一.简介

  frida 是一款基于 python+javascript 的 hook 框架,可运行在 android、ios、linux、win等各个平台,主要使用的动态二进制插桩技术。

  Frida官网:https://www.frida.re/

  Frida源码:https://github.com/frida

二、环境基础

windows7 X64
python 3.7
逍遥模拟器 anroid5.1

三.安装

   Frida的安装很简单,需要在windows安装frida客户端和在安卓安装frida服务端。

   1)在windows安装客户端

     安装python和pip这里就不说了,记得添加环境变量,安装完python和pip之后,打开CMD,使用命令 pip install frida,我这里因为已经安装过了,所以下面显示的信息不同。

 pip install frida
pip install frida-tools

  

  注意:

  安装的python版本选择这里要说明下,之前因为下载的python版本不对导致frida一直运行不起来,网上搜索很多资料都没有结果,我们下载安装完python后,
输入命令安装frida时会自动到https://pypi.org/project/frida/ #files下载最新的frida安装,比如现在frida最新版本是12.6.12,输入pip install frida后会自动下载12.6.12版本的frida,这个我们无法更改。我们需要手动进去这个网页,找到frida对应windows版本egg文件, 如我是windows64位,python最好选择3.x以上版本下载,所以需要下载frida-12.4.0-py3.x-win-amd64.egg,发现只有frida-12.4.0-py3.7-win-amd64.egg 符合我们的要求,
这里windows版本、python版本和frida版本要都匹配才行,所以我们需要安装python3.7版本,并且把frida-12.4.0-py3.7-win-amd64.egg 这个文件下载下来,后面会用到。

  

  不知是否是frida安装的bug,我发现提示frida安装成功后,运行frida-ps会报错提示找不到对应模块

这个问题网上搜索了很久没有找到解决方案,大都是说安装版本不对,没有告诉应该安装哪个版本,最后当我打开https://pypi.org/project/frida/

#files这个网页就明白了,我在python安装目录C:\Program Files\Python37\Lib\site-packages西面没有找到frida-12.4.0-py3.7-win-amd64.egg文件,
这个是运行frida所需的文件,执行pip install frida和pip install frida-tools后并没有把这个文件下载下来,所以我们需要手动下载这个文件,
拷贝到python安装目录C:\Program Files\Python37\Lib\site-packages,最后执行frida-ps,成功显示电脑当前进程
  • 查看连接到的设备
frida-ls-devices

2) 在手机中安装服务端

首先到github上下载frida-server,网址为https://github.com/frida/frida/releases,从网址可以看到,frida提供了各种系统平台的server,我的模拟器为小米5,是64 arm,所以我下载的为arm64

  查询手机对应的cpu

adb shell getprop ro.product.cpu.abi

 

  

   解压后,使用adb将frida-server放到手机目录/data/local/,然后修改属性为可执行

#查看设备连接状态
adb devices -l #把服务端推送到手机的指定目录(记得先解压再推送)
adb push C:\Users\1003441\Downloads\frida-server-12.6.12-android-arm64 /data/loacl #进入手机终端,修改文件权限并运行
adb shelll cd /data/local
chmod 777 frida-server-12.4.0-android-arm
./frida-server-12.4.0-android-arm &

  在后台指定前最好先测试一下

  

  电脑端再起一个终端

  

    然后在windows主机上另外开启一个cmd,输入命令 frida-ps -U ,这行命令是列出手机上所有的进程信息,如果出现进程信息则说明环境搭配成功:

  如果需要调试的,一点要设置端口转发到pc端

  adb forward tcp:27042 tcp:27042

  adb forward tcp:27043 tcp:27043

  现在在命令行输入frida-ps -R,就可以看到android机器的进程列表了,至此,运行环境就搭建好了。

  

  查看android手机当前最前端Activity所在的进程

λ python37
Python 3.7.4 (tags/v3.7.4:e09359112e, Jul 8 2019, 19:29:22) [MSC v.1916 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import frida
>>> remote_dev=frida.get_remote_device()
>>> print(remote_dev)
Device(id="tcp", name="Local TCP", type='remote')
>>> front_app=remote_dev.get_frontmost_application()
>>> print(front_app)
Application(identifier="com.microvirt.launcher2", name="逍遥桌面", pid=647)
>>>

