當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

frida框架

發布時間：2025/3/21 编程问答 32 豆豆

生活随笔收集整理的這篇文章主要介紹了 frida框架小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

文章目錄

- 簡介
- 環境搭建
- - 注意點1：
  - 注意點2：
  - - 錯誤寫法：
    - 正確寫法：
- 疑問點
- 脫殼已解決
- - 沒有SDK環境的報錯
- 工具
- Python綁定
- 使用
- 個人誤區
- python綁定解決

簡介

Frida是一款基于python + javascript 的hook框架，適用于android/ios/linux/win/osx等平臺。Frida的動態代碼執行功能，主要是在它的核心引擎Gum中用C語言來實現的。

注入模式：大部分情況下，我們都是附加到一個已經運行到進程，或者是在程序啟動到時候進行劫持，然后再在目標進程中運行我們的代碼邏輯。這種方式是Frida最常用的使用方式。注入模式的大致實現思路是這樣的，帶有GumJS的Frida核心引擎被打包成一個動態連接庫，然后把這個動態連接庫注入到目標進程中，同時提供了一個雙向通信通道，這樣控制端就可以和注入的模塊進行通信了，在不需要的時候，還可以在目標進程中把這個注入的模塊給卸載掉。

嵌入模式：針對沒root過的設備Frida提供了一個動態連接庫組件 frida-gadget，可以把這個動態庫集成到程序里面來使用Frida的動態執行功能。一旦集成了gadget，就可以和程序使用Frida進行交互。

預加載模式：自動加載Js文件。

環境搭建

下載FRIDA
直接安裝frida和frida-tools的最新版本

pip install frida pip install frida-tools緊接著查看自己frida版本： frida --version然后查看自己的目標機架構版本，但有些可能不能顯示出目標機架構版本，所以我直接到客戶端：

模擬器版本: 7.0.1.0005-7.1.2700210226
系統版本: Windows10-64bit-8cpu
電腦型號: ASUSTeK COMPUTER INC.-TUF Gaming FX505DT_FX95DT
CPU: AMD Ryzen 7 3750H with Radeon Vega Mobile Gfx
總內存: 15809MB
可用內存: 8615MB
是否開啟VT: 開啟
渲染模式: OpenGL+
OpenGL版本: 4.6.0 NVIDIA 431.87
OpenGL渲染: GeForce GTX 1650/PCIe/SSE2
是否獨顯: 開啟
顯卡1: NVIDIA GeForce GTX 1650
顯卡2: AMD Radeon? RX Vega 10 Graphics
防火墻: 開啟(推薦關閉)
安裝路徑: D:\夜神模擬器\Nox\bin
日志文件路徑: C:\Users\ASUS\AppData\Local\Nox
模擬器磁盤大小: 總共 64G, 剩余 61G

64位程序執行不起來，所以的話frida-server下載32位

下載frida-server
去github上下載frida-server，網址為 https://github.com/frida/frida/releases，frida-server 是一個守護進程，通過TCP和Frida核心引擎通信，默認的監聽端口是27042

adb devices

解壓后，使用adb將frida-server放到手機目錄/data/local/tmp，然后修改屬性為可執行

adb push G:\buuctf\frida-server-14.2.2-android-x86\fs data/local/tmp/frida-server_test

注意點1：

使用push指令，這里注意點，如果是新安裝的夜神模擬器，那么會遇到這個報錯：

adb: error: failed to copy 'G:\buuctf\frida-server-14.2.14-android-x86_64\fs_Rui' to 'data\local\tmp\fs_Rui': couldn't create file: Read-only file system

文件系統僅僅可讀。

在夜神模擬器中查看/proc/mounts文件里面的目錄的權限，確定是否缺少w權限，如果是的話，那么在proc目錄下執行以下代碼：

mount -o remount,rw /

（一般到這里就可以試試push指令能不能用了，因為報錯是文件系統的原因）

執行以下命令

adb remount adb root

注意點2：

linux下的目錄（后者是linux目錄）都是反斜杠，寫正的沒用。

錯誤寫法：

adb push G:\buuctf\frida-server-14.2.14-android-x86_64\fs_Rui data\local\tmp\fs_Rui

正確寫法：

adb push G:\buuctf\frida-server-14.2.2-android-x86\fs data/local/tmp/frida-server_test adb shell //進入模擬器 exit//退出模擬器//以下均為linux命令行 su cd data/local/tmp chmod 777 frida-server_test

