首页
论坛
课程
招聘
[原创]Frida从入门到入门—安卓逆向菜鸟的frida食用说明
2018-5-18 01:24 53813

[原创]Frida从入门到入门—安卓逆向菜鸟的frida食用说明

2018-5-18 01:24
53813

1. 概述

   Frida是个轻量级so级别的hook框架,它可以帮助逆向人员对指定的进程的so模块进行分析。它主要提供了功能简单的python接口和功能丰富的js接口,使得hook函数和修改so编程化,值得一提的是接口中包含了主控端与目标进程的交互接口,由此我们可以即时获取信息并随时进行修改。使用frida可以获取进程的信息(模块列表,线程列表,库导出函数),可以拦截指定函数和调用指定函数,可以注入代码,总而言之,使用frida我们可以对进程模块进行手术刀式剖析。

  它主要的工作方式是将脚本库注入到目标进程,在目标进程执行脚本。这里需要注意的是,它是将脚本库注入到已经启动的进程,但并不是说,对于进程初始化所做的动作,frida无能为力,frida提供了一个接口spawn,可以启动并暂时挂起进程,然后待我们布置好hook代码后再恢复进程运行,但是这个时间很短,大概2秒,也可能是我的使用姿势不对,求大佬指正。

  此外,frida提供了相关的文档,但是frida官网提供的关于python接口的文档实在是少的可怜,连工具命令行的参数都没有,这点需要下载frida的python接口的源代码自己去分析了。值得高兴的一点是,Frida官网提供的js接口的文档稍微详细一些,并附有一些可喜的例子。

  除了用于脚本编程的接口外,frida还提供了一些简单的工具,比如查看进程列表,追踪某个库函数等。

  剩下就是关于frda学习路线了,Frida的学习还是蛮简单的,只需要了解两方面的内容:

    1)主控端和目标进程的交互(message)

    2)Python接口和js接口(查文档)

  由于本人现在在研究安卓的内容,所以所有的例子都是安卓相关的。而且由于本人没有python和js语言基础,所以文档中会有一些语法说明的地方,有基础的人可忽略。

2. 资源和环境

     Windows7 X64

      Python 2.7

      Pip-10.0.1

      小米5 anroid7.0

      这里列出了frida的相关的可下载的资源。

      Frida官网:https://www.frida.re/

       Frida源码:https://github.com/frida

3. Frida安装

   Frida的安装很简单,需要在windows安装frida客户端和在安卓安装frida服务端。

   1)在windows安装客户端

      安装python和pip这里就不说了,记得添加环境变量,安装完python和pip之后,打开CMD,使用命令 pip install frida,我这里因为已经安装过了,所以下面显示的信息不同。



   2) 在手机中安装服务端

      首先到github上下载frida-server,网址为https://github.com/frida/frida/releases,从网址可以看到,frida提供了各种系统平台的server,我的手机为小米5,是64 arm,所以我下载的为arm64


    解压后,使用adb将frida-server放到手机目录/data/local/tmp,然后修改属性为可执行


  3) 测试

    首先启动手机上的frida服务器,记得要以root权限启动,


    然后在windows主机上另外开启一个cmd,输入命令 frida-ps -U ,这行命令是列出手机上所有的进程信息,如果出现进程信息则说明环境搭配成功:


4. Frida工具

  1) 工具总体概述

    Frida提供了四个工具,frida-trace,frida-ps,frida,frida-discover,这些工具都位于python的Scripts路径下,


    比较遗憾的是,frida官网并未提供这些工具使用的详细文档,我没有找到这些工具的命令行参数的详细说明。这些工具实际都是基于frida的python接口实现的。所以,如果想深入了解这些工具的使用,需要借助frida的源码。

    源码的网址为https://github.com/frida/frida-python。其中,值得注意的是部分参数的解析位于文件frida-python /src/frida/application.py中的ConsoleApplication类中,这个类也是其它工具的实现类的父类,所以这个类中的参数也是可以用到这些工具中的,


