Frida hook Android so RegisterNatives

DeathMemory · 发表于 2020-5-20 10:29

本帖最后由 DeathMemory 于 2020-5-21 11:02 编辑

为了达到在应用启动时 hook RegisterNatives 查看注册函数对应关系，特意找了一下 frida hook RegisterNatives 的方法。发现没有现成可用的。翻了一下 frida 源码，自己整理了一个方法，给同学们提供一下方便。

直接上 frida 脚本：

function hook_registNatives() {

    var env = Java.vm.getEnv();
    var handlePointer = env.handle.readPointer();
    console.log("handle: " + handlePointer);
    var nativePointer = handlePointer.add(215 * Process.pointerSize).readPointer();
    console.log("register: " + nativePointer);
    /**
     typedef struct {
        const char* name;
        const char* signature;
        void* fnPtr;
     } JNINativeMethod;
     jint RegisterNatives(JNIEnv* env, jclass clazz, const JNINativeMethod* methods, jint nMethods)
     */
    Interceptor.attach(nativePointer, {
        onEnter: function(args) {
            var env = Java.vm.getEnv();
            var methods = args[2];
            var methodcount = args[3].toInt32();
            var name = env.getClassName(args[1]);
            console.log("==== class: " + name + " ====");

            console.log("==== methods: " + methods + " nMethods: " + methodcount + " ====");
            for (var i = 0; i < methodcount; i ++ ) {
                var idx = i * 12;
                var fnPtr = methods.add(idx + 8).readPointer();
                const infoArr = getModuleInfoByPtr(fnPtr);
                const modulename = infoArr[0];
                const modulebase = infoArr[1];
                var logstr = "name: " + methods.add(idx).readPointer().readCString()
                    + ", signature: " + methods.add(idx + 4).readPointer().readCString()
                    + ", fnPtr: " + fnPtr
                    + ", modulename: " + modulename + " -> base: " + modulebase;
                if (null != modulebase) {
                    logstr += ", offset: " + fnPtr.sub(modulebase);
                }
                DMLog.i(tag, logstr);
            }

        }
    });
}

完整的代码：我把这块单独整理到了github
项目用的是 frida 作者 oleavr 推荐的开发环境，按说明初始化环境，用 pycharm 打开可以看到 frida 代码补全提示，感兴趣的同学可以用用看。

效果展示：

[INFO][fridaRegstNtv]: hello, i am loaded
handle: 0xefb71cbc
register: 0xef9ba4f1
==== class: com.meituan.android.cipstorage.MMKV ====
==== methods: 0xcd52d428 nMethods: 41 ====
[INFO][fridaRegstNtv]: name: initialize, signature: ()V, fnPtr: 0xcd50b6bd, modulename: libcips.so -> base: 0xcd505000, offset: 0x66bd
[INFO][fridaRegstNtv]: name: onExit, signature: ()V, fnPtr: 0xcd50b6c7, modulename: libcips.so -> base: 0xcd505000, offset: 0x66c7
[INFO][fridaRegstNtv]: name: getMMKVWithID, signature: (Ljava/lang/String;ILjava/lang/String;)J, fnPtr: 0xcd50b6d1, modulename: libcips.so -> base: 0xcd505000, offset: 0x66d1                   
[INFO][fridaRegstNtv]: name: encodeBool, signature: (JLjava/lang/String;Z)Z, fnPtr: 0xcd50b76d, modulename: libcips.so -> base: 0xcd505000, offset: 0x676d
[INFO][fridaRegstNtv]: name: decodeBool, signature: (JLjava/lang/String;Z)Z, fnPtr: 0xcd50b7bf, modulename: libcips.so -> base: 0xcd505000, offset: 0x67bf
[INFO][fridaRegstNtv]: name: encodeInt, signature: (JLjava/lang/String;I)Z, fnPtr: 0xcd50b80f, modulename: libcips.so -> base: 0xcd505000, offset: 0x680f
[INFO][fridaRegstNtv]: name: decodeInt, signature: (JLjava/lang/String;I)I, fnPtr: 0xcd50b85b, modulename: libcips.so -> base: 0xcd505000, offset: 0x685b
[INFO][fridaRegstNtv]: name: encodeLong, signature: (JLjava/lang/String;J)Z, fnPtr: 0xcd50b8a5, modulename: libcips.so -> base: 0xcd505000, offset: 0x68a5
[INFO][fridaRegstNtv]: name: decodeLong, signature: (JLjava/lang/String;J)J, fnPtr: 0xcd50b8f7, modulename: libcips.so -> base: 0xcd505000, offset: 0x68f7
[INFO][fridaRegstNtv]: name: encodeFloat, signature: (JLjava/lang/String;F)Z, fnPtr: 0xcd50b953, modulename: libcips.so -> base: 0xcd505000, offset: 0x6953
......

Github 地址：https://github.com/deathmemory/fridaRegstNtv

XhyEax · 发表于 2020-5-20 20:05

其实还是有现成可用的脚本的。
https://github.com/lasting-yang/frida_hook_libart
这个脚本是通过函数签名定位的

楼主直接获取指针的方式也是一种思路

DeathMemory · 发表于 2020-5-20 12:32

xixicoco 发表于 2020-5-20 10:57
高手才能看得懂

可以看我 github 的工程，里面有引导说明

xixicoco · 发表于 2020-5-20 10:57

高手才能看得懂

z5487693 · 发表于 2020-5-21 09:30

yang神？

zhengjian · 发表于 2021-1-21 13:43

ReferenceError: 'getModuleByName' is not defined
at onEnter (/Hook.js:586)
什么问题呢？

zhengjian · 发表于 2021-1-21 14:01

tag:name: _updateDNSInfo, signature: (JLjava/lang/String;Ljava/lang/String;JLjava/lang/String;I)V, fnPtr: 0x8411f704, modulename: system@framework@boot.oat -> base: 0x6ff57000, offset: 0x141c870

modulename获取出来的不是SO文件名·是system@framework@boot.oat,是和虚拟机有关系吗？

DeathMemory · 发表于 2021-1-29 13:31

zhengjian 发表于 2021-1-21 14:01
tag:name: _updateDNSInfo, signature: (JLjava/lang/String;Ljava/lang/String;JLjava/lang/String;I)V, f ...

很有可能。你有没有核实过这个函数具体是在哪个module?

国窖1997 · 发表于 2021-8-15 17:44

为什么我的modulename 出现的是.oat，不应该是.so吗？
这个oat是什么呢？技术不够...

国窖1997 · 发表于 2021-8-15 21:46

国窖1997 发表于 2021-8-15 17:44
为什么我的modulename 出现的是.oat，不应该是.so吗？
这个oat是什么呢？技术不够...

我尝试把boot-org.apache.http.legacy.boot.oat 转成dex，在jadx中打开，但是没有找到startCollection 这个方法

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] Frida hook Android so RegisterNatives

点评

免费评分