啟動手機上的frida服務器，記得要以root權限啟動，

./frida-server_test

在windows主機上另外開啟一個cmd，輸入命令 frida-ps -U ,這行命令是列出手機上所有的進程信息，如果出現進程信息則說明環境搭配成功：

frida-ps -U

疑問點

但是我這里利用脫殼腳本，去連接frida-server，直接連接不上

求救

脫殼已解決

第一個問題：未進行端口轉發

adb forward tcp:27042 tcp:27042 adb forward tcp:27043 tcp:27043

第二個問題：sdk中的adb和夜神中的abd版本不合。。adb server version (31) doesn’t match this client (36)，以至于每次一使用腳本連接，然后frida-server就會掛掉，然后就出現了上方的報錯，只需要把sdk的adb復制一份放在夜神里面就行嘍

沒有SDK環境的報錯

解碼

D:\桌面\apktool.jar d D:\桌面\02.apk -o targetappFolder

將apk重新打包

D:\桌面\apktool.jar b -o repackaged.apk targetappFolder/

創建keystore（如果沒有的話）

keytool -genkey -v -keystore custom.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000

簽名

jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore custom.keystore -storepass 你的密碼 repackaged.apk mykeyaliasname

這個custom.keystore也就是前面所生成的keystore，注意路徑問題就行

驗證

jarsigner -verify repackaged.apk

D:\桌面>D:\桌面\apktool.jar d targetapp.apk -o targetappFolderD:\桌面>D:\桌面\apktool.jar d targetapp.apk -o targetappFolderD:\桌面>D:\桌面\apktool.jar d D:\桌面\02.apk -o targetappFolderD:\桌面>apktool b -o repackaged.apk targetappFolder/ 'apktool' 不是內部或外部命令，也不是可運行的程序或批處理文件。D:\桌面>apktool b -o repackaged.apk targetappFolder/ 'apktool' 不是內部或外部命令，也不是可運行的程序或批處理文件。D:\桌面>D:\桌面\apktool.jar apktool b -o repackaged.apk targetappFolder/D:\桌面>D:\桌面\apktool.jar b -o repackaged.apk targetappFolder/D:\桌面>keytool -genkey -v -keystore custom.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 輸入密鑰庫口令: 再次輸入新口令: 您的名字與姓氏是什么?[Unknown]: 張瑞彪您的組織單位名稱是什么?[Unknown]: 江科大您的組織名稱是什么?[Unknown]: 江科大您所在的城市或區域名稱是什么?[Unknown]: 江科大您所在的省/市/自治區名稱是什么?[Unknown]: 江科大該單位的雙字母國家/地區代碼是什么?[Unknown]: 江科大 CN=張瑞彪, OU=江科大, O=江科大, L=江科大, ST=江科大, C=江科大是否正確?[否]: 是正在為以下對象生成 2,048 位RSA密鑰對和自簽名證書 (SHA256withRSA) (有效期為 10,000 天):CN=張瑞彪, OU=江科大, O=江科大, L=江科大, ST=江科大, C=江科大 [正在存儲custom.keystore]D:\桌面>jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore custom.keystore -storepass 你的密碼 repackaged.apk mykeyaliasname jarsigner 錯誤: java.lang.RuntimeException: 密鑰庫加載: keystore password was incorrectD:\桌面>jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore custom.keystore -storepass 123456 repackaged.apk mykeyaliasname jarsigner 錯誤: java.lang.RuntimeException: 密鑰庫加載: D:\桌面\custom.keystore (系統找不到指定的文件。)D:\桌面>jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore D:\桌面\custom.keystore -storepass 123456 repackaged.apk mykeyaliasname jar 已簽名。警告: 簽名者證書為自簽名證書。為 -digestalg 選項指定的 SHA1 算法被視為存在安全風險。此算法將在未來的更新中被禁用。D:\桌面>zipalign 4 repackaged.apk final.apk 'zipalign' 不是內部或外部命令，也不是可運行的程序或批處理文件。D:\桌面>jarsigner -verify repackaged.apkjar 已驗證。警告: 此 jar 包含其證書鏈無效的條目。原因: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 此 jar 包含其簽名者證書為自簽名證書的條目。 SHA1 摘要算法被視為存在安全風險。此算法將在未來的更新中被禁用。此 jar 包含的簽名沒有時間戳。如果沒有時間戳, 則在其中任一簽名者證書到期 (最早為 2048-08-30) 之后, 用戶可能無法驗證此 jar。有關詳細信息, 請使用 -verbose 和 -certs 選項重新運行。

