端命令:**adb shell
>
> **切换获取手机的root权限:**su
>
> **查找文件是否在手机中:**cd /data/local/tmp/
>
> **查看路径下的文件并看文件的权限:**ls -l
>
>**拥有root权限更改文件的权限为777:**chmod 777 frida-server-14.0.5-android-x86
>
>**在手机中启动运行该文件:** ./frida-server-14.0.5-android-x86 &
>
> **电脑运行检查手机端服务是否开启成功:** frida-ps -U
>
>**windows运行 端口转发到PC:**adb forward tcp:27043 tcp:27043
[点击查看:Frida Javascript Api ](https://www.frida.re/docs/javascript-api)
**若文件推送错误,删除办法:**
>**进入手机端命令:**adb shell
> **切换获取手机的root权限:**su
> **进入系统内指定文件夹:**cd /data/local/tmp/
> **列表显示当前文件夹内容 :**ls
> **删除名字为xxx的文件夹及其里面的所有文件:**rm -r xxx
> **删除文件指定文件xxx :**rm xxx
你们按照上面的命令直接一步步执行就行,因为我之前已经push过,在这里就不在演示了,直接演示开启frida-server的命令,如果在检查的时候,发现没有开启,就去做一次端口的转发。
### 2、Frida Hook实现过密码验证
先使用MUMU模拟器打开软件随便输入密码,进入提示 **验证码校验失败**
将软件拖入**jadx**去分析一下软件代码的执行流程,直接使用软件的搜索功能,发现只有一条数据并进去看一下。
分析一下软件代码执行,分析出执行密码校验的方法,从而来来确定软件Hook的具体的位置,如下图所示:
接着就是撸代码了,我们打开 PyCharm工具开始写Python+js的Hook代码对软件实现Hook,代码如下:
```python
import frida, sys
jscode = '''
Java.perform(function () {
//这里是要Hook的软件具体位置的 包名 + 类名
var Testsig = Java.use('com.yaotong.crackme.MainActivity');
//这里写要Hook的方法名以及参数
Testsig.securityCheck.implementation=function(str){
//直接返回为true
return true;
};
});
'''
def on_message(message, data):
print(message)
process = frida.get_usb_device().attach('com.yaotong.crackme')# 要Hook的软件包名
script = process.create_script(jscode)
script.on('message', on_message)
print('运行完毕!!!请随便输入密码进入软件。')
script.load()
sys.stdin.read()
```
之后在mumu模拟器中打开AliCrackme软件后,并运行上面的Hook代码后,直接在软件的密码框里输入密码就进入软件啦,如下图所示:
## 二、Xposed Hook 过登录密码验证
上面我们已经分析过软件要HooK的方法了,这里就直接来时撸代码了,从创建Android项目开始搞起,如下图:
之后将Android 切换为 Project ,这是为了方便,添加一下xposed开发的一些配置,别搞混了。开发Xposed 模块需要的 (https://jcenter.bintray.com/de/robv/android/xposed/api/)
之后将下载的开发Xposed 模块需要的两个jar包拷贝到项目的libs目录下,如下图所示:
然后在文件名为 build.gradle 下的dependencies 中添加这两条信息 之后如下图所示:
```java
compileOnly 'de.robv.android.xposed:api:82'
compileOnly 'de.robv.android.xposed:api:82:sources'
```
然后在AndroidManifest.xml将这个应用标识为一个Xposed模块,把下面的代码语句添加在如下图所示位置:
**用途解释:**
xposedmodule下的value为true时表示自己是一个xposed模块
xposeddescription下的value中的文字就是对模块的描述说明。
```java
<meta-data
android:name="xposedmodule"
android:value="true" />
<meta-data
android:name="xposeddescription"
android:value="Hook AliCrackme的模块" />
<meta-data
android:name="xposedminversion"
android:value="53" />
```
新建一个Hook类,类名为HookAlicrackme.java 并写关于Hook界面密码的相关代码,这个类实现`IXposedHookLoadPackage`接口,并使用了接口中的`handleLoadPackage`方法
```java
public class HookAlicrackme implements IXposedHookLoadPackage {
@Override
public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
// 将其它的应用剔除掉
if (!lpparam.packageName.equals("com.yaotong.crackme"))
return;
XposedBridge.log("软件的包名是: " + lpparam.packageName);
findAndHookMethod("com.yaotong.crackme.MainActivity", //这里是Hook软件的包名+类名
lpparam.classLoader,
"securityCheck",//这里是Hook的软件的方法名
String.class, //这里是所Hook的方法的参数类型.class
new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
//Hook函数之前执行的代码
//传入参数
XposedBridge.log("beforeHookedMethod password:" + param.args);
//函数返回值
XposedBridge.log("beforeHookedMethod result:" + param.getResult());
}
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
//Hook函数之后执行的代码
//通过对securityCheck函数的分析发现,只要修改函数的返回值即可实现进入软件
param.setResult(true); //改变返回值
//传入参数
XposedBridge.log("afterHookedMethod password:" + param.args);
//函数返回值
XposedBridge.log("afterHookedMethod result:" + param.getResult());
}
}
);
}
}
```
接下来在项目中为Xposed模块设置执行的入口,让程序知道从哪里开始执行,如下图所示:
在assets中new一个file,文件名为xposed_init(文件类型选text),并在其中写上你的入口类的完整路径!
这样,xposed框架就能够读取xposed_init中的信息来找到Hook模块的入口,如下图所示:
接下来项目打包成APK或者直接运行在模拟器上,安装之后进入Xposed 直接可以看到我们的模块已经显示了,选中,然后再到框架的主界面选择软重启直接激活就可以运行使用了!
启动好Hook的软件,在密码框中随便的**输入密码:吾爱破解:佚名RJ**,看xposed框架里的日志执行,最终默认返回为true,Hook成功,它也在恭喜我:赢了!
## 三、最后总结
通过写这篇文章,总结了一下近期学习两个常用框架的知识,学习到了Frida Hook 和 Xposed Hook的使用。
(不断学习+总结积累=持续性进步)
**Frida Hook的方式**:需要下次进入软件的时候,先运行起来软件,然后运行Hook代码即可。
**Xposed Hook的方式**:直接打包并激活插件后可以,以后想进入软件直接随便输入密码即可!
**这篇使用两个框架Hook的文章:**
**文章对我而言:**是一次详细的总结,也可以当做以后自己再Hook软件的一个经验贴和排错贴;
**文章对你而言:**是对逆向框架比较感兴趣的同学的一个入门介绍,希望可以帮助到你。
**练习软件地址:**[**https://yirj.lanzoui.com/iehe4ity92h**](https://yirj.lanzoui.com/iehe4ity92h) 本帖最后由 佚名RJ 于 2020-12-11 21:06 编辑
sensMe 发表于 2020-12-11 16:57
大佬,想问下手机上,交管12123APP识别到magisk和EDxposed疯狂闪退,隐藏不了,有没有什么办法可以隐藏交管 ...
我记得之前看到过一篇文章,就是自己通过逆向定制xp框架,这样修改之前框架的一些包名及特征,其它软件就检测不到了 yiwai2012 发表于 2020-11-28 10:31
真的非常详细 一直不知道写xp插件,这下会了,虽然是最简单的hook。希望能出一系列从简到难的教程.再次感谢
随着自己慢慢学习的深入,以后会的。 感谢你的精彩分享 学习啦感谢分享~ 涨姿势了:victory: 学习了~谢谢分享 这个就很高级了 学习受教了,谢谢分享 值得学习,谢谢分享{:300_956:} 学习了,谢谢分享 牛皮66666 感谢分享 收藏学习了