  枚举android所有运行的process

>>> processes=remote_dev.enumerate_processes()
>>> for process in processes:
... print(process)
...
Process(pid=1, name="init")
Process(pid=62, name="ueventd")
Process(pid=72, name="flush-8:2")
Process(pid=73, name="flush-8:3")
Process(pid=74, name="logd")
Process(pid=75, name="healthd")
Process(pid=76, name="lmkd")
Process(pid=77, name="servicemanager")
Process(pid=78, name="vold")
Process(pid=79, name="surfaceflinger")
Process(pid=80, name="flush-8:0")
Process(pid=81, name="flush-8:4")
Process(pid=82, name="netd")
Process(pid=83, name="debuggerd")
Process(pid=84, name="rild")
Process(pid=85, name="drmserver")
Process(pid=86, name="mediaserver")
Process(pid=87, name="installd")
Process(pid=88, name="keystore")
Process(pid=89, name="zygote")
Process(pid=90, name="sdcard")
Process(pid=92, name="flush-8:1")
Process(pid=343, name="system_server")
Process(pid=523, name="com.android.systemui")
Process(pid=557, name="com.android.ime")
Process(pid=597, name="com.android.phone")
Process(pid=636, name="wpa_supplicant")
Process(pid=647, name="com.android.launcher2")
Process(pid=717, name="android.process.acore")
Process(pid=773, name="dhcpcd")
Process(pid=823, name="com.android.tools")
Process(pid=882, name="com.android.download")
Process(pid=941, name="com.android.market")
Process(pid=1301, name="com.android.defcontainer")
Process(pid=2436, name="flush-8:4")
Process(pid=2478, name="frida-server-12.6.12-android-x86")
Process(pid=2480, name="logcat")
>>>

四.工具介绍

1) 工具总体概述

Frida提供了四个工具,frida-trace,frida-ps,frida,frida-discover,这些工具都位于python的Scripts路径下,

  

  

  比较遗憾的是,frida官网并未提供这些工具使用的详细文档,我没有找到这些工具的命令行参数的详细说明。这些工具实际都是基于frida的python接口实现的。所以,如果想深入了解这些工具的使用,需要借助frida的源码。

源码的网址为https://github.com/frida/frida-python。其中,值得注意的是部分参数的解析位于文件frida-python /src/frida/application.py中的ConsoleApplication类中,这个类也是其它工具的实现类的父类,所以这个类中的参数也是可以用到这些工具中的,

  

  

  我看到这里其实是有帮助信息的,但是我这个python小菜真不知道怎么把它们打印出来。呜呜。。。

上图中的几个选项需要注意一下,-U值得是usb设备,-R值得是网络端口设备,-f可以指定进程文件名。

2)frida-trace介绍

这里简单介绍个工具的使用,比如frida-trace,这个工具可以用来追踪指定的函数的调用。这个工具的实现位于文件frida-python /src/frida/tracer.py中,下图为参数:

 

  

  这个参数的解析位于类TraceApplication,而这个类又继承自ConsoleApplication

  

所以,之前的-U等参数在这个工具也是可以使用的。Frida-trace的参数这里就不特别翻译了,需要注意的是,这些参数都是可以使用通配符的,这里我真觉得frida好厉害。

3) frida-trace的使用例子

使用下面的命令行来追踪open函数,目标进程为我手机上的浏览器,其中com.android.browser是我浏览器的包名,-U是指使用usb设备,应为我的手机就是使用usb连接电脑的,-i 选项是指所要追踪的函数的函数名,这里其实可以使用通配符,比如“*open”指的是以open结尾的函数。

frida-trace -i "open" -U com.android.browser

然后在浏览器上随便点击,可以得到下面的内容:

  

    当open函数被调用的时候则会打印日志到屏幕。在上图中有个文件路径,根据路径打开文件可以看到下面的内容:

  

  

  这个文件其实是frida-trace产生js脚本文件,图片中的注释被我注释掉了,这个脚本文件其实是产生了一个匿名对象(js语法规定,{}可以用来产生一个对象),这个对象有两个成员onEnter和onLeave,而这两个成员实际上都指向了js的函数。实际上,这个匿名对象是  js库的回调对象(不知道这样称呼对不对),即当open函数被调用时这个对象的两个函数会被调用。其中,onEnter是open函数即将被执行时会被调用,而onLeave是open函数执行完毕时会被调用。

其它的工具的使用其实是类似的。我并没有再去使用别的工具,应为工具提供的功能还是太简单了。

5. 主控端和目标进程的交互(message)

Js脚本提供了向主控端发送数据的接口—send和从主控端接收数据的接口—recv,而在主控端是通过python脚本的回调来接收数据,并使用python提供的接口post来向目标进程发送数据。这里的数据需要是可以序列化成json字符串的。下面来看例子。

Python脚本代码如下:

  

  

将这个代码保存到文件modules.py,然后在cmd里面输入python modules.py,正常会看到下面:

  

在这段代码中,第8行是调用python的接口Session.create_script,其功能是根据参数字符串创建一个Scritp对象,其参数便是js脚本代码。这段js代码只有一个功能,就是调用js提供的接口send,向主控端发送数值9527.

