Frida初探
什么是Frida
Frida的官方网站上是这么说的:
It’s Greasemonkey for native apps, or, put in more technical terms, it’s a dynamic code instrumentation toolkit. It lets you inject snippets of JavaScript or your own library into native apps on Windows, macOS, GNU/Linux, iOS, Android, and QNX. Frida also provides you with some simple tools built on top of the Frida API. These can be used as-is, tweaked to your needs, or serve as examples of how to use the API。
我用百度Google了一下(▽):
它是本地应用程序的Greasemonkey,或者,用更专业的术语来说,它是一个动态代码检测工具包。它允许您将JavaScript片段或您自己的库注入到Windows、macOS、GNU/Linux、iOS、Android和QNX上的原生应用程序中。Frida还为您提供了一些构建在fridaapi之上的简单工具。它们可以按原样使用,根据您的需要进行调整,或者作为如何使用API的示例。
Frida的核心是用C语言编写的,它将Google的V8引擎注入到目标进程中,在目标进程中,JS可以完全访问内存、Hook函数甚至调用进程内部的本机函数。在你的应用程序和运行在目标进程中的JS之间有一个双向的通信通道。使用Python和JS可以快速开发无风险的API。Frida可以帮助您轻松地捕捉JS中的错误,并为您提供异常而不是崩溃。如果不想用Python编写你可以直接从C语言中使用Frida,在这个C核心之上有多种语言绑定,例如。Node.js、Python、Swift、.NET、Qml等。
如果仅从Android系统来看,Frida和Xposed其实作用非常类似。但是从整体来看,Frida可以在Windows、macOS、GNU/Linux、iOS、Android上使用,覆盖了市面上99.999%的操作系统,适用面更广。
本文仅从Android角度来记录一下Frida的使用。
与Xpose的对比
Frida更高效
之前我们也说了,Frida在Android上和Xposed非常相似,可以说是各有千秋。Frida胜在方便,不需要重启手机,在面对非加固APP的时候,修改脚本可以自动生效,在面对加固APP的时候可能需要重启应用才能生效,相对于Xposed需要重启手机才可以生效的情况来说非常高效,非常适合安全工作人员调试使用,这也是目前我在拿到一个新项目时最先使用的方法。
Xposed的缺点在于调试不是很方便,但是优势在于可以脱离电脑直接使用,编写完脚本后安装至手机即可生效,可以脱离电脑单独运行。Frida通常来讲必须配合电脑使用,这也是为什么说Frida适合安全工作人员调试使用。
Xposed更兼容
除了以上两点区别外,还有一些语言上的差异,Xposed的开发语言是java,先天就和Android浑然一体,在处理变量和参数时相对于Frida更简单一点,比如某个方法的参数是一个对象,如果使用Xposed可以直接使用这个对象调用对应方法,但是Frida使用的JS就需要一些额外的操作才能调用对应的方法。另外就是Frida在某些手机上的兼容性不是很好,Xposed毕竟这么多年很多大佬在做各类手机的定制版。
目前我工作过程中一般是两个都在用,先用Frida调试,如果后面需要做一些持续性的东西就再用Xposed写一遍,省掉调试的时间。
安装
从Github下载frida服务端
-
本地计算机安装frida
安装python3
安装frida:pip install frida
将服务端推送到手机 adb push frida-server /data/local/tmp
添加权限 chmod 777 /data/local/tmp/frida-server
运行 ./frida-server
端口转发(可选) adb forward tcp:27042 tcp:27042 adb forward tcp:27043 tcp:27043
验证是否成功 执行frida-ps -U,如果列出了手机进程,则说明启动成功了
使用
Hook
Frida最初级的Hook用法就是Hook方法修改其参数或返回值
基本写法
JS
Frida的JS脚本基础写法如下,在这个框架中添加处理数据的其他代码,比如修改参数、修改返回值、调用方法等
setImmediate(function() {
Java.perform(function(){
console.log("[*] Starting script --console");
// Java.use(类名)
var utils = Java.use("com.cupdata.framework.crypto.CryptoImpl");
var clazz = Java.use("java.lang.Class");
// 如果方法有重载就加上overload否则可以不加
utils.encryptRequest.overload("java.lang.String").implementation = function(a,b){
// 实际处理代码
send("message") //发送数据给Python代码
//从Python接收数据
recv(function (received_json_object) {
console.log("[JS-RECV] json="+received_json_object);
data_to_recv = received_json_object.my_data;
console.log("[JS-RECV] data="+data_to_recv);
}).wait();
};
});
});
Python
import frida
import sys
import time
packageName = "com.srcb.qymbank"
logPath = "H:/OneDriver/OneDrive/金融产品认证项目/20--上海农商银行/村镇银行-企业版/测试记录/"
logName = logPath + packageName + ".log"
scriptPath = "202006-4-上海农商-村镇企业-未加固.js"
# 连接USB设备
device = frida.get_usb_device(1000)
# 创建一个新的进程
pid = device.spawn([packageName])
# 如果要附加到一个已存在的进程则可以直接执行
# session = device.attach(包名)
# 附加到新的进程
session = device.attach(pid)
time.sleep(2)
# 启动
device.resume(pid)
# JS脚本
with open(scriptPath, "r", encoding="utf-8") as f:
src = f.read()
# js脚本通过send(message[,data])方法把第一个参数发到message,第二个参数发到data
# data参数需要是ArrayBuffer类型,如果不是这个类型可以用str2ArrayBuffer()方法转换
def on_message(message, data):
# print("message=%s" %message)
print(message['payload'])
with open(logName,"a",encoding="utf-8") as f:
f.write(message['payload'])
script.post(jsonObj) # send JSON object
# print("data=%s" %data)
script = session.create_script(src)
script.on("message", on_message)# 注册数据处理方法
time.sleep(1) #在这里最好是sleep一下,不然经常会出现APP无响应的情况
script.load()
sys.stdin.read()#基本等同于input,不过read()方法的结束是cntrl+d
