吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 32135|回复: 126
收起左侧

[Android 原创] [超级详细]Frida Hook和Xposed Hook 再搞Crackme

    [复制链接]
佚名RJ 发表于 2020-11-27 19:54
本帖最后由 佚名RJ 于 2020-11-29 09:24 编辑


# [超级详细] Frida Hook和Xposed Hook 再搞Crackme

推荐上篇文章地址:[超级详细]实战分析一个Crackme的过程

一、Frida Hook过登录密码验证

1、frida 安装配置与手机互通

安装firda:pip install frida      Frida 下载地址

安装frida-tools:pip install frida-tools

frida server 根据手机CPU型号下载合适的推送到手机    frida server 下载地址

我下载的是:frida-server-14.0.5-android-x86(需要解压缩成单文件之后推送手机)

连接手机或者mumu模拟器:adb connect 127.0.0.1:7555        (7555为mumu模拟器端口号,其它百度)

将文件push 进手机的指定目录下:adb push frida-server-14.0.5-android-x86  /data/local/tmp/

进入手机端命令:adb shell

切换获取手机的root权限:su

查找文件是否在手机中:cd /data/local/tmp/

查看路径下的文件并看文件的权限:ls -l

拥有root权限更改文件的权限为777:chmod 777 frida-server-14.0.5-android-x86

在手机中启动运行该文件: ./frida-server-14.0.5-android-x86 &

电脑运行检查手机端服务是否开启成功: frida-ps -U

windows运行 端口转发到PC:adb forward tcp:27043 tcp:27043

点击查看:Frida Javascript Api

若文件推送错误,删除办法:

进入手机端命令:adb shell
切换获取手机的root权限:su
进入系统内指定文件夹:cd /data/local/tmp/
列表显示当前文件夹内容 :ls
删除名字为xxx的文件夹及其里面的所有文件:rm -r xxx
删除文件指定文件xxx :rm xxx

你们按照上面的命令直接一步步执行就行,因为我之前已经push过,在这里就不在演示了,直接演示开启frida-server的命令,如果在检查的时候,发现没有开启,就去做一次端口的转发。

image-20201127144528529.png

2、Frida Hook实现过密码验证

先使用MUMU模拟器打开软件随便输入密码,进入提示 验证码校验失败

image-20201126091035888.png

将软件拖入jadx去分析一下软件代码的执行流程,直接使用软件的搜索功能,发现只有一条数据并进去看一下。

image-20201126091448792.png

分析一下软件代码执行,分析出执行密码校验的方法,从而来来确定软件Hook的具体的位置,如下图所示:

image-20201127150017526.png

接着就是撸代码了,我们打开 PyCharm  工具开始写Python+js的Hook代码对软件实现Hook,代码如下:

import frida, sys

jscode = '''
Java.perform(function () {
    //这里是要Hook的软件具体位置的   包名 + 类名
    var Testsig = Java.use('com.yaotong.crackme.MainActivity');
    //这里写要Hook的方法名  以及参数
    Testsig.securityCheck.implementation=function(str){
        //直接返回为true
        return true;
    };
});
'''

def on_message(message, data):
    print(message)

process = frida.get_usb_device().attach('com.yaotong.crackme')  # 要Hook的软件包名
script = process.create_script(jscode)
script.on('message', on_message)
print('运行完毕!!!请随便输入密码进入软件。')
script.load()
sys.stdin.read()

之后在mumu模拟器中打开AliCrackme软件后,并运行上面的Hook代码后,直接在软件的密码框里输入密码就进入软件啦,如下图所示:

image-20201127151830725.png

二、Xposed Hook 过登录密码验证

上面我们已经分析过软件要HooK的方法了,这里就直接来时撸代码了,从创建Android项目开始搞起,如下图:

image-20201127152456132.png

之后将Android 切换为 Project ,这是为了方便,添加一下xposed开发的一些配置,别搞混了。开发Xposed 模块需要的    jar包下载地址

image-20201127152722971.png

之后将下载的开发Xposed 模块需要的两个jar包拷贝到项目的libs目录下,如下图所示:

image-20201127153320744.png

然后在文件名为 build.gradle 下的dependencies 中添加这两条信息 之后如下图所示:

compileOnly 'de.robv.android.xposed:api:82'
compileOnly 'de.robv.android.xposed:api:82:sources'

image-20201127153811461.png

然后在AndroidManifest.xml将这个应用标识为一个Xposed模块,把下面的代码语句添加在如下图所示位置:

用途解释:
xposedmodule下的value为true时表示自己是一个xposed模块
xposeddescription下的value中的文字就是对模块的描述说明。

