[原创]Frida-Android-unpack-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Frida-Android-unpack

发表于: 2019-6-3 17:17 12641

[原创]Frida-Android-unpack

xiaokangpwn 活跃值

2019-6-3 17:17

12641

this script for Android O and Android P.After Android 7.X,we cann't get OpenMemory function in libart.so,so the old script failed.we find the OpenCommon function to replace it.we can get dex file from this func,its parameters contain the memory address and size of dex.

u need a root mobile and installed Frida
ro.debuggable = true

frida -U -f com.xxx.xxx.xxx -l dupDex.js --no-pause

Tencent
360
others

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・32

免费・2

支持

最新回复 (32) 1 2 ▶
MsScotch 雪币： 3181 活跃值： (1801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 2 楼 How about the emulator devices ? 最后于 2019-6-3 19:22 被MsScotch编辑，原因： 2019-6-3 19:21 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 3 楼 MsScotch How about the emulator devices ? most of the time, I use mobile instead of an emulator, so future it will support that,if u can improve this script to support that, thank you for your contribution 2019-6-3 19:44 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 4 楼 MsScotch How about the emulator devices ? hi, bro, I find the same function in emulator, but I wasn't test it, if u have emulator, u can have a try and tell me the result 2019-6-3 21:47 0
zckuna 雪币： 1973 活跃值： (779) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 63 粉丝 9 关注私信	zckuna 5 楼为什么id是中文拼音要用英语对话 2019-6-4 20:17 0
Yougar 雪币： 1449 活跃值： (128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	Yougar 6 楼 thx, bro. It' nice for me. 2019-6-5 19:43 0
MsScotch 雪币： 3181 活跃值： (1801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 7 楼 nice to hear that, checking in progress. 2019-6-6 09:34 0
xxooxxyc 雪币： 5 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 19 粉丝 1 关注私信	xxooxxyc 8 楼我还以为你娃不会说国语 2019-6-6 10:03 0
战马雪币： 10017 活跃值： (3457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 3 关注私信	战马 9 楼爱加密免费版可以脱吗 2019-6-7 02:34 0
傲世雄哥雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	傲世雄哥 10 楼能把教程发清楚不。发了这个。又那个。最后啥也没说清楚 2019-6-7 09:42 0
傲世雄哥雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	傲世雄哥 11 楼 js 文件需要移动到 data/data/local chmod 777？ 2019-6-7 09:47 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 12 楼 Yougar thx, bro. It' nice for me. 2019-6-9 09:23 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 13 楼 MsScotch nice to hear that, checking in progress. star，thanks 2019-6-9 09:24 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 14 楼战马爱加密免费版可以脱吗应该是可以的你可以试试有问题反馈 2019-6-9 09:24 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 15 楼傲世雄哥 js 文件需要移动到 data/data/local chmod 777？不需要呢 JS 文件放在本地就好了关于Frida 您可以通过https://www.frida.re/docs/android/这个了解 2019-6-9 09:25 0
zckuna 雪币： 1973 活跃值： (779) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 63 粉丝 9 关注私信	zckuna 16 楼实测Android 9不行 2019-6-9 22:06 0
sogohere 雪币： 124 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 1 关注私信	sogohere 17 楼 Oncreate can be restored ? Oncreate代码可以还原吗？ 2019-6-10 13:49 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 18 楼 zckuna 实测Android 9不行亲请把问题提交上来 2019-6-10 14:51 0
guoqiangck 雪币： 963 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 4 关注私信	guoqiangck 19 楼实测Android7.1.2不行，git 下来的代码，啥也没改 2019-6-11 10:08 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 20 楼 guoqiangck 实测Android7.1.2不行，git 下来的代码，啥也没改兄dei啊，你看看说明的撒，适用于Android 8.0以上，那么大的字提醒你函数不存在，Android 7.X 去HOOK OpenMemory 2019-6-11 10:36 0
guoqiangck 雪币： 963 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 4 关注私信	guoqiangck 21 楼 xiaokangpwn 兄dei啊，你看看说明的撒，适用于Android 8.0以上，那么大的字提醒你函数不存在，Android 7.X 去HOOK OpenMemory 请教下OpenMemory的导出符是什么，我用readelf看好像只显示了一部分，这个我枚举下导出符看看吧还有我看代码Android O 和Android P都用的Android O的导出符，是没写判断还是通用呢 2019-6-11 10:56 0
xianhuimin 雪币： 6789 活跃值： (3003) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 79 粉丝 2 关注私信	xianhuimin 22 楼类抽取的加固不行吧~ 2019-6-11 11:26 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 23 楼 xianhuimin 类抽取的加固不行吧~ 是的无法准确还原 2019-6-11 14:21 0
guoqiangck 雪币： 963 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 4 关注私信	guoqiangck 24 楼为啥hook c++函数去第一个参数是args[1]而不是args[0]呢，我hook c都是args[0]为第一个参数的，楼主能帮忙解答下吗我看这个脱壳也是args[1]为弟弟一个参数 https://github.com/dstmath/frida-unpack 2019-6-11 14:51 0
smartdon 雪币： 3549 活跃值： (941) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 108 粉丝 34 关注私信	smartdon 1 25 楼 guoqiangck 为啥hook c++函数去第一个参数是args[1]而不是args[0]呢，我hook c都是args[0]为第一个参数的，楼主能帮忙解答下吗我看这个脱壳也是args[1]为弟弟一个参数 http ... 第一个参数好像是this指针 2019-6-13 16:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xiaokangpwn

