[求助]fridaHOOK的寄存器值与IDA调试时不同-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]fridaHOOK的寄存器值与IDA调试时不同 100雪币

发表于: 2025-3-3 15:34 784

未解决 [求助]fridaHOOK的寄存器值与IDA调试时不同 100雪币

螺丝兔

2025-3-3 15:34

784

对于SYSV所在地址进行IDA调试获取此时X4的寄存器的值时，通常是libc.so中的系统函数地址，而使用fridaHOOK时，X4的值范围在libjiagu.so中，如果可以请告诉我我的问题所在。以下是相关截图即frida脚本，我将其放在dlopen加载libjiagu.so后使用。

 function ffan_tiao_shi(){
        var module1=Process.findModuleByName("libjiagu_64.so");  
        console.log("jiagu address:"+module1.base);  
          //获取系统函数调用的顺序
          var libc = Module.findBaseAddress('libc.so');
          console.log("test");
          var exports = Module.enumerateExportsSync('libc.so');
          
        //   exports.forEach(function (exp) {
        //     console.log('Function name: ' + exp.name + ', Address: ' + exp.address);
        // });
        console.log("libc address"+libc);
          Interceptor.attach(ptr(module1.base.add(0x16CB0)),{
              onEnter: function(args) {
                var x4_value=this.context.x4;
                console.log("v4 value:"+x4_value);
                // exports.forEach(function (exp) {
                //     if(x4_value.sub(module1.base).add(libc)==exp.address)
                //     console.log('Function name: ' + exp.name + ', Address: ' + exp.address);
                // });
              }//memset:4EFE0  //X27:69
          })
 
 
    }