    <meta-data
        android:name="xposedmodule"
        android:value="true" />
    <meta-data
        android:name="xposeddescription"
        android:value="Hook AliCrackme的模块" />
    <meta-data
        android:name="xposedminversion"
        android:value="53" />

image-20201127154245238.png

新建一个Hook类,类名为HookAlicrackme.java 并写关于Hook界面密码的相关代码,这个类实现IXposedHookLoadPackage接口,并使用了接口中的handleLoadPackage方法

public class HookAlicrackme implements IXposedHookLoadPackage {

    @Override
    public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
        // 将其它的应用剔除掉
        if (!lpparam.packageName.equals("com.yaotong.crackme"))
            return;
        XposedBridge.log("软件的包名是: " + lpparam.packageName);
        findAndHookMethod("com.yaotong.crackme.MainActivity", //这里是Hook软件的包名+类名
                lpparam.classLoader,
                "securityCheck",  //这里是Hook的软件的方法名
                String.class,          //这里是所Hook的方法的参数类型.class
                new XC_MethodHook() {

                    @Override
                    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                        //Hook函数之前执行的代码
                        //传入参数
                        XposedBridge.log("beforeHookedMethod password:" + param.args[0]);
                        //函数返回值
                        XposedBridge.log("beforeHookedMethod result:" + param.getResult());
                    }

                    @Override
                    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                        super.afterHookedMethod(param);
                        //Hook函数之后执行的代码
                        //通过对securityCheck函数的分析发现,只要修改函数的返回值即可实现进入软件
                        param.setResult(true); //改变返回值
                        //传入参数
                        XposedBridge.log("afterHookedMethod password:" + param.args[0]);
                        //函数返回值
                        XposedBridge.log("afterHookedMethod result:" + param.getResult());
                    }
                }
        );
    }
}

接下来在项目中为Xposed模块设置执行的入口,让程序知道从哪里开始执行,如下图所示:

image-20201127172913181.png

在assets中new一个file,文件名为xposed_init(文件类型选text),并在其中写上你的入口类的完整路径!

这样,xposed框架就能够读取xposed_init中的信息来找到Hook模块的入口,如下图所示:

image-20201127164127650.png

接下来项目打包成APK或者直接运行在模拟器上,安装之后进入Xposed 直接可以看到我们的模块已经显示了,选中,然后再到框架的主界面选择软重启直接激活就可以运行使用了!
image-20201127165732490.png

启动好Hook的软件,在密码框中随便的输入密码:吾爱破解:佚名RJ,看xposed框架里的日志执行,最终默认返回为true,Hook成功,它也在恭喜我:赢了!

image-20201127173646130.png

三、最后总结

通过写这篇文章,总结了一下近期学习两个常用框架的知识,学习到了Frida Hook 和 Xposed Hook的使用。

(不断学习+总结积累=持续性进步)

Frida Hook的方式:需要下次进入软件的时候,先运行起来软件,然后运行Hook代码即可。

Xposed Hook的方式:直接打包并激活插件后可以,以后想进入软件直接随便输入密码即可!

这篇使用两个框架Hook的文章:

文章对我而言:是一次详细的总结,也可以当做以后自己再Hook软件的一个经验贴和排错贴;

