[原创]记一次frida实战——对某视频APP的脱壳、hook破解、模拟抓包、协议分析一条龙服务-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]记一次frida实战——对某视频APP的脱壳、hook破解、模拟抓包、协议分析一条龙服务

2020-4-12 17:11 74649

[原创]记一次frida实战——对某视频APP的脱壳、hook破解、模拟抓包、协议分析一条龙服务

0x指纹

2020-4-12 17:11

74649

查看主题内容

收藏・275

点赞・83

打赏

打赏 + 10.00雪花

mb_pjstvlyw

打赏次数 1

雪花 + 10.00

mb_pjstvlyw

+10.00

2021/09/29

星巴克app里有个二维码抓出协议对接网站在网站上显示星巴克app里的二维码 (二维码的功能是付款和使用优惠券) 预算5000 能做联系我qq205697368

最新回复 (119) ◀ 1 2 3 4 5 ▶
miniboom 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 22 粉丝 18 关注私信	miniboom 2020-4-15 10:01 26 楼 0 我下载了楼主分享的APP注册后，发现点击积分没有跳出东西出来，有人遇到这个过情况么？
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-15 12:13 27 楼 0 endlif 很详细，学习到了。如果APP要防止内购破解，可以做什么操作呢？自己的一些看法更新到帖子里面了，上面那条回错人了
neocanable 雪币： 77 活跃值： (1052) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 15 关注私信	neocanable 2020-4-15 14:51 28 楼 0 歪楼：看个片儿可真耗精力啊，按照这个楼主提这些软件，我已经装到后半夜了
rookie江雪币： 766 活跃值： (650) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	rookie江 2020-4-15 17:41 29 楼 0 也是出现这个是真机，红米6，你们用什么环境搞的并且 OpenMemory的地址也变呢，不过还是找到呢上传的附件： QQ图片20200415173947.png （19.78kb，8次下载）
rushmaster 雪币： 2208 活跃值： (906) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 19 粉丝 14 关注私信	rushmaster 1 2020-4-15 20:56 30 楼 3 皮皮的皮子 dex 导出目录为: /data/data/com.cz.babySister [] error: [] description: Error: access violation a ... 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。 'use strict'; var exports = Module.enumerateExportsSync("libart.so"); for (var i = 0; i < exports.length; i++) { if (exports[i].name == "_ZN3art16ArtDexFileLoader10OpenCommonEPKhmS2_mRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS_13DexFileLoader12VerifyResultE") { var openMemory = new NativePointer(exports[i].address); } } console.log('openMemory 函数地址：' + openMemory) Interceptor.attach(openMemory, { onEnter: function (args) { //dex起始位置搞了下午才发现 args[0]才是dex的内存首地址 args[1]是大小所以肯定会提示Error: access violation accessing var begin = args[0] console.log('args[0]:' + args[0] + ' args[1]' + args[1]) //打印magic console.log("magic : " + Memory.readUtf8String(begin)) //dex fileSize 地址 var address = parseInt(begin,16) + 0x20 console.log('address: ' + address) //dex 大小 var dex_size = Memory.readInt(ptr(address)) console.log("dex_size :" + dex_size) //dump dex 到/data/data/pkg/目录下实测真机安卓9.0必须是这个目录因为app只对他自己的这个目录有写入权限 var file = new File("/data/data/com.cz.babySister/" + dex_size + ".dex", "ab+") file.write(Memory.readByteArray(begin, dex_size)) file.flush() file.close() }, onLeave: function (retval) { if (retval.toInt32() > 0) { /* do something */ } } });
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-15 22:03 31 楼 0 rushmaster 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。'use strict'; var& ... 你说的那里是frida-unpack项目里OpenMemory.js的代码，我使用时候并没有报错就没有动，没有注意到你说的情况，Interceptor.attach上面的几行代码是我改的。不太清楚Error: access violation accessing xxxxx 这种问题的出现，如果你这样能解决然后脱壳最好，给其他人一个参考..
王敬语w 雪币： 260 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	王敬语w 2020-4-15 22:26 32 楼 0 学习一下