后面最主要的是12-15行,12行代码是定义了一个python函数,其功能便是将参数输出到控制台。这两个参数是python回调接口需要的。而15行代码则是将这段脚本跟自己定义的python函数on_message联系在一起,最后通过接口load来执行js脚本。

然后,我们来看看python接口的源码实现,首先是Script.on接口,Script的实现是在frida-python /src/frida/core.py中,

  

  

这里可以到,最后是遍历调用列表中的回调。

换句话说,python的回调接口其实实现了了一个回调队列,它支持对接收的数据的多种解析方式。

6. Python接口和js接口

1)python接口

python接口提供的功能很少,而且基本都是用来获取进程、模块、函数的信息的。

python接口的实现都在frida-python里面了。

Python提供了一些全局接口,在文件frida-python \scr\frida\_init_.py里面,

  

  其中Get_usb_device可以获取当前连接到usb的设备,如果使用手机,一般使用这个函数获取手机设备。

  而其他的接口都在frida-python /src/frida/core.py里面,比如进程、模块、函数相关的操作:

  

  

这里面Session可以理解为一次会话,比如附加到某个进程则算是启动了一次会话,也可以理解为进程的抽象,Module则是模块的抽象,Function则为函数的抽象。

举个使用的例子。在session中有个接口enumerate_modules,用来枚举进程的模块,下面为源码:

  

  这里可以看到,函数最后把模块的信息放到了一个列表中,所以我的接口使用代码如下:

  

  

  这里需要注意的是,在使用frida的时候,首先第一步要做的是获取设备,我这里使用get_usb_device来获取手机设备,然后第二步要做的是指定要附加的进程,我这里附加的仍然是我手机上的浏览器。

然后我的代码其实很简单,就枚举进程模块,然后遍历列表,循环输出模块的名称,然后下图为输出结果:

  

  

  然后python的其它的接口使用很类似,这里就不一一列举了。

2) js接口

js接口就相当丰富了,接口功能包括但不限于进程操作、模块操作、内存操作、函数操作、线程操作、网络通信、数据流操作、文件操作、数据库操作、寄存器操作,并且官网有着详细的说明文档https://www.frida.re/docs/javascript-api/,对于每个接口的功能和参数给出了详细的解释,并且一部分接口还给出了例子。

下面来看一个遍历进程模块的简单示例。

Js接口中,Process.enumerateModules提供了模块遍历的功能,官方说明如下:

  

  这个接口需要一个回调对象,这个对象有两个成员,onMatch和onComplete,而这两个成员都是函数,当接口每遍历到一个模块时,便会调用回调对象的onMatch,此函数有个参数为module,它有四个成员,其意义见上图。我的js脚本如下:

  

  脚本内容很简单,就是将模块的名字发送到主控端,此脚本内容被我保存到文件TestFrida.js中了,然后python脚本如下:

  

  这个脚本内容也很简单,8-9行代码是附加到进程,12-14行代码是读取TestFrida.js中js脚本内容,16行代码则是关联消息接收函数,17行代码是执行脚本。然后,执行此python脚本,控制台会输出进程的模块名,如下:

  

7. 小结

本来想写一个深入浅出frida框架的文章,把frida的基本使用和框架原理都探索一遍,但是发现frida框架的内容太多,本身又是跨平台,完全超出了我的能力和精力,所以最后就得到了这么个算是frida科普的文章。所以就写到这里吧,还好基本的用法已经讲清楚了,在我看来,frida并非一个hook框架,而是一个非常方便和实用的分析工具。有机会我会再写一篇深入探索的文章,也欢迎各位坛友对本文进行指正。

转自:https://bbs.pediy.com/thread-226846.htm

frida(hook工具)的环境搭建的更多相关文章

  1. UI5-学习篇-1-Eclipse开发工具及环境搭建

    最近研究SAP-UI5好几个月了,将相关学习经历及问题点做个记录. 1.先了解学习资料相关站点 SAP官网:https://www.sap.com/china/index.html SAP开发工具:h ...