发帖

回帖

RANK

关注

私信

他的文章

[原创]Lineage OS 17.1 for Mi8 编译指南 13996
[调查]Frida 常用 API 3284
[原创]Awesome-Frida-UI(Frida工具Web界面版--更新) 15940
[原创]Frida-Android-unpack 12642

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
MsScotch 雪币： 3181 活跃值： (1801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 2 楼 How about the emulator devices ? 最后于 2019-6-3 19:22 被MsScotch编辑，原因： 2019-6-3 19:21 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 3 楼 MsScotch How about the emulator devices ? most of the time, I use mobile instead of an emulator, so future it will support that,if u can improve this script to support that, thank you for your contribution 2019-6-3 19:44 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 4 楼 MsScotch How about the emulator devices ? hi, bro, I find the same function in emulator, but I wasn't test it, if u have emulator, u can have a try and tell me the result 2019-6-3 21:47 0
zckuna 雪币： 1973 活跃值： (779) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 63 粉丝 9 关注私信	zckuna 5 楼为什么id是中文拼音要用英语对话 2019-6-4 20:17 0
Yougar 雪币： 1449 活跃值： (128) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	Yougar 6 楼 thx, bro. It' nice for me. 2019-6-5 19:43 0
MsScotch 雪币： 3181 活跃值： (1801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 7 楼 nice to hear that, checking in progress. 2019-6-6 09:34 0
xxooxxyc 雪币： 5 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 19 粉丝 1 关注私信	xxooxxyc 8 楼我还以为你娃不会说国语 2019-6-6 10:03 0
战马雪币： 10017 活跃值： (3457) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 3 关注私信	战马 9 楼爱加密免费版可以脱吗 2019-6-7 02:34 0
傲世雄哥雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	傲世雄哥 10 楼能把教程发清楚不。发了这个。又那个。最后啥也没说清楚 2019-6-7 09:42 0
傲世雄哥雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	傲世雄哥 11 楼 js 文件需要移动到 data/data/local chmod 777？ 2019-6-7 09:47 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 12 楼 Yougar thx, bro. It' nice for me. 2019-6-9 09:23 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 13 楼 MsScotch nice to hear that, checking in progress. star，thanks 2019-6-9 09:24 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 14 楼战马爱加密免费版可以脱吗应该是可以的你可以试试有问题反馈 2019-6-9 09:24 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 15 楼傲世雄哥 js 文件需要移动到 data/data/local chmod 777？不需要呢 JS 文件放在本地就好了关于Frida 您可以通过https://www.frida.re/docs/android/这个了解 2019-6-9 09:25 0
zckuna 雪币： 1973 活跃值： (779) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 63 粉丝 9 关注私信	zckuna 16 楼实测Android 9不行 2019-6-9 22:06 0
sogohere 雪币： 124 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 1 关注私信	sogohere 17 楼 Oncreate can be restored ? Oncreate代码可以还原吗？ 2019-6-10 13:49 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 18 楼 zckuna 实测Android 9不行亲请把问题提交上来 2019-6-10 14:51 0
guoqiangck 雪币： 963 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 4 关注私信	guoqiangck 19 楼实测Android7.1.2不行，git 下来的代码，啥也没改 2019-6-11 10:08 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 20 楼 guoqiangck 实测Android7.1.2不行，git 下来的代码，啥也没改兄dei啊，你看看说明的撒，适用于Android 8.0以上，那么大的字提醒你函数不存在，Android 7.X 去HOOK OpenMemory 2019-6-11 10:36 0
guoqiangck 雪币： 963 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 4 关注私信	guoqiangck 21 楼 xiaokangpwn 兄dei啊，你看看说明的撒，适用于Android 8.0以上，那么大的字提醒你函数不存在，Android 7.X 去HOOK OpenMemory 请教下OpenMemory的导出符是什么，我用readelf看好像只显示了一部分，这个我枚举下导出符看看吧还有我看代码Android O 和Android P都用的Android O的导出符，是没写判断还是通用呢 2019-6-11 10:56 0
xianhuimin 雪币： 6789 活跃值： (3003) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 79 粉丝 2 关注私信	xianhuimin 22 楼类抽取的加固不行吧~ 2019-6-11 11:26 0
xiaokangpwn 雪币： 4831 活跃值： (479) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 9 关注私信	xiaokangpwn 23 楼 xianhuimin 类抽取的加固不行吧~ 是的无法准确还原 2019-6-11 14:21 0
guoqiangck 雪币： 963 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 57 粉丝 4 关注私信	guoqiangck 24 楼为啥hook c++函数去第一个参数是args[1]而不是args[0]呢，我hook c都是args[0]为第一个参数的，楼主能帮忙解答下吗我看这个脱壳也是args[1]为弟弟一个参数 https://github.com/dstmath/frida-unpack 2019-6-11 14:51 0
smartdon 雪币： 3549 活跃值： (941) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 108 粉丝 34 关注私信	smartdon 1 25 楼 guoqiangck 为啥hook c++函数去第一个参数是args[1]而不是args[0]呢，我hook c都是args[0]为第一个参数的，楼主能帮忙解答下吗我看这个脱壳也是args[1]为弟弟一个参数 http ... 第一个参数好像是this指针 2019-6-13 16:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复