il2cpp api偏移查找-Android安全-看雪-安全社区|安全招聘|kanxue.com

il2cpp api偏移查找

发表于: 2024-7-31 17:39 2324

il2cpp api偏移查找

灯-等灯等灯~

2024-7-31 17:39

2324

打开 libunity.so 搜索字符串：Could not load symbol %s : %s
图片描述

查找引用，进入任意一处
图片描述

F5显示伪代码：
图片描述

frida hook代码：

/*
用法：
frida -U -l hook_dlopen.js -f packageName --no-pause
 
*/
 
 
var soName = "libunity.so"
 
 
function myfun()
{
    var moduleBaseAddress = Module.getBaseAddress(soName);
    console.log(soName + "_address:", moduleBaseAddress);
    var nativePointer = moduleBaseAddress.add(0x6139C0);//加上偏移地址
    Interceptor.attach(nativePointer,
    {
        onEnter: function (args)
        {
            console.log("\n"); 
            console.log("==参数0：" + this.context.x0); 
            console.log("==参数1：" + this.context.x1.readCString())    
            console.log("==参数2：" + this.context.x2)    
        },
        onLeave: function (retval)
        {
            console.log("retval",retval,retval.sub(Module.getBaseAddress("libil2cpp.so"))); 
        }
    }
    );
}
 
 
function hook_dlopen()
{
    var is_can_hook = false;
    Interceptor.attach(Module.findExportByName(null, "dlopen"),
    {
        onEnter: function (args)
        {
            var pathptr = args[0];
            if (pathptr !== undefined && pathptr != null)
            {
                var path = ptr(pathptr).readCString();
                if (path.indexOf(soName) >= 0)
                {
                    this.is_can_hook = true;
                    console.log("\n"+soName+"_path:", path);
 
                }
            }
        },
        onLeave: function (retval)
        {
            if (this.is_can_hook)
            {
                myfun();
                console.log("dlopen finish...");
            }
        }
    }
    );
 
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
    {
        onEnter: function (args)
        {
            var pathptr = args[0];
            if (pathptr !== undefined && pathptr != null)
            {
                var path = ptr(pathptr).readCString();
                if (path.indexOf(soName) >= 0)
                {
                    this.is_can_hook = true;
                    console.log("\n"+soName+"_path:", path);
                }
            }
        },
        onLeave: function (retval)
        {
            if (this.is_can_hook)
            {
                myfun();
                console.log("android_dlopen_ext  finish...");
            }
        }
    }
    );
}
 
setImmediate(hook_dlopen);

输出：
图片描述

总结：

多找找特征，找旧版本对比

欢迎加入QQ群：812701781，542863693，欢迎分享一些骚操作（备注看的什么文章）

微信公众号：MoneyHoneyCome

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#逆向分析 #HOOK注入 #工具脚本

收藏・4

免费・1

支持

最新回复 (2)
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 2 楼先发6，再看 2024-7-31 18:05 0
e有理雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	e有理 3 楼 666 5天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

灯-等灯等灯~

发帖

回帖

RANK

关注

私信

他的文章

[分享]frida主动调用init_array中的函数 1583
il2cpp api偏移查找 2325
[原创]一次svc简单绕过 3825
[分享]global-metadata.dat,libil2cpp.so解密修复 13955
[原创]PE文件格式 2753

关于我们

联系我们

企业服务

看雪公众号

最新回复 (2)
New对象处雪币： 129 活跃值： (4485) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 2 楼先发6，再看 2024-7-31 18:05 0
e有理雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	e有理 3 楼 666 5天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复