  2. 前端自动化构建工具——gulp环境搭建教程

    gulp是前端工程化的工具,它可以对html,css,js等代码和图片进行压缩,也可以对sass和less等预处理语言进行编译,代码部署.gulp学起来简单,用起来方便,大大提高我们工作效率. 这里可 ...

  3. 安卓稳定性压测工具_monkey环境搭建(简易)

    1.准备工具: sdk(64位操作系统):http://pan.baidu.com/s/1kV33pll sdk(32位操作系统):http://pan.baidu.com/s/1gfnww87 2. ...

  4. 自动化测试工具Appium环境搭建

    Appium是一个开源.跨平台的测试框架,可以用来测试原生及混合的移动端应用.Appium支持IOS.Android及FirefoxOS平台.Appium使用WebDriver的json wire协议 ...

  5. Linux系统——C/C++开发工具及环境搭建

    首先,我们是要在Linux下进行项目开发,让我们把windows“拆了”,装个Linux也是不可能的,会带来很多的不便,所以我们首先需要在虚拟机上安装Linux操作系统,我本次用的是CentOS,它也 ...

  6. .Net 转战 Android 4.4 日常笔记(1)--工具及环境搭建

    闲来没事做,还是想再学习一门新的技术,无论何时Android开发比Web的开发工资应该高40%,我也建议大家面对移动开发,我比较喜欢学习最新版本的,我有java的基础,但是年久,已经淡忘,以零基础学习 ...

  7. WebDriver自动化测试工具(1)---环境搭建

    Webdriver是一个前端自动化测试工具,可以模拟用户点击链接,填写表单,点击按钮等操作,下面介绍其使用 一.下载WebdriverC#类库以及对应浏览器驱动 http://www.selenium ...

  8. .Net Core 系列:1、环境搭建

    前言: 2016年6月28日微软宣布发布 .NET Core 1.0.ASP.NET Core 1.0 和 Entity Framework Core 1.0. .NET Core是微软在两年前发起的 ...

  9. .Net Core 环境搭建

    .Net Core 系列:1.环境搭建 前言: 2016年6月28日微软宣布发布 .NET Core 1.0.ASP.NET Core 1.0 和 Entity Framework Core 1.0. ...

随机推荐

  1. [LC] 129. Sum Root to Leaf Numbers

    Given a binary tree containing digits from 0-9 only, each root-to-leaf path could represent a number ...

  2. [LC] 169. Majority Element

    Given an array of size n, find the majority element. The majority element is the element that appear ...

  3. SHELL用法七(Sed语句)

    1.SHELL编程Sed语句案例实战 1)SHELL编程四剑客之二的Sed工具,主要是用于Linux系统文本文件的编辑. 打印的,也称为非交互模式编辑器(vi|vim交互模式编辑器),Sed工具的语法 ...

  4. 关于js中的比较时遇到的坑

    关于JavaScript中比较遇到的坑 当你的要比较数字的大小但是你的数字确是字符串时,就会出错比如说: console.log('5' > '6') // fasle consloe.log( ...

  5. u盘出现大文件无法复制的解决

    如果u盘出现大文件无法复制的情况,修改U盘的文件系统格式: 把U盘格式化为NTFS格式.  FAT32的都不能放4G+的文件;右键格式化里如果没有NTFS,就在开始运行里输入cmd 然后输入" ...

  6. Luogu_2061_[USACO07OPEN]城市的地平线City Horizon

    题目描述 Farmer John has taken his cows on a trip to the city! As the sun sets, the cows gaze at the cit ...

  7. unittest(6)- 作业- 测试类中写多个函数

    实践作业:对多个接口发起请求,测试类中写多个测试函数 # 1. http_request import requests class HttpRequest: def http_request(sel ...

  8. TNS-04612: "orcl--117-118" 的 RHS 为空

    安装数据库时,TNS-04612: "orcl--117-118" 的 RHS 为空 解决办法: 把 D:\app\xxx\product\11.2.0\dbhome_1\NETW ...

  9. Servlet与JSP概念理解

    Servlet是用Java编写的服务端程序.需要部署到servlet容器上才能运行,tomcat 就是一个servlet容器. 1.Servlet的生命周期 客户端请求该 Servlet --> ...

  10. 传统if 从句子——以条件表达式作为if条件

    传统if 从句子——以条件表达式作为 if条件if [ 条件表达式 ]then command command commandelse command commandfi   条件表达式 文件表达式 ...