工具

frida-ps

2. frida-trace 動態跟蹤

--version show program's version number and exit -h, --help show this help message and exit -D ID, --device=ID connect to device with the given ID -U, --usb connect to USB device -R, --remote connect to remote frida-server -H HOST, --host=HOST connect to remote frida-server on HOST -f FILE, --file=FILE spawn FILE -n NAME, --attach-name=NAME attach to NAME -p PID, --attach-pid=PID attach to PID --debug enable the Node.js compatible script debugger --disable-jit disable JIT -I MODULE, --include-module=MODULE include MODULE -X MODULE, --exclude-module=MODULE exclude MODULE -i FUNCTION, --include=FUNCTION include FUNCTION -x FUNCTION, --exclude=FUNCTION exclude FUNCTION -a MODULE!OFFSET, --add=MODULE!OFFSET add MODULE!OFFSET -T, --include-imports include program's imports -t MODULE, --include-module-imports=MODULE include MODULE imports -m OBJC_METHOD, --include-objc-method=OBJC_METHOD include OBJC_METHOD

示例：
注意：使用frida-trace時，Android端一定要打開frida-server，否則就會出現這樣
啟動手機中的Chrome瀏覽器

frida-trace -i "open" -U com.android.chrome

可以看到終端中出現:open：Loaded handler at :”/用戶名/__handlers__/libc.so/open.js”
frida-trace會生成一個javascript文件，然后Frida會將其注入到進程中，并跟蹤特定的調用。生成的open.js腳本將鉤住libc.so中的open函數并輸出參數.
默認的open.js:

/** Auto-generated by Frida. Please modify to match the signature of open.* This stub is currently auto-generated from manpages when available.** For full API reference, see: https://frida.re/docs/javascript-api/*/{/*** Called synchronously when about to call open.** @this {object} - Object allowing you to store state for use in onLeave.* @param {function} log - Call this function with a string to be presented to the user.* @param {array} args - Function arguments represented as an array of NativePointer objects.* For example use args[0].readUtf8String() if the first argument is a pointer to a C string encoded as UTF-8.* It is also possible to modify arguments by assigning a NativePointer object to an element of this array.* @param {object} state - Object allowing you to keep state across function calls.* Only one JavaScript function will execute at a time, so do not worry about race-conditions.* However, do not use this to store function arguments across onEnter/onLeave, but instead* use "this" which is an object for keeping state local to an invocation.*/onEnter(log, args, state) {log('open()');},/*** Called synchronously when about to return from open.** See onEnter for details.** @this {object} - Object allowing you to access state stored in onEnter.* @param {function} log - Call this function with a string to be presented to the user.* @param {NativePointer} retval - Return value represented as a NativePointer object.* @param {object} state - Object allowing you to keep state across function calls.*/onLeave(log, retval, state) {} }

可以修改open.js進行操作，然后進行終端輸出：

/* * Auto-generated by Frida. Please modify to match the signature of open. * This stub is currently auto-generated from manpages when available. * * For full API reference, see: http://www.frida.re/docs/javascript-api/ */ { /** * Called synchronously when about to call open. * * @this {object} - Object allowing you to store state for use in onLeave. * @param {function} log - Call this function with a string to be presented to the user. * @param {array} args - Function arguments represented as an array of NativePointer objects. * For example use Memory.readUtf8String(args[0]) if the first argument is a pointer to a C string encoded as UTF-8. * It is also possible to modify arguments by assigning a NativePointer object to an element of this array. * @param {object} state - Object allowing you to keep state across function calls. * Only one JavaScript function will execute at a time, so do not worry about race-conditions. * However, do not use this to store function arguments across onEnter/ onLeave, but instead * use "this" which is an object for keeping state local to an invocation. */ onEnter: function (log, args, state) { log("open(" + "path=\"" + Memory.readUtf8String(args[0]) + "\"" + ", oflag=" + args[1] + ")"); }, /** * Called synchronously when about to return from open. * * See onEnter for details. * * @this {object} - Object allowing you to access state stored in onEnter. * @param {function} log - Call this function with a string to be presented to the user. * @param {NativePointer} retval - Return value represented as a NativePointer object. * @param {object} state - Object allowing you to keep state across function calls. */ onLeave: function (log, retval, state) { } }