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-15 22:40 33 楼 0 rushmaster 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。'use strict'; var& ... 目前我在这里找到一个比较合理的解释https://www.cnblogs.com/csnd/p/11800590.html，里面说到“......由于随着Android系统版本的升级，Art模式下libart.so库中OpenMemory函数的传入参数会有所不同......相应的修改frida-unpack中的frida脱壳脚本文件frida_unpack.py和OpenMemory.js中OpenMemory函数的导出系统符号......”，有空我看下源码仔细分析下，感谢你给其他相同报错的用户提供了一个解决方法最后于 2020-4-15 22:40 被0x指纹编辑，原因：
rookie江雪币： 766 活跃值： (650) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	rookie江 2020-4-16 11:22 34 楼 0 感谢@ rushmaster ok了
miniboom 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 22 粉丝 18 关注私信	miniboom 2020-4-16 13:04 36 楼 0 我脱壳成功了，但是进行hook的时候出错。代码是这样写的，也能找到这个类，是我哪里错了么？跪求楼主大大解答5555
lynxtang 雪币： 1025 活跃值： (196) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 98 粉丝 0 关注私信	lynxtang 2020-4-16 13:53 37 楼 0 必须要赞！顺便一步一步跟着帖子分析下这个APP
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-16 14:12 38 楼 0 miniboom 我脱壳成功了，但是进行hook的时候出错。代码是这样写的，也能找到这个类，是我哪里错了么？跪求楼主大大解答5555 frida 使用姿势问题吧，注入时候 APP 打开运行了吗，可以先找些 frida 使用的帖子练习下使用
flyocean 雪币： 229 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	flyocean 2020-4-16 16:05 39 楼 0 学习了.拿样本走一次试试.
mb_sncvkvia 雪币： 1934 活跃值： (427) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	mb_sncvkvia 2020-4-16 20:44 40 楼 0 楼主用心了
mb_fuxyaplq 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_fuxyaplq 2020-4-17 01:23 41 楼 0 学些了谢谢楼主
循环不计次雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	循环不计次 2020-4-17 05:06 42 楼 0 alphc 那个脱壳脚本，安卓版本不一样，对应的OpenMemory函数名会不同，你仔细看他俩有一点点细微的差别[em_78]，按照自己的版本改一下就ok，还有版主大大快来加精啊[em_87] 昨天刚看了安卓9的，我找到别的脱壳点就可以了
leovim 雪币： 35 活跃值： (365) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	leovim 2020-4-17 06:36 43 楼 0 样本可以正常使用吗，怎么注册失败
git_14812everydaysayhello 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	git_14812everydaysayhello 2020-4-17 10:53 44 楼 0 楼主，hook getjifen()函数的时候，com.cz.babySister.javabean.UserInfo类直接hook不到吧，需要动态加载？
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-17 11:07 45 楼 0 git_14812everydaysayhello 楼主，hook getjifen()函数的时候，com.cz.babySister.javabean.UserInfo类直接hook不到吧，需要动态加载？按理说打开 APP 运行登录后直接用 frida 进行 hook 是没问题的，如果不行的话可能要具体分析下啥情况了
皮皮的皮子雪币： 0 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	皮皮的皮子 2020-4-20 01:45 47 楼 0 rushmaster 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。'use strict'; var& ... 啊原来是这样！谢谢~
破解pj 雪币： 79 活跃值： (373) 能力值： ( LV11，RANK：195 ) 在线值：发帖 3 回帖 55 粉丝 3 关注私信	破解pj 1 2020-4-20 09:39 48 楼 0 8.1 libart.so 没有这个导出函数怎么整openMemory
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-20 10:11 49 楼 0 破解pj 8.1 libart.so 没有这个导出函数怎么整openMemory 8.1的话可以从OpenCommon入手，这篇帖子可以看下https://bbs.pediy.com/thread-257917.htm
苏打水雪币： 148 活跃值： (719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	苏打水 2020-4-24 15:57 50 楼 0 膜拜最后于 2020-4-24 15:57 被苏打水编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

