当前位置:   article > 正文

安卓模拟器Frida环境搭建 (frida+mumu)_frida-server下载

frida-server下载

一、下载

1.mumu模拟器官网:https://mumu.163.com/
2.frida-server下载链接:https://github.com/frida/frida/releases
3.adb-tool下载链接:https://adbdownload.com/

二、安装frida-server进mumu模拟器

1.下载frida-server并解压
在这里插入图片描述
2.配置好adb的环境变量,并开启mumu浏览器且开启root模式
在这里插入图片描述
3.上传frida-server并启动

注意adb中如果不是root用户需要手动切换成root并启动
在这里插入图片描述
4.新开一个命令行并转发

adb forward tcp:27043 tcp:27043
adb forward tcp:27042 tcp:27042
  • 1
  • 2

在这里插入图片描述
5.在使用frida工具前,需要在python中安装frida

pip install frida
pip install frida-tools
  • 1
  • 2

6.最后使用 frida-ps 命令检查frida是否成功开启

frida-ps -U 查看正在运行进程
frida-ps -Uai 列出安装的程序
frida-ps -Ua 列出运行中的程序
  • 1
  • 2
  • 3

在这里插入图片描述
开启frida-server时可能遇到链接失败的情况,把模拟器和adb重启后再走一遍流程即可

注意frida与frida-server的版本需要一致,可用 frida --version 查看版本

三、frida基础使用

1.frida shell
命令: frida -U --no-pause -f 包名
在这里插入图片描述
进入后按Tab键可以查看frida支持的方法,此用法一般适用于查看基本信息

常用方法:

Process.getModuleByName(“libc.so”) 查看名字为libc.so的so库的详细信息

Module.findBaseAddress(“libc.so”) 查看名字为libc.so的so库的基址

Module.enumerateImportsSync(“libc.so”) 查看名字为libc.so的so库的导入函数表

Module.enumerateExportsSync(“libc.so”) 查看名字为libc.so的so库的导出函数表

Module.enumerateRangesSync(“libc.so”) 查看名字为libc.so的so库的可执行内存区

在shell里同样可以执行js脚本,不过我们一般不用shell来做这事。

2.frida js
命令: frida -U -l js脚本路径 包名
在这里插入图片描述
脚本demo:

Java.perform(function(){  
    var Hook = Java.use(''); //use方法里填要hook的完整类名
    Hook.fun.implementation = function(arr){ //fun改成要hook的方法名
         // hook逻辑
    }
});
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

关于frida js方法的介绍可以看这篇文章:https://www.anquanke.com/post/id/195869

3.基于 frida 的 libil2cpp.so 运行时解析脚本,即unity3D开发的游戏(root的安卓机上使用)参考:https://github.com/axhlzy/Il2CppHookScripts

四、实战

这里用之前实战过的某有加密参数的app来做示范,这里要找key为authorization的加密逻辑。

1.我这边用jadx定位实现逻辑的函数,静态分析加密逻辑
在这里插入图片描述
分析代码后可以知道value就是传进来的某参数sha256加密并base64编码
在这里插入图片描述
strtosign函数便是将参数传为字符串并处理的函数

2.当代码的逻辑过于混乱或无法准确分析出传入的参数时可以用frida来hook函数动态分析,这里我们hook authorization函数来观察传出的字符串。

js脚本:

Java.perform(function(){  
    var Hook = Java.use('cn.missevan.play.utils.SignUtils');
    Hook.authorization.implementation = function(requestSign){
        console.log('hook success');
        var strToSign = Hook.strToSign(requestSign);
        console.log(strToSign); //输出需要的参数
    }
})
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

根据前面的流程开启frida之后在模拟器上触发函数执行
在这里插入图片描述
重复上面的流程直到成功重现加密逻辑,可以调用api为止

五、Objection

objection是一个封装了frida的python库,允许我们用命令行而不是代码脚本来实现一些基本的hook功能,比如监控函数的入参出参,从而减少开发者的代码量。

1.安装命令: pip install objection

2.启动objection shell:objection -g 包名 explore
在这里插入图片描述
其他的objection指令可以用objection --help命令查看

3.shell常用命令:

memory list modules 查看当前程序调用的所有so
memory list modules --json test.json 查看到其所有so 并保存位json (终端所在目录)
frida-ps -U |grep xxx 筛选过滤
memory search 内存搜索
android hooking list activities 打印所有 activities (页面)
android intent launch_activity activities名强行启动指定activities 可以强行启动页面
android hooking list classes 打印所有 classes
android hooking search classes 类名 筛选指定类
android hooking list class_methods 类名 打印方法体
android hooking watch class_method 类名.方法名 --dump-args --dump-return 快速hook(来看是否代码走到这里)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/不正经/article/detail/704229
推荐阅读
相关标签
  

闽ICP备14008679号