文章对你而言:是对逆向框架比较感兴趣的同学的一个入门介绍,希望可以帮助到你。

练习软件地址:https://yirj.lanzoui.com/iehe4ity92h

免费评分

参与人数 92威望 +2 吾爱币 +185 热心值 +84 收起 理由
hza1130 + 1 谢谢@Thanks!
薛-蓝狐 + 1 + 1 加我Q2310992767一起交流
dechong + 1 谢谢@Thanks!
yesoh86 + 1 谢谢@Thanks!
FY-1573 + 1 热心回复!
spcspcspcspcspc + 1 用心讨论,共获提升!
风辰熙 + 1 + 1 用心讨论,共获提升!
wecat + 1 + 1 我很赞同!
MT_祎 + 1 我很赞同!
sdaq1000 + 1 + 1 谢谢@Thanks!
anliou + 1 + 1 我很赞同!
swz7852151 + 1 + 1 我很赞同!
limlibgiag + 1 + 1 谢谢@Thanks!
xiaobai1123 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Bizhi-1024 + 1 谢谢@Thanks!
是随风啊 + 1 谢谢@Thanks!
canty胖胖 + 1 + 1 热心回复!
清歡渡 + 1 + 1 我很赞同!
sym945 + 1 + 1 热心回复!
a1992a0128 + 1 + 1 我很赞同!
lzawww + 1 + 1 谢谢@Thanks!
skyward + 1 + 1 我很赞同!
兜兜风f + 4 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
gongxi123 + 1 + 1 谢谢@Thanks!
caleb110 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
shiguangbugudan + 1 + 1 热心回复!
onething + 1 + 1 热心回复!
hackAll + 1 我很赞同!
打字的小强 + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
莫奇 + 1 + 1 谢谢@Thanks!
heyu1234 + 1 + 1 热心回复!
hxtlcc + 1 + 1 用心讨论,共获提升!
今晚酒肆不打烊 + 1 用心讨论,共获提升!
涂秋 + 1 鼓励转贴优秀软件安全工具和文档!
大轩轩 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
007nbqaq + 1 我很赞同!
18269055653 + 1 + 1 热心回复!
worldsun + 1 + 1 用心讨论,共获提升!
azcolf + 1 + 1 用心讨论,共获提升!
不谙世事的骚年 + 1 + 1 热心回复!
全场最佳赵山河 + 1 + 1 谢谢@Thanks!
victos + 1 + 1 谢谢@Thanks!
mifeng + 3 + 1 用心讨论,共获提升!
wh1te8ea + 1 + 1 谢谢@Thanks!
太阳王 + 1 我很赞同!
霏映 + 1 + 1 热心回复!
gaosld + 1 + 1 用心讨论,共获提升!
qaz007 + 1 + 1 用心讨论,共获提升!
WAlitudealiy + 1 谢谢@Thanks!
kotlyne + 1 谢谢@Thanks!
xyz2000cn007 + 1 + 1 热心回复!
小飞侠666 + 1 用心讨论,共获提升!
专属味道 + 1 + 1 谢谢@Thanks!
wshq + 1 + 1 谢谢@Thanks!
zun925 + 1 + 1 用心讨论,共获提升!
Rostal + 1 + 1 谢谢,很详细!@Thanks!
oepoep + 1 + 1 谢谢@Thanks!
wanglalaen + 1 + 1 谢谢@Thanks!
lookerJ + 1 + 1 用心讨论,共获提升!
andrew_a + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
13456257312 + 1 我很赞同!
hjthack + 1 + 1 我很赞同!
山上的冷 + 1 + 1 谢谢@Thanks!
宅の士 + 1 用心讨论,共获提升!
皮皮鲲 + 1 + 1 我很赞同!
jackliqiao + 1 + 1 我很赞同!
hysh + 1 + 1 用心讨论,共获提升!
amovokiss + 1 + 1 谢谢@Thanks!
19936040638 + 1 + 1 我很赞同!
feng76998 + 1 + 1 用心讨论,共获提升!
sam喵喵 + 1 + 1 谢谢@Thanks!
CIBao + 1 + 1 谢谢@Thanks!
再见babay + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
5ud0 + 1 + 1 我很赞同!
zhoumeto + 1 + 1 不明觉厉
qtfreet00 + 2 + 100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
奇奇小霸王龙 + 1 + 1 我很赞同!
影灬殇 + 1 + 1 谢谢@Thanks!
I_amagoodboy + 1 鼓励转贴优秀软件安全工具和文档!
永昌 + 1 谢谢@Thanks!
tomatobobot + 1 + 1 谢谢@Thanks!
loveqq520 + 1 + 1 用心讨论,共获提升!
JunMoXiao + 1 谢谢@Thanks!
system° + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Jedis + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
fengbolee + 1 + 1 用心讨论,共获提升!
yiwai2012 + 2 + 1 真的非常详细 一直不知道写xp插件,这下会了
akckchen + 1 + 1 谢谢@Thanks!
amus + 1 + 1 我很赞同!
DLynn + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Airey + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
nosilence + 1 + 1 用心讨论,共获提升!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 佚名RJ 发表于 2020-12-11 20:44
本帖最后由 佚名RJ 于 2020-12-11 21:06 编辑
sensMe 发表于 2020-12-11 16:57
大佬,想问下手机上,交管12123APP识别到magisk和EDxposed疯狂闪退,隐藏不了,有没有什么办法可以隐藏交管 ...

我记得之前看到过一篇文章,就是自己通过逆向定制xp框架,这样修改之前框架的一些包名及特征,其它软件就检测不到了
 楼主| 佚名RJ 发表于 2020-11-28 16:26
yiwai2012 发表于 2020-11-28 10:31
真的非常详细 一直不知道写xp插件,这下会了,虽然是最简单的hook。希望能出一系列从简到难的教程.再次感谢

随着自己慢慢学习的深入,以后会的。
额微粒波地 发表于 2020-11-27 20:03
Airey 发表于 2020-11-27 20:21
学习啦  感谢分享~ 涨姿势了
DLynn 发表于 2020-11-27 20:30
学习了~谢谢分享
猪头。 发表于 2020-11-27 21:16
这个就很高级了
逆劫古修 发表于 2020-11-28 07:12
学习受教了,谢谢分享
akckchen 发表于 2020-11-28 08:38
值得学习,谢谢分享
mitchzh 发表于 2020-11-28 09:10
学习了,谢谢分享
小生好怕怕666 发表于 2020-11-28 09:35
牛皮66666
hnwang 发表于 2020-11-28 09:37
感谢分享 收藏学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 14:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表