Python綁定

示例：
從Python注入chrome.js腳本
注意：從命令行加載腳本然后生成一個命令的進程時，Frida容易崩潰。所以先生成進程，再讓Frida注入腳本

#!/usr/bin/python import frida # js jscode= """ console.log("[*] Starting script"); Java.perform(function() { var Activity = Java.use("android.app.Activity"); Activity.onResume.implementation = function () { console.log("[*] onResume() got called!"); this.onResume(); }; }); """ # startup frida and attach to com.android.chrome process on a usb device process = frida.get_remote_device().attach("com.android.chrome") # create a script for frida of jsccode script = process.create_script(jscode) # and load the script script.load()

注意點：

記得端口轉發

adb forward tcp:27042 tcp:27042 adb forward tcp:27043 tcp:27043

否則如下報錯

別用frida.get_usb_device().attach（），改用frida.get_remote_device().attach（），否則如下報錯：

使用

學習Frida的magic，并通過Frida覆蓋一個函數。此外，我們還將介紹如何從外部腳本加載代碼，而不是將代碼鍵入cli，因為這種方式更方便。首先，將下面的代碼保存到一個腳本文件中，例如chrome.js：
1.

Java.perform(function () {var Activity = Java.use("android.app.Activity");Activity.onResume.implementation = function () {console.log("[*] onResume() got called!");this.onResume();}; });

上面的代碼將會覆蓋android.app.Activity類的onResume函數。它會調用Java.use來接收這個類的包裝對象，并訪問其onResume函數的implementation屬性，以提供一個新的實現。在新的函數體中，它將通過this.onResume()調用原始的onResume實現，所以應用程序依然可以繼續正常運行。

通過命令行注入：

frida -U -l chrome.js com.android.chrome

一旦觸發了onResume——例如切換到另一個應用程序并返回到模擬器中的Chrome——您將收到下列輸出：[*] onResume() got called!

如上圖所示。

個人誤區

但是我使用python綁定進行注入，直接沒用。。。搞不懂為什么

#!/usr/bin/python import frida # put your javascript-code here jscode= """ console.log("[*] Starting script"); Java.perform(function() {var Activity = Java.use("android.app.Activity");Activity.onResume.implementation = function () {console.log("[*] onResume() got called!");this.onResume();}; }); """ # startup frida and attach to com.android.chrome process on a usb device process = frida.get_usb_device().attach("com.android.chrome") # create a script for frida of jsccode script = process.create_script(jscode) # and load the script script.load()

這里呢，是我誤會了這行命令行的作用：

frida -U -f com.android.xxxxx —no-pause

它的作用也就是：—no-pause不會中斷應用程序，并將生成的進程的任務留給FRIDA，這會打開一個shell，在里邊使用Javascript API向Frida寫命令，至于用

frida -U -l chrome.js com.android.chrome

它僅僅只是注入js腳本，然后進行阻塞，回傳log

python綁定和它并沒有任何關系。python綁定的log回傳是在Python腳本里面的。

使用命令的時候，建議使用如下這個：

frida -U -f com.android.chrome --no-pause

如果不加--no-pause的話，那么需要手動啟動主線程函數

輸入%resume來進行線程的啟動

python綁定解決

這里的話請教了夜影學長，然后他說Python腳本注入的話，顯示log是在python里面顯示的

顯示的東西是由frida里執行的js發給py的，所以的話，py要自己負責阻塞，需要input阻塞，在最后加上sys.stdin.read()，最后也就變成這樣：

#!/usr/bin/python import frida import sys # put your javascript-code here jscode= """ console.log("[*] Starting script"); Java.perform(function() {var Activity = Java.use("android.app.Activity");Activity.onResume.implementation = function () {console.log("[*] onResume() got called!");this.onResume();}; }); """ # startup frida and attach to com.android.chrome process on a usb device process = frida.get_usb_device().attach("com.android.chrome") # create a script for frida of jsccode script = process.create_script(jscode) # and load the script script.load() sys.stdin.read()

總結

以上是生活随笔為你收集整理的frida框架的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

框架
frida

上一篇： angr学习笔记（13）（static_
下一篇：住院时期