安装使用Frida在Android上进行hook

前言

在Android应用中进行hook时，Xposed是常用工具，因其完善的功能和强大的社区支持而备受青睐。然而，Frida作为一款轻量级的Hook框架，同样可以用于多平台hook，但也需要root环境。本文将详细介绍如何在Android上安装和使用Frida。

PC端安装Frida

首先，您需要在电脑上安装Frida，官方安装步骤如下：

pip install frida-tools # CLI tools
pip install frida       # Python bindings
npm install frida       # Node.js bindings

虽然安装步骤简单，但在实际操作中可能会遇到一些问题，下面分别介绍解决方案。

mac上的安装问题

在mac上安装Frida时，如果遇到失败并显示以下错误信息：

仔细查看安装信息，您会发现提到需要/Users/bennu/frida-12.0.3-py3.6-macosx-10.6-intel.egg文件。

这通常是由于网络问题导致文件无法下载。此时，您可以从阿里的镜像库下载相应的文件：

https://www.php.cn/link/958ffd03227c622efcc666c52489a871

将文件放置在/Users/bennu/目录下，然后重新运行：

pip install frida
pip install frida-tools

即可完成安装。注意，如果无法使用frida命令，可能是frida-tools未成功安装。

windows上的安装问题

基于在mac上的经验，我们可以在windows上提前为pip设置阿里镜像。具体步骤如下：

(1): 在windows文件管理器中输入%APPDATA%

(2): 定位到一个新目录，在该目录下创建一个名为pip的文件夹，并在pip文件夹中创建一个pip.ini文件

(3): 在新建的pip.ini文件中输入以下内容：

[global]
index-url = http://mirrors.aliyun.com/pypi/simple/
<p>[install]
trusted-host = mirrors.aliyun.com

完成后，即可进行Frida的安装。

在安装过程中，如果使用pip install命令时报错，可以尝试使用python -m pip install xxx命令替代，例如：

python -m pip install frida-tools
python -m pip install frida

安装完成后，可以使用frida --version命令检查是否成功。如果报错，可能是python版本不匹配，需卸载Frida和python，安装正确的python版本后重新安装Frida。

Android端安装Frida

在手机上，需要下载并安装Frida服务，并启动它。

首先，下载Frida服务：

https://www.php.cn/link/41f3df50f91a705c3b3adbcd96afa2cc

注意，选择与您已安装的Frida版本一致的服务，同时注意Android设备是32位还是64位，例如frida-server-12.0.3-android-arm64.xz。

Magic AI Avatars

神奇的AI头像，获得200多个由AI制作的自定义头像。

下载

安装并启动Frida服务的步骤如下：

$ adb push /Users/bennu/Downloads/frida /data/local/tmp

然后进入手机终端并启动Frida服务：

$ adb shell</p><h1>cd /data/local/tmp</h1><h1>su</h1><h1>ps | grep 'frida'   // 查看服务是否启动</h1><p>root 4743 1 52064 15456 poll_sched b5eaaa5c S ./frida-11.0.13</p><h1>./frida &   // 启动服务

如果需要停止Frida服务，可以使用以下命令：

# kill -s 9 4743  // 杀死服务(4743是进程id)

使用Frida进行Hook

启动Frida服务后，即可通过Frida进行hook，命令如下：

$ frida -U -l /Users/bennu/xxx.js com.xxx.xxx

其中，xxx.js是您编写的注入脚本，com.xxx.xxx是要hook的应用包名。

Frida的注入脚本使用JavaScript语言，与Xposed不同，脚本编写更加简单和轻量化。以下是一个示例脚本：

Java.perform(function () {</h1><pre class="brush:php;toolbar:false;"><code>var Activity = Java.use("android.app.Activity");
// 如果没有同名函数，hook这个函数
Activity.onResume.implementation = function () {
    send("activity: "+ this + ", onResume!!!");
    this.onResume();
};
// 如果有同名函数，需要用overload和所有参数类型来确定到底是哪个函数
Activity.startActivity.overload('android.content.Intent').implementation = function(intent){
    send("activity: "+ this + ", startActivity!!!");
    this.startActivity(intent);
};
Activity.startActivity.overload('android.content.Intent', 'android.os.Bundle').implementation = function(intent, bundle){
    send("activity: "+ this + ", startActivity!!!");
    this.startActivity(intent, bundle);
};
// hook构造函数
var aa = Java.use("com.tencent.mm.plugin.chatroom.d.n");
aa.$init.implementation = function (str, str1){
    send("n:" + str + "," + str1);
    this.$init(str, str1)
}

});

在示例中，hook了Activity的onResume等方法，当hook的应用执行这些方法时会触发相应的操作。

Frida常用语法

最后，整理一些Frida常用的语法：

• 构造函数：

  Java.use("classname").$init(params)

  或

  Java.use("classname").$new(params)

• 内部类：

  Java.use("classname$innerclassname")

• 获取class：

  Java.use("classname").class

• 枚举：

  Java.use('java.lang.Enum').valueOf(Java.use("classname").class, "value")

  例如：

  Java.use('java.lang.Enum').valueOf(Java.use("android.graphics.Bitmap$CompressFormat").class, "JPEG")

• 类型强转：

  Java.cast(obj, "className")

• 变量：

  obj.name.value

  注意，变量后面需加上.value。

• 判断类型：

  Java.use("classname").class.isInstance(obj)

通过以上步骤和语法，您可以轻松在Android上使用Frida进行hook操作，实现对应用的动态分析和修改。