转载

frida-Java层代码Hook

Hook构造方法

要hook的是一个类的构造函数

public class Utils {
    public static Money getMoney() {
        return new Money(60, "RMB");
    }
...
}

我们可以通过 $init 来获取并修改一个类的构造方法。(注意,js是弱类型语言,而Java强类型,注意构造的时候的类型转换。)

获取参数可以通过自定义参数名也可以直接用系统隐含的arguments变量获取即可

下面是jscode

var money=Java.use("com.XXXX.app.Money");
money.$init.implementation = function(a, b)
{
    console.log("Hook Start...");
    send(arguments[0]);
    send(arguments[1]);
    return this.$init(a,b);
}

Hook重载方法

要hook的重载方法

public class Utils {
    public static String test() {
        return "this is test without argument";
    }

    public static String test(int num) {
        return "this is test with num "+num;
    }
...
}

在方法后面加一个 overload 属性,参数为函数的类型,类型用字符串传入,用于指定具体要hook的方法。例如 utils.test.overload("int").implementation

注意,要填写类的路径,例如如果是字符串类型,则要用 overload("int","java.lang.String")

jscode:

utils.test.overload("int").implementation = function(a)
    {
        console.log("Hook Start...");
        send(arguments[0]);
        console.log("Hook Success...");
        return "This overload func is hooked";
    }

Hook对象参数的构造

要hook的以对象为参数的方法

package com.XXXX.app;

public class Utils {
    public static String test(Money money) {
        return money.getInfo();
    }
....
}

这里我们使用一个类型的 $new 来实例化一个类

jscode:

jscode = """
Java.perform(function(){
    var utils = Java.use("com.XXXX.app.Utils");
    var money=Java.use("com.XXXX.app.Money");
    
    utils.test.overload("com.XXXX.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        send(a.getInfo());
        var m = money.$new(6666,"DOLLAR");
        send(m.getInfo());
        return m.getInfo();
        //return this.test(m);
    }
});
"""

修改对象属性的值

常规方法

  • 如果 obj.Attr 的话,获取到的还是对象,例如 a.name 的返回值是 [*] {'value': '美元', 'fieldType': 2, 'fieldReturnType': {'className': 'java.lang.String', 'name': 'Ljava/lang/String;', 'type': 'pointer', 'size': 1}} [*] 美元
  • 我们使用 a.name.value 就能获取对象属性的值了。
    例如 
utils.test.overload("com.xiaojianbang.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        send(a.name); //object
        send(a.name.value); //real value
        var m = money.$new(6666,"DOLLAR");
        m.name.value="ForeignMoney";
        send(m.getInfo());
        return m.getInfo();
        //return this.test(m);
    }

Java反射

对于私有属性,我们可以用Java反射的方法设置。

在Java反射中,通过 Java.cast(m.getClass(),clazz).getDeclaredField('num') ,m为一个实例化对象,后面 getDeclaredField 可以获得属性。通过 Java.use('java.lang.Class'); 获取类的构造器

这里,通过属性的 get(ObjectsInstantiated) 可以获取值,通过属性的 setInt(ObjectsInstantiated,value) 可以设置一个对象的属性值。 ObjectsInstantiated 为一个对象。

这里,对于反射后的值,用 console.log 可以很好的输出值,而 send 在此处会打印对象。 

Java.perform(function(){
    var utils = Java.use("com.XXXX.app.Utils");
    var money=Java.use("com.XXXX.app.Money");
    
    utils.test.overload("com.XXXX.app.Money").implementation = function(a)
    {
        console.log("Hook Start...");
        var m = money.$new(6666,"DOLLAR");
        var clazz = Java.use('java.lang.Class');
        var num_id = Java.cast(m.getClass(),clazz).getDeclaredField('num');
        num_id.setAccessible(true);
        var value = num_id.get(m);
        console.log(value);
        send(value); // have format problem
        num_id.setInt(m,23333);
        console.log(num_id.get(m));
        return this.test(m);
    }
});

Hook内部类

要hook的内部类。

在 Java 中,可以将一个类定义在另一个类里面或者一个方法里面,这样的类称为内部类。

class Circle {
    double radius = 0;
     
    public Circle(double radius) {
        this.radius = radius;
    }
     
    class Draw {     //内部类
        public void drawSahpe() {
            System.out.println("drawshape");
        }
    }
}

在获取要hook的类后加 $ 和内部类名。 

var inInnerClass = Java.use('com.XXXX.app.Circle$Draw');

inInnerClass.drawSahpe.implementation = function()
{
  ...
}

打印方法堆栈信息

用Java.use方法获取类型变量:var Exception = Java.use(“java.lang.Exception”)

然后是js中支持throw语法的,直接在需要打印堆栈信息的方法中调用即可。

AndroidLog = Java.use("android.util.Log")
AndroidException = Java.use("java.lang.Exception")
function printStackTrace(){
	console.log(AndroidLog .getStackTraceString(AndroidException .$new()));
}

总结

Java层代码Hook操作

  • 1、hook方法包括构造方法和对象方法,构造方法固定写法是$init,普通方法直接是方法名,参数可以自己定义也可以使用系统隐含的变量arguments获取。

  • 2、修改方法的参数和返回值,直接调用原始方法通过传入想要修改的参数来做到修改参数的目的,以及修改返回值即可。

  • 3、构造对象和修改对象的属性值,直接用反射进行操作,构造对象用固定写法的$new即可。
  • 4、直接用Java的Exception对象打印堆栈信息,然后通过adb logcat -s AndroidRuntime来查看异常信息跟踪代码。

总结:获取对象的类类型是Java.use方法,方法有重载的话用overload(…….)解决。

原文  https://uknowsec.cn/posts/notes/frida-Java层代码Hook.html
正文到此结束
所属分类: 编程技术 Java

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:619 人
  • 运行天数:4,409天
  • 最后更新:2024年11月22日05点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG