frida(hook工具)的环境搭建

一.简介

　　frida 是一款基于 python+javascript 的 hook 框架，可运行在 android、ios、linux、win等各个平台，主要使用的动态二进制插桩技术。

　　Frida官网：https://www.frida.re/

　　Frida源码：https://github.com/frida

二、环境基础

windows7 X64
python 3.7
逍遥模拟器 anroid5.1

三.安装

　　 Frida的安装很简单，需要在windows安装frida客户端和在安卓安装frida服务端。

　　 1）在windows安装客户端

　　　　 安装python和pip这里就不说了，记得添加环境变量，安装完python和pip之后，打开CMD，使用命令 pip install frida，我这里因为已经安装过了，所以下面显示的信息不同。

 pip install frida
 pip install frida-tools

　　

　　注意：

　　安装的python版本选择这里要说明下，之前因为下载的python版本不对导致frida一直运行不起来，网上搜索很多资料都没有结果，我们下载安装完python后，
输入命令安装frida时会自动到https://pypi.org/project/frida/
 
#files下载最新的frida安装，比如现在frida最新版本是12.6.12，输入pip install frida后会自动下载12.6.12版本的frida，这个我们无法更改。我们需要手动进去这个网页，找到frida对应windows版本egg文件，
 
如我是windows64位，python最好选择3.x以上版本下载，所以需要下载frida-12.4.0-py3.x-win-amd64.egg,发现只有frida-12.4.0-py3.7-win-amd64.egg 符合我们的要求，

这里windows版本、python版本和frida版本要都匹配才行，所以我们需要安装python3.7版本，并且把frida-12.4.0-py3.7-win-amd64.egg 这个文件下载下来，后面会用到。

　　

　　不知是否是frida安装的bug，我发现提示frida安装成功后，运行frida-ps会报错提示找不到对应模块

这个问题网上搜索了很久没有找到解决方案，大都是说安装版本不对，没有告诉应该安装哪个版本，最后当我打开https://pypi.org/project/frida/
 
#files这个网页就明白了，我在python安装目录C:\Program Files\Python37\Lib\site-packages西面没有找到frida-12.4.0-py3.7-win-amd64.egg文件，
这个是运行frida所需的文件，执行pip install frida和pip install frida-tools后并没有把这个文件下载下来，所以我们需要手动下载这个文件，
拷贝到python安装目录C:\Program Files\Python37\Lib\site-packages，最后执行frida-ps,成功显示电脑当前进程

• 查看连接到的设备

frida-ls-devices

2） 在手机中安装服务端

首先到github上下载frida-server，网址为https://github.com/frida/frida/releases，从网址可以看到，frida提供了各种系统平台的server，我的模拟器为小米5，是64 arm，所以我下载的为arm64

　　查询手机对应的cpu

adb shell getprop ro.product.cpu.abi

　

　　

　　 解压后，使用adb将frida-server放到手机目录/data/local/，然后修改属性为可执行

#查看设备连接状态
adb devices -l
 
#把服务端推送到手机的指定目录（记得先解压再推送）
adb  push  C:\Users\1003441\Downloads\frida-server-12.6.12-android-arm64  /data/loacl
 
#进入手机终端，修改文件权限并运行
adb shelll
 
cd /data/local
chmod 777 frida-server-12.4.0-android-arm
./frida-server-12.4.0-android-arm &

　　在后台指定前最好先测试一下

　　

　　电脑端再起一个终端

　　

　　  然后在windows主机上另外开启一个cmd，输入命令 frida-ps -U ,这行命令是列出手机上所有的进程信息，如果出现进程信息则说明环境搭配成功：

　　如果需要调试的，一点要设置端口转发到pc端

　　adb forward tcp:27042 tcp:27042
 
　　adb forward tcp:27043 tcp:27043

　　现在在命令行输入frida-ps -R，就可以看到android机器的进程列表了，至此，运行环境就搭建好了。

　　

　　查看android手机当前最前端Activity所在的进程

λ python37
Python 3.7.4 (tags/v3.7.4:e09359112e, Jul  8 2019, 19:29:22) [MSC v.1916 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import frida
>>> remote_dev=frida.get_remote_device()
>>> print(remote_dev)
Device(id="tcp", name="Local TCP", type='remote')
>>> front_app=remote_dev.get_frontmost_application()
>>> print(front_app)
Application(identifier="com.microvirt.launcher2", name="逍遥桌面", pid=647)
>>>

