[原创]My J2C Killer-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]My J2C Killer

发表于: 2019-9-4 10:33 8965

[原创]My J2C Killer

skyun

2019-9-4 10:33

8965

标题起的比较大，但是加了一个my。加了my不是我完全是我自己写的意思。只是自己用的感觉不错、

代码借鉴了繁华大佬的 jni hook，CydiaSubstrate hook框架等等

不知道适不适用其他手机比如art手机 artmethod

跑过好多ollvm混淆的项目，aes加密，rsa加密的项目。能直接拿到解密算法。

发出这个项目的原因是前几天看到一个jnitrace 项目，使用了一下，不知道是我不会用还是怎么回事，发现只能监控没有加密的第三方so

代码功能：

1打印所有jni函数比如FindClass 的参数类名和返回地址。

比如CallObjectMethod 的method->clazz->descriptor method->name method->shorty) + 1 和各个参数

2 监控指定 so（不指定会监控所有so）

3打印指定jni函数的调用堆栈

4完全自定义拦截某个函数改变参数改变返回值，一键式调试运行

5 其他小功能 hook_sokect send_recv_fopen hook_device

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-9-4 10:35 被skyun编辑，原因：

收藏・30

免费・10

支持

最新回复 (31) 1 2 ▶
fzyspark 雪币： 263 活跃值： (429) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 24 粉丝 2 关注私信	fzyspark 2 楼 tql，赞一个 2019-9-4 10:42 0
香风一族雪币： 92 活跃值： (503) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 1 关注私信	香风一族 3 楼不错 2019-9-4 10:46 0
mb_hgcstvsu 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_hgcstvsu 4 楼厉害了我的哥！ 2019-9-4 10:54 0
Ddddz 雪币： 58 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 2 关注私信	Ddddz 5 楼 tql 2019-9-4 11:32 0
yikuaiyingbi 雪币： 1014 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	yikuaiyingbi 6 楼太强了。膜 2019-9-4 11:39 0
A安静雪币： 409 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	A安静 7 楼 6666 老大 2019-9-4 12:07 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 8 楼不错 2019-9-4 12:17 0
CCkicker 雪币： 6112 活跃值： (1212) 能力值： (RANK：30 ) 在线值：发帖 218 回帖 816 粉丝 57 关注私信	CCkicker 9 楼 tql 2019-9-4 12:21 0
miyuecao 雪币： 574 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 156 粉丝 1 关注私信	miyuecao 10 楼厉害厉害 2019-9-4 12:23 0
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 11 楼 6666666666 2019-9-4 12:53 0
飞飞fei 雪币： 3897 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞飞fei 12 楼 666 2019-9-4 13:06 0
xmhwws 雪币： 6266 活跃值： (1276) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 115 粉丝 6 关注私信	xmhwws 13 楼 ...... 最后于 2019-9-22 14:34 被xmhwws编辑，原因： 2019-9-4 13:38 0
香风一族雪币： 92 活跃值： (503) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 1 关注私信	香风一族 14 楼编译报错了 2019-9-4 16:03 0
YoHooo 雪币： 3566 活跃值： (745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	YoHooo 15 楼 Build command failed. Error while executing process /Users/Library/Android/sdk/cmake/3.6.4111459/bin/cmake with arguments {--build /Users/Desktop/as_ws/TestFramenthook/app/.externalNativeBuild/cmake/debug/arm64-v8a --target sohook} [1/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/native-lib.cpp.o [2/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o [3/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/Thumb.cpp.o [4/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/util.cpp.o [5/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/x86.cpp.o [6/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/x86_64.cpp.o FAILED: /Users/Library/android-ndk-r16b_Original/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang++ --target=aarch64-none-linux-android --gcc-toolchain=/Users/Library/android-ndk-r16b_Original/toolchains/aarch64-linux-android-4.9/prebuilt/darwin-x86_64 --sysroot=/Users/Library/android-ndk-r16b_Original/sysroot -Dsohook_EXPORTS -isystem /Users/Library/android-ndk-r16b_Original/sources/cxx-stl/gnu-libstdc++/4.9/include -isystem /Users/Library/android-ndk-r16b_Original/sources/cxx-stl/gnu-libstdc++/4.9/libs/arm64-v8a/include -isystem /Users/Library/android-ndk-r16b_Original/sources/cxx-stl/gnu-libstdc++/4.9/include/backward -isystem /Users/Library/android-ndk-r16b_Original/sysroot/usr/include/aarch64-linux-android -D__ANDROID_API__=21 -g -DANDROID -ffunction-sections -funwind-tables -fstack-protector-strong -no-canonical-prefixes -Wa,--noexecstack -Wformat -Werror=format-security -std=c++11 -O0 -fno-limit-debug-info -fPIC -MD -MT CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o -MF CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o.d -o CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o -c /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.cpp /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.cpp:92:31: warning: taking the absolute value of unsigned type 'unsigned long' has no effect [-Wabsolute-value] buffer[start+0] = A$ldr_rd_$rn_im$(copy.rn, A$pc, (end-1 - (start+0)) * 4 - 8); ^ /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.h:58:76: note: expanded from macro 'A$ldr_rd_$rn_im$' (0xe5100000 \| ((im) < 0 ? 0 : 1 << 23) \| ((rn) << 16) \| ((rd) << 12) \| abs(im)) ^ /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.cpp:92:31: note: remove the call to 'abs' since unsigned values cannot be negative /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.h:58:76: note: expanded from macro 'A$ldr_rd_$rn_im$' (0xe5100000 \| ((im) < 0 ? 0 : 1 << 23) \| ((rn) << 16) \| ((rd) << 12) \| abs(im)) ... ... 如何解决错误呢。最后于 2019-9-4 18:04 被YoHooo编辑，原因： 2019-9-4 18:03 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 246 关注私信	krash 4 16 楼看了最后一个函数,发现三个问题 1.第18行,(jvalue ) alloca(argc - 1 sizeof(jvalue)); 这里是不是应该是(jvalue ) alloca((argc - 1) sizeof(jvalue)); 2.第48行,argarray[i].f = (float) va_arg(args, double); 应该是(float) va_arg(args, float); 3.第14, 55行, 函数返回了栈上变量. 2019-9-4 19:56 0
一首凉凉送给雪币： 62 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	一首凉凉送给 17 楼解决了最后于 2019-9-4 23:10 被一首凉凉送给编辑，原因： 2019-9-4 20:35 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 18 楼明明是hook，为何叫killler？ 2019-9-5 09:58 0
陈某人雪币： 548 活跃值： (3009) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	陈某人 19 楼编译出错。。。 2019-9-5 10:13 0
capser 雪币： 212 活跃值： (405) 能力值： ( LV3，RANK：38 ) 在线值：发帖 3 回帖 15 粉丝 2 关注私信	capser 20 楼作为一个技术，读代码知道了你去年六月份在某某微商，写下了v1.0的版本……我的关注点不太对啊，为啥读到的是广告怎么过的ollvm得到的libwechatnonmsg.so这个文件？ 2019-9-5 10:53 0
gtict 雪币： 252 活跃值： (3213) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 509 粉丝 6 关注私信	gtict 21 楼 MAKE_ARG_ARRAY 这函数在什么地方用 2019-9-5 11:32 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 22 楼 YoHooo Build command failed.Error while executing process& ... 你的一看就是ndk版本不对。多下载几个版本试试哪个可以 2019-9-5 15:09 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 23 楼 gtict MAKE_ARG_ARRAY 这函数在什么地方用代码力就有他啊 2019-9-5 15:10 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 24 楼 capser 作为一个技术，读代码知道了你去年六月份在某某微商，写下了v1.0的版本……我的关注点不太对啊，为啥读到的是广告[em_85] 怎么过的ollvm得到的libwechatnonmsg.so这个文件？看的很仔细嘛。我以为我把没用信息都删完了。 2019-9-5 15:11 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 25 楼陈某人编译出错。。。 ndk版本不对 2019-9-5 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

skyun

发帖

144

回帖

160

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
fzyspark 雪币： 263 活跃值： (429) 能力值： ( LV4，RANK：40 ) 在线值：发帖 2 回帖 24 粉丝 2 关注私信	fzyspark 2 楼 tql，赞一个 2019-9-4 10:42 0
香风一族雪币： 92 活跃值： (503) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 1 关注私信	香风一族 3 楼不错 2019-9-4 10:46 0
mb_hgcstvsu 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_hgcstvsu 4 楼厉害了我的哥！ 2019-9-4 10:54 0
Ddddz 雪币： 58 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 2 关注私信	Ddddz 5 楼 tql 2019-9-4 11:32 0
yikuaiyingbi 雪币： 1014 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 1 关注私信	yikuaiyingbi 6 楼太强了。膜 2019-9-4 11:39 0
A安静雪币： 409 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	A安静 7 楼 6666 老大 2019-9-4 12:07 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 8 楼不错 2019-9-4 12:17 0
CCkicker 雪币： 6112 活跃值： (1212) 能力值： (RANK：30 ) 在线值：发帖 218 回帖 816 粉丝 57 关注私信	CCkicker 9 楼 tql 2019-9-4 12:21 0
miyuecao 雪币： 574 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 156 粉丝 1 关注私信	miyuecao 10 楼厉害厉害 2019-9-4 12:23 0
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 11 楼 6666666666 2019-9-4 12:53 0
飞飞fei 雪币： 3897 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞飞fei 12 楼 666 2019-9-4 13:06 0
xmhwws 雪币： 6266 活跃值： (1276) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 115 粉丝 6 关注私信	xmhwws 13 楼 ...... 最后于 2019-9-22 14:34 被xmhwws编辑，原因： 2019-9-4 13:38 0
香风一族雪币： 92 活跃值： (503) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 23 粉丝 1 关注私信	香风一族 14 楼编译报错了 2019-9-4 16:03 0
YoHooo 雪币： 3566 活跃值： (745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	YoHooo 15 楼 Build command failed. Error while executing process /Users/Library/Android/sdk/cmake/3.6.4111459/bin/cmake with arguments {--build /Users/Desktop/as_ws/TestFramenthook/app/.externalNativeBuild/cmake/debug/arm64-v8a --target sohook} [1/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/native-lib.cpp.o [2/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o [3/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/Thumb.cpp.o [4/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/util.cpp.o [5/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/x86.cpp.o [6/7] Building CXX object CMakeFiles/sohook.dir/src/main/cpp/MSHook/x86_64.cpp.o FAILED: /Users/Library/android-ndk-r16b_Original/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang++ --target=aarch64-none-linux-android --gcc-toolchain=/Users/Library/android-ndk-r16b_Original/toolchains/aarch64-linux-android-4.9/prebuilt/darwin-x86_64 --sysroot=/Users/Library/android-ndk-r16b_Original/sysroot -Dsohook_EXPORTS -isystem /Users/Library/android-ndk-r16b_Original/sources/cxx-stl/gnu-libstdc++/4.9/include -isystem /Users/Library/android-ndk-r16b_Original/sources/cxx-stl/gnu-libstdc++/4.9/libs/arm64-v8a/include -isystem /Users/Library/android-ndk-r16b_Original/sources/cxx-stl/gnu-libstdc++/4.9/include/backward -isystem /Users/Library/android-ndk-r16b_Original/sysroot/usr/include/aarch64-linux-android -D__ANDROID_API__=21 -g -DANDROID -ffunction-sections -funwind-tables -fstack-protector-strong -no-canonical-prefixes -Wa,--noexecstack -Wformat -Werror=format-security -std=c++11 -O0 -fno-limit-debug-info -fPIC -MD -MT CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o -MF CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o.d -o CMakeFiles/sohook.dir/src/main/cpp/MSHook/ARM.cpp.o -c /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.cpp /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.cpp:92:31: warning: taking the absolute value of unsigned type 'unsigned long' has no effect [-Wabsolute-value] buffer[start+0] = A$ldr_rd_$rn_im$(copy.rn, A$pc, (end-1 - (start+0)) * 4 - 8); ^ /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.h:58:76: note: expanded from macro 'A$ldr_rd_$rn_im$' (0xe5100000 \| ((im) < 0 ? 0 : 1 << 23) \| ((rn) << 16) \| ((rd) << 12) \| abs(im)) ^ /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.cpp:92:31: note: remove the call to 'abs' since unsigned values cannot be negative /Users/Desktop/as_ws/TestFramenthook/app/src/main/cpp/MSHook/ARM.h:58:76: note: expanded from macro 'A$ldr_rd_$rn_im$' (0xe5100000 \| ((im) < 0 ? 0 : 1 << 23) \| ((rn) << 16) \| ((rd) << 12) \| abs(im)) ... ... 如何解决错误呢。最后于 2019-9-4 18:04 被YoHooo编辑，原因： 2019-9-4 18:03 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 246 关注私信	krash 4 16 楼看了最后一个函数,发现三个问题 1.第18行,(jvalue ) alloca(argc - 1 sizeof(jvalue)); 这里是不是应该是(jvalue ) alloca((argc - 1) sizeof(jvalue)); 2.第48行,argarray[i].f = (float) va_arg(args, double); 应该是(float) va_arg(args, float); 3.第14, 55行, 函数返回了栈上变量. 2019-9-4 19:56 0
一首凉凉送给雪币： 62 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	一首凉凉送给 17 楼解决了最后于 2019-9-4 23:10 被一首凉凉送给编辑，原因： 2019-9-4 20:35 0
tDasm 雪币： 14824 活跃值： (6063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 18 楼明明是hook，为何叫killler？ 2019-9-5 09:58 0
陈某人雪币： 548 活跃值： (3009) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	陈某人 19 楼编译出错。。。 2019-9-5 10:13 0
capser 雪币： 212 活跃值： (405) 能力值： ( LV3，RANK：38 ) 在线值：发帖 3 回帖 15 粉丝 2 关注私信	capser 20 楼作为一个技术，读代码知道了你去年六月份在某某微商，写下了v1.0的版本……我的关注点不太对啊，为啥读到的是广告怎么过的ollvm得到的libwechatnonmsg.so这个文件？ 2019-9-5 10:53 0
gtict 雪币： 252 活跃值： (3213) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 509 粉丝 6 关注私信	gtict 21 楼 MAKE_ARG_ARRAY 这函数在什么地方用 2019-9-5 11:32 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 22 楼 YoHooo Build command failed.Error while executing process& ... 你的一看就是ndk版本不对。多下载几个版本试试哪个可以 2019-9-5 15:09 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 23 楼 gtict MAKE_ARG_ARRAY 这函数在什么地方用代码力就有他啊 2019-9-5 15:10 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 24 楼 capser 作为一个技术，读代码知道了你去年六月份在某某微商，写下了v1.0的版本……我的关注点不太对啊，为啥读到的是广告[em_85] 怎么过的ollvm得到的libwechatnonmsg.so这个文件？看的很仔细嘛。我以为我把没用信息都删完了。 2019-9-5 15:11 0
skyun 雪币： 729 活跃值： (1306) 能力值： ( LV9，RANK：160 ) 在线值：发帖 13 回帖 144 粉丝 30 关注私信	skyun 3 25 楼陈某人编译出错。。。 ndk版本不对 2019-9-5 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复