前言
在Android应用中进行hook时,Xposed是常用工具,因其完善的功能和强大的社区支持而备受青睐。然而,Frida作为一款轻量级的Hook框架,同样可以用于多平台hook,但也需要root环境。本文将详细介绍如何在Android上安装和使用Frida。
PC端安装Frida
首先,您需要在电脑上安装Frida,官方安装步骤如下:
pip install frida-tools # CLI tools pip install frida # Python bindings npm install frida # Node.js bindings
虽然安装步骤简单,但在实际操作中可能会遇到一些问题,下面分别介绍解决方案。
mac上的安装问题
在mac上安装Frida时,如果遇到失败并显示以下错误信息:
仔细查看安装信息,您会发现提到需要/Users/bennu/frida-12.0.3-py3.6-macosx-10.6-intel.egg文件。
这通常是由于网络问题导致文件无法下载。此时,您可以从阿里的镜像库下载相应的文件:
https://www.php.cn/link/958ffd03227c622efcc666c52489a871
将文件放置在/Users/bennu/目录下,然后重新运行:
pip install frida pip install frida-tools
即可完成安装。注意,如果无法使用frida命令,可能是frida-tools未成功安装。
windows上的安装问题
基于在mac上的经验,我们可以在windows上提前为pip设置阿里镜像。具体步骤如下:
(1): 在windows文件管理器中输入%APPDATA%
(2): 定位到一个新目录,在该目录下创建一个名为pip的文件夹,并在pip文件夹中创建一个pip.ini文件
(3): 在新建的pip.ini文件中输入以下内容:
[global] index-url = http://mirrors.aliyun.com/pypi/simple/[install] trusted-host = mirrors.aliyun.com
完成后,即可进行Frida的安装。
在安装过程中,如果使用pip install命令时报错,可以尝试使用python -m pip install xxx命令替代,例如:
python -m pip install frida-tools python -m pip install frida
安装完成后,可以使用frida --version命令检查是否成功。如果报错,可能是python版本不匹配,需卸载Frida和python,安装正确的python版本后重新安装Frida。
Android端安装Frida
在手机上,需要下载并安装Frida服务,并启动它。
首先,下载Frida服务:
https://www.php.cn/link/41f3df50f91a705c3b3adbcd96afa2cc
注意,选择与您已安装的Frida版本一致的服务,同时注意Android设备是32位还是64位,例如frida-server-12.0.3-android-arm64.xz。
安装并启动Frida服务的步骤如下:
$ adb push /Users/bennu/Downloads/frida /data/local/tmp
然后进入手机终端并启动Frida服务:
$ adb shellcd /data/local/tmp
su
ps | grep 'frida' // 查看服务是否启动
root 4743 1 52064 15456 poll_sched b5eaaa5c S ./frida-11.0.13
./frida & // 启动服务
如果需要停止Frida服务,可以使用以下命令:
# kill -s 9 4743 // 杀死服务(4743是进程id)
使用Frida进行Hook
启动Frida服务后,即可通过Frida进行hook,命令如下:
$ frida -U -l /Users/bennu/xxx.js com.xxx.xxx
其中,xxx.js是您编写的注入脚本,com.xxx.xxx是要hook的应用包名。
Frida的注入脚本使用JavaScript语言,与Xposed不同,脚本编写更加简单和轻量化。以下是一个示例脚本:
Java.perform(function () {var Activity = Java.use("android.app.Activity");
// 如果没有同名函数,hook这个函数
Activity.onResume.implementation = function () {
send("activity: "+ this + ", onResume!!!");
this.onResume();
};
// 如果有同名函数,需要用overload和所有参数类型来确定到底是哪个函数
Activity.startActivity.overload('android.content.Intent').implementation = function(intent){
send("activity: "+ this + ", startActivity!!!");
this.startActivity(intent);
};
Activity.startActivity.overload('android.content.Intent', 'android.os.Bundle').implementation = function(intent, bundle){
send("activity: "+ this + ", startActivity!!!");
this.startActivity(intent, bundle);
};
// hook构造函数
var aa = Java.use("com.tencent.mm.plugin.chatroom.d.n");
aa.$init.implementation = function (str, str1){
send("n:" + str + "," + str1);
this.$init(str, str1)
}});
在示例中,hook了Activity的onResume等方法,当hook的应用执行这些方法时会触发相应的操作。
Frida常用语法
最后,整理一些Frida常用的语法:
-
构造函数:
Java.use("classname").$init(params)或
Java.use("classname").$new(params) -
内部类:
Java.use("classname$innerclassname") -
获取class:
Java.use("classname").class -
枚举:
Java.use('java.lang.Enum').valueOf(Java.use("classname").class, "value")例如:
Java.use('java.lang.Enum').valueOf(Java.use("android.graphics.Bitmap$CompressFormat").class, "JPEG") -
类型强转:
Java.cast(obj, "className")
-
变量:
obj.name.value
注意,变量后面需加上
.value。 -
判断类型:
Java.use("classname").class.isInstance(obj)
通过以上步骤和语法,您可以轻松在Android上使用Frida进行hook操作,实现对应用的动态分析和修改。
