-
-
[原创]非root环境下Frida完全内置apk打包方案及2种注入方式回顾
-
发表于: 2天前
-
今天简单分享之前验证的一个免ROOT权限Frida完全内置APK方案!让Frida得到更广泛的使用!
关于frida-gadget使用官方及各论坛都有许多讲解及说明,但似乎都停留在把hook脚本代码存放本地SD目录或者/data/local/tmp。
对于分析来说完全够用了,但是对于想把实现hook的整体效果直接分享出来就存在局部限制,那么能不能实现LSPatch类似效果?答案是完全没问题!
运行效果如下:
首选我们回顾下frida-gadget注入两种方式,顺便补充完善部分细节,具体如下:
1.基于so层通过添加依赖库方式调用Frida库 (实现原理参考:Android平台感染ELF文件实现模块注入)
简单来说就是找个软件启动时候最开始调用so文件,t通过对其注入添加依赖库方式启用frida-gadget
如果apk本身没有so这种方式是否可以?
也没问题,直接通过dex2c方案把部分java方法转换为so调用,再注入就好了!
比如 开源的 https://github.com/codehasan/dex2c 或者某些一键工具
为了让操作简单化,这里我把注入工具重新py写了下,为了普遍可以用特意找win7环境打包独立exe
Windows环境下so注入工具下载见:https://gitee.com/xdvsrs/so-injection-tool-exe
(论坛附件上传运行空间有限,只能借助gitee)
注入操作方式如下图:
2.基于JAVA层Smali代码调用Frida库 (System.loadLibrary("frida");)
这是比较常用的方案,通过首启activity或application在方法<init>()或<clinit>()或onCreate植入如下代码
代码如下
关于打包进apk后执行js官方文档及之前部分博主、网友是这样讲的 !
这样并不能实现脚本内置,这样还得借助ADB或者本地文件夹读取权限才能完成加载hook的js代码,分享使用存在局限性!
原理:安装后的 so 文件通常会被存储在以下路径:/data/app/<package-name>/lib/<abi>/
(本身没有so的APK就手动创建文件夹或者D2C抽取产生)
libjs.so:hook的js代码文件(案例内容)
libfrida-gadget.config.so: 调用配置内容改如下
libfrida-gadget.config.so:Frida依赖库文件(可根据需要自行去下载https://github.com/frida/frida/releases )
为了进一步方便大家参考比较,以上2种方式分别做了Demo,可自行下载对比原版改动地方!
完成以上打包,接下来就是自由发挥的时候了!hook!hook!
第三方网盘下载:https://share.feijipan.com/s/waD7AO5K
有待改善优化空间:比如做手机端或者PC端一键注入打包,做魔改,自己二次编译libfrida-gadget定制个人需求功能
补充:市场上部分应用目前都带加固或者防Frida,如何过检测等等.....就靠大家自己探索了!
文献主要参考:https://frida.re/docs/gadget/ 以及部分前辈、博主文档
const-string p0, "frida-gadget" invoke-static {p0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
const-string p0, "frida-gadget" invoke-static {p0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
if (Java.available) {
Java.perform(function () {
console.log("Hooking any Activity...");
// 动态获取所有的 Activity 类,并 Hook 其 onCreate 方法
var Activity = Java.use("android.app.Activity");
Activity.onCreate.overload("android.os.Bundle").implementation = function (bundle) {
var activityClassName = this.getClass().getName(); // 获取当前 Activity 类名
console.log(activityClassName + " onCreate hooked!");
// 调用原始的 onCreate 方法
this.onCreate(bundle);
// 获取上下文并在主线程显示 Toast,提示当前 Activity 名称
var context = Java.use('android.app.ActivityThread').currentApplication().getApplicationContext();
Java.scheduleOnMainThread(function() {
var toast = Java.use("android.widget.Toast");
var message = "Frida Hook成功! 通过java层调用 \n当前Activity: " + activityClassName;
toast.makeText(context, Java.use("java.lang.String").$new(message), 1).show();
});
};
});
} else {
console.log("Java environment not available!");
}if (Java.available) {
Java.perform(function () {
console.log("Hooking any Activity...");
// 动态获取所有的 Activity 类,并 Hook 其 onCreate 方法
var Activity = Java.use("android.app.Activity");
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