　　枚举android所有运行的process

>>> processes=remote_dev.enumerate_processes()
>>> for process in processes:
...     print(process)
...
Process(pid=1, name="init")
Process(pid=62, name="ueventd")
Process(pid=72, name="flush-8:2")
Process(pid=73, name="flush-8:3")
Process(pid=74, name="logd")
Process(pid=75, name="healthd")
Process(pid=76, name="lmkd")
Process(pid=77, name="servicemanager")
Process(pid=78, name="vold")
Process(pid=79, name="surfaceflinger")
Process(pid=80, name="flush-8:0")
Process(pid=81, name="flush-8:4")
Process(pid=82, name="netd")
Process(pid=83, name="debuggerd")
Process(pid=84, name="rild")
Process(pid=85, name="drmserver")
Process(pid=86, name="mediaserver")
Process(pid=87, name="installd")
Process(pid=88, name="keystore")
Process(pid=89, name="zygote")
Process(pid=90, name="sdcard")
Process(pid=92, name="flush-8:1")
Process(pid=343, name="system_server")
Process(pid=523, name="com.android.systemui")
Process(pid=557, name="com.android.ime")
Process(pid=597, name="com.android.phone")
Process(pid=636, name="wpa_supplicant")
Process(pid=647, name="com.android.launcher2")
Process(pid=717, name="android.process.acore")
Process(pid=773, name="dhcpcd")
Process(pid=823, name="com.android.tools")
Process(pid=882, name="com.android.download")
Process(pid=941, name="com.android.market")
Process(pid=1301, name="com.android.defcontainer")
Process(pid=2436, name="flush-8:4")
Process(pid=2478, name="frida-server-12.6.12-android-x86")
Process(pid=2480, name="logcat")
>>>                                                                                     

四.工具介绍

1） 工具总体概述

Frida提供了四个工具，frida-trace，frida-ps，frida，frida-discover，这些工具都位于python的Scripts路径下，

　　

　　

　　比较遗憾的是，frida官网并未提供这些工具使用的详细文档，我没有找到这些工具的命令行参数的详细说明。这些工具实际都是基于frida的python接口实现的。所以，如果想深入了解这些工具的使用，需要借助frida的源码。

源码的网址为https://github.com/frida/frida-python。其中，值得注意的是部分参数的解析位于文件frida-python /src/frida/application.py中的ConsoleApplication类中，这个类也是其它工具的实现类的父类，所以这个类中的参数也是可以用到这些工具中的，

　　

　　

　　我看到这里其实是有帮助信息的，但是我这个python小菜真不知道怎么把它们打印出来。呜呜。。。

上图中的几个选项需要注意一下，-U值得是usb设备，-R值得是网络端口设备，-f可以指定进程文件名。

2）frida-trace介绍

这里简单介绍个工具的使用，比如frida-trace，这个工具可以用来追踪指定的函数的调用。这个工具的实现位于文件frida-python /src/frida/tracer.py中，下图为参数：

　

　　

　　这个参数的解析位于类TraceApplication，而这个类又继承自ConsoleApplication

　　

所以，之前的-U等参数在这个工具也是可以使用的。Frida-trace的参数这里就不特别翻译了，需要注意的是，这些参数都是可以使用通配符的，这里我真觉得frida好厉害。

3） frida-trace的使用例子

使用下面的命令行来追踪open函数，目标进程为我手机上的浏览器，其中com.android.browser是我浏览器的包名，-U是指使用usb设备，应为我的手机就是使用usb连接电脑的，-i 选项是指所要追踪的函数的函数名，这里其实可以使用通配符，比如“*open”指的是以open结尾的函数。

frida-trace -i "open" -U com.android.browser

然后在浏览器上随便点击，可以得到下面的内容：

　　

　　  当open函数被调用的时候则会打印日志到屏幕。在上图中有个文件路径，根据路径打开文件可以看到下面的内容：

　　

　　

　　这个文件其实是frida-trace产生js脚本文件，图片中的注释被我注释掉了，这个脚本文件其实是产生了一个匿名对象（js语法规定，{}可以用来产生一个对象），这个对象有两个成员onEnter和onLeave，而这两个成员实际上都指向了js的函数。实际上，这个匿名对象是　　js库的回调对象（不知道这样称呼对不对），即当open函数被调用时这个对象的两个函数会被调用。其中，onEnter是open函数即将被执行时会被调用，而onLeave是open函数执行完毕时会被调用。