0x指纹

发帖

204

回帖

277

RANK

关注

私信

他的文章

[原创]TTD调试与ttd-bindings逆向工程实践

[原创]对一个apk协议的继续分析—libsgmain反混淆与逆向

[原创]A64dbg尝鲜——实战某加固so CrackMe

[原创]记一次unicorn半自动化逆向——还原某东sign算法

[翻译]OWASP 安卓测试指南（v1.2 - 14 May 2020）节选

关于我们

联系我们

企业服务

看雪公众号

最新回复 (119) ◀ 1 2 3 4 5 ▶
miniboom 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 22 粉丝 18 关注私信	miniboom 2020-4-15 10:01 26 楼 0 我下载了楼主分享的APP注册后，发现点击积分没有跳出东西出来，有人遇到这个过情况么？
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-15 12:13 27 楼 0 endlif 很详细，学习到了。如果APP要防止内购破解，可以做什么操作呢？自己的一些看法更新到帖子里面了，上面那条回错人了
neocanable 雪币： 77 活跃值： (1052) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 15 关注私信	neocanable 2020-4-15 14:51 28 楼 0 歪楼：看个片儿可真耗精力啊，按照这个楼主提这些软件，我已经装到后半夜了
rookie江雪币： 766 活跃值： (650) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	rookie江 2020-4-15 17:41 29 楼 0 也是出现这个是真机，红米6，你们用什么环境搞的并且 OpenMemory的地址也变呢，不过还是找到呢上传的附件： QQ图片20200415173947.png （19.78kb，8次下载）
rushmaster 雪币： 2208 活跃值： (906) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 19 粉丝 14 关注私信	rushmaster 1 2020-4-15 20:56 30 楼 3 皮皮的皮子 dex 导出目录为: /data/data/com.cz.babySister [] error: [] description: Error: access violation a ... 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。 'use strict'; var exports = Module.enumerateExportsSync("libart.so"); for (var i = 0; i < exports.length; i++) { if (exports[i].name == "_ZN3art16ArtDexFileLoader10OpenCommonEPKhmS2_mRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS_13DexFileLoader12VerifyResultE") { var openMemory = new NativePointer(exports[i].address); } } console.log('openMemory 函数地址：' + openMemory) Interceptor.attach(openMemory, { onEnter: function (args) { //dex起始位置搞了下午才发现 args[0]才是dex的内存首地址 args[1]是大小所以肯定会提示Error: access violation accessing var begin = args[0] console.log('args[0]:' + args[0] + ' args[1]' + args[1]) //打印magic console.log("magic : " + Memory.readUtf8String(begin)) //dex fileSize 地址 var address = parseInt(begin,16) + 0x20 console.log('address: ' + address) //dex 大小 var dex_size = Memory.readInt(ptr(address)) console.log("dex_size :" + dex_size) //dump dex 到/data/data/pkg/目录下实测真机安卓9.0必须是这个目录因为app只对他自己的这个目录有写入权限 var file = new File("/data/data/com.cz.babySister/" + dex_size + ".dex", "ab+") file.write(Memory.readByteArray(begin, dex_size)) file.flush() file.close() }, onLeave: function (retval) { if (retval.toInt32() > 0) { /* do something */ } } });
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-15 22:03 31 楼 0 rushmaster 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。'use strict'; var& ... 你说的那里是frida-unpack项目里OpenMemory.js的代码，我使用时候并没有报错就没有动，没有注意到你说的情况，Interceptor.attach上面的几行代码是我改的。不太清楚Error: access violation accessing xxxxx 这种问题的出现，如果你这样能解决然后脱壳最好，给其他人一个参考..
王敬语w 雪币： 260 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 12 粉丝 0 关注私信	王敬语w 2020-4-15 22:26 32 楼 0 学习一下