其它的工具的使用其实是类似的。我并没有再去使用别的工具，应为工具提供的功能还是太简单了。

5. 主控端和目标进程的交互（message）

Js脚本提供了向主控端发送数据的接口—send和从主控端接收数据的接口—recv，而在主控端是通过python脚本的回调来接收数据，并使用python提供的接口post来向目标进程发送数据。这里的数据需要是可以序列化成json字符串的。下面来看例子。

Python脚本代码如下：

　　

　　

将这个代码保存到文件modules.py，然后在cmd里面输入python modules.py，正常会看到下面：

　　

在这段代码中，第8行是调用python的接口Session.create_script，其功能是根据参数字符串创建一个Scritp对象，其参数便是js脚本代码。这段js代码只有一个功能，就是调用js提供的接口send，向主控端发送数值9527.

后面最主要的是12-15行，12行代码是定义了一个python函数，其功能便是将参数输出到控制台。这两个参数是python回调接口需要的。而15行代码则是将这段脚本跟自己定义的python函数on_message联系在一起，最后通过接口load来执行js脚本。

然后，我们来看看python接口的源码实现，首先是Script.on接口，Script的实现是在frida-python /src/frida/core.py中，

　　

　　

这里可以到，最后是遍历调用列表中的回调。

换句话说，python的回调接口其实实现了了一个回调队列，它支持对接收的数据的多种解析方式。

6. Python接口和js接口

1）python接口

python接口提供的功能很少，而且基本都是用来获取进程、模块、函数的信息的。

python接口的实现都在frida-python里面了。

Python提供了一些全局接口，在文件frida-python \scr\frida\_init_.py里面，

　　

　　其中Get_usb_device可以获取当前连接到usb的设备，如果使用手机，一般使用这个函数获取手机设备。

　　而其他的接口都在frida-python /src/frida/core.py里面，比如进程、模块、函数相关的操作：

　　

　　

这里面Session可以理解为一次会话，比如附加到某个进程则算是启动了一次会话，也可以理解为进程的抽象，Module则是模块的抽象，Function则为函数的抽象。

举个使用的例子。在session中有个接口enumerate_modules，用来枚举进程的模块，下面为源码：

　　

　　这里可以看到，函数最后把模块的信息放到了一个列表中，所以我的接口使用代码如下：

　　

　　

　　这里需要注意的是，在使用frida的时候，首先第一步要做的是获取设备，我这里使用get_usb_device来获取手机设备，然后第二步要做的是指定要附加的进程，我这里附加的仍然是我手机上的浏览器。

然后我的代码其实很简单，就枚举进程模块，然后遍历列表，循环输出模块的名称，然后下图为输出结果：

　　

　　

　　然后python的其它的接口使用很类似，这里就不一一列举了。

2） js接口

js接口就相当丰富了，接口功能包括但不限于进程操作、模块操作、内存操作、函数操作、线程操作、网络通信、数据流操作、文件操作、数据库操作、寄存器操作，并且官网有着详细的说明文档https://www.frida.re/docs/javascript-api/，对于每个接口的功能和参数给出了详细的解释，并且一部分接口还给出了例子。

下面来看一个遍历进程模块的简单示例。

Js接口中，Process.enumerateModules提供了模块遍历的功能，官方说明如下：

　　

　　这个接口需要一个回调对象，这个对象有两个成员，onMatch和onComplete，而这两个成员都是函数，当接口每遍历到一个模块时，便会调用回调对象的onMatch，此函数有个参数为module，它有四个成员，其意义见上图。我的js脚本如下：

　　

　　脚本内容很简单，就是将模块的名字发送到主控端，此脚本内容被我保存到文件TestFrida.js中了，然后python脚本如下：

　　

　　这个脚本内容也很简单，8-9行代码是附加到进程，12-14行代码是读取TestFrida.js中js脚本内容，16行代码则是关联消息接收函数，17行代码是执行脚本。然后，执行此python脚本，控制台会输出进程的模块名，如下：

　　

7. 小结

本来想写一个深入浅出frida框架的文章，把frida的基本使用和框架原理都探索一遍，但是发现frida框架的内容太多，本身又是跨平台，完全超出了我的能力和精力，所以最后就得到了这么个算是frida科普的文章。所以就写到这里吧，还好基本的用法已经讲清楚了，在我看来，frida并非一个hook框架，而是一个非常方便和实用的分析工具。有机会我会再写一篇深入探索的文章，也欢迎各位坛友对本文进行指正。

转自：https://bbs.pediy.com/thread-226846.htm