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-15 22:40 33 楼 0 rushmaster 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。'use strict'; var& ... 目前我在这里找到一个比较合理的解释https://www.cnblogs.com/csnd/p/11800590.html，里面说到“......由于随着Android系统版本的升级，Art模式下libart.so库中OpenMemory函数的传入参数会有所不同......相应的修改frida-unpack中的frida脱壳脚本文件frida_unpack.py和OpenMemory.js中OpenMemory函数的导出系统符号......”，有空我看下源码仔细分析下，感谢你给其他相同报错的用户提供了一个解决方法最后于 2020-4-15 22:40 被0x指纹编辑，原因：
rookie江雪币： 766 活跃值： (650) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	rookie江 2020-4-16 11:22 34 楼 0 感谢@ rushmaster ok了
miniboom 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 22 粉丝 18 关注私信	miniboom 2020-4-16 13:04 36 楼 0 我脱壳成功了，但是进行hook的时候出错。代码是这样写的，也能找到这个类，是我哪里错了么？跪求楼主大大解答5555
lynxtang 雪币： 1025 活跃值： (196) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 98 粉丝 0 关注私信	lynxtang 2020-4-16 13:53 37 楼 0 必须要赞！顺便一步一步跟着帖子分析下这个APP
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-16 14:12 38 楼 0 miniboom 我脱壳成功了，但是进行hook的时候出错。代码是这样写的，也能找到这个类，是我哪里错了么？跪求楼主大大解答5555 frida 使用姿势问题吧，注入时候 APP 打开运行了吗，可以先找些 frida 使用的帖子练习下使用
flyocean 雪币： 229 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	flyocean 2020-4-16 16:05 39 楼 0 学习了.拿样本走一次试试.
mb_sncvkvia 雪币： 1934 活跃值： (427) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	mb_sncvkvia 2020-4-16 20:44 40 楼 0 楼主用心了
mb_fuxyaplq 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_fuxyaplq 2020-4-17 01:23 41 楼 0 学些了谢谢楼主
循环不计次雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	循环不计次 2020-4-17 05:06 42 楼 0 alphc 那个脱壳脚本，安卓版本不一样，对应的OpenMemory函数名会不同，你仔细看他俩有一点点细微的差别[em_78]，按照自己的版本改一下就ok，还有版主大大快来加精啊[em_87] 昨天刚看了安卓9的，我找到别的脱壳点就可以了
leovim 雪币： 35 活跃值： (365) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	leovim 2020-4-17 06:36 43 楼 0 样本可以正常使用吗，怎么注册失败
git_14812everydaysayhello 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	git_14812everydaysayhello 2020-4-17 10:53 44 楼 0 楼主，hook getjifen()函数的时候，com.cz.babySister.javabean.UserInfo类直接hook不到吧，需要动态加载？
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-17 11:07 45 楼 0 git_14812everydaysayhello 楼主，hook getjifen()函数的时候，com.cz.babySister.javabean.UserInfo类直接hook不到吧，需要动态加载？按理说打开 APP 运行登录后直接用 frida 进行 hook 是没问题的，如果不行的话可能要具体分析下啥情况了
皮皮的皮子雪币： 0 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	皮皮的皮子 2020-4-20 01:45 47 楼 0 rushmaster 因为帖子里贴的js脚本有问题。我也是碰到你这个问题。折腾了一下午才发现问题所在，arg[1]不是dex的内存地址，是dex的大小。。'use strict'; var& ... 啊原来是这样！谢谢~
破解pj 雪币： 79 活跃值： (373) 能力值： ( LV11，RANK：195 ) 在线值：发帖 3 回帖 55 粉丝 3 关注私信	破解pj 1 2020-4-20 09:39 48 楼 0 8.1 libart.so 没有这个导出函数怎么整openMemory
0x指纹雪币： 3509 活跃值： (17974) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 204 粉丝 543 关注私信	0x指纹 5 2020-4-20 10:11 49 楼 0 破解pj 8.1 libart.so 没有这个导出函数怎么整openMemory 8.1的话可以从OpenCommon入手，这篇帖子可以看下https://bbs.pediy.com/thread-257917.htm
苏打水雪币： 148 活跃值： (719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	苏打水 2020-4-24 15:57 50 楼 0 膜拜最后于 2020-4-24 15:57 被苏打水编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复