    我看到这里其实是有帮助信息的,但是我这个python小菜真不知道怎么把它们打印出来。呜呜。。。

    上图中的几个选项需要注意一下,-U值得是usb设备,-R值得是网络端口设备,-f可以指定进程文件名。

   2)frida-trace介绍

    这里简单介绍个工具的使用,比如frida-trace,这个工具可以用来追踪指定的函数的调用。这个工具的实现位于文件frida-python /src/frida/tracer.py中,下图为参数:


    这个参数的解析位于类TraceApplication,而这个类又继承自ConsoleApplication


    所以,之前的-U等参数在这个工具也是可以使用的。Frida-trace的参数这里就不特别翻译了,需要注意的是,这些参数都是可以使用通配符的,这里我真觉得frida好厉害。

  3) frida-trace的使用例子

    使用下面的命令行来追踪open函数,目标进程为我手机上的浏览器,其中com.android.browser是我浏览器的包名,-U是指使用usb设备,应为我的手机就是使用usb连接电脑的,-i 选项是指所要追踪的函数的函数名,这里其实可以使用通配符,比如“*open”指的是以open结尾的函数。

    frida-trace -i "open" -U com.android.browser

    然后在浏览器上随便点击,可以得到下面的内容:


     当open函数被调用的时候则会打印日志到屏幕。在上图中有个文件路径,根据路径打开文件可以看到下面的内容:


    这个文件其实是frida-trace产生js脚本文件,图片中的注释被我注释掉了,这个脚本文件其实是产生了一个匿名对象(js语法规定,{}可以用来产生一个对象),这个对象有两个成员onEnter和onLeave,而这两个成员实际上都指向了js的函数。实际上,这个匿名对象是js库的回调对象(不知道这样称呼对不对),即当open函数被调用时这个对象的两个函数会被调用。其中,onEnter是open函数即将被执行时会被调用,而onLeave是open函数执行完毕时会被调用。

   其它的工具的使用其实是类似的。我并没有再去使用别的工具,应为工具提供的功能还是太简单了。

5. 主控端和目标进程的交互(message)

  Js脚本提供了向主控端发送数据的接口—send和从主控端接收数据的接口—recv,而在主控端是通过python脚本的回调来接收数据,并使用python提供的接口post来向目标进程发送数据。这里的数据需要是可以序列化成json字符串的。下面来看例子。

  Python脚本代码如下:


  将这个代码保存到文件modules.py,然后在cmd里面输入python modules.py,正常会看到下面:


  在这段代码中,第8行是调用python的接口Session.create_script,其功能是根据参数字符串创建一个Scritp对象,其参数便是js脚本代码。这段js代码只有一个功能,就是调用js提供的接口send,向主控端发送数值9527.

  后面最主要的是12-15行,12行代码是定义了一个python函数,其功能便是将参数输出到控制台。这两个参数是python回调接口需要的。而15行代码则是将这段脚本跟自己定义的python函数on_message联系在一起,最后通过接口load来执行js脚本。

  然后,我们来看看python接口的源码实现,首先是Script.on接口,Script的实现是在frida-python /src/frida/core.py中,



  上图中可以看出,其实on_message最后是放在了一个列表中,而当目标进程的消息来的时候,调用的是Sript. _on_message,其核心代码如下:


  这里可以到,最后是遍历调用列表中的回调。

  换句话说,python的回调接口其实实现了了一个回调队列,它支持对接收的数据的多种解析方式。

6. Python接口和js接口

  1)python接口

    python接口提供的功能很少,而且基本都是用来获取进程、模块、函数的信息的。

    python接口的实现都在frida-python里面了。

    Python提供了一些全局接口,在文件frida-python \scr\frida\_init_.py里面,


   其中Get_usb_device可以获取当前连接到usb的设备,如果使用手机,一般使用这个函数获取手机设备。

   而其他的接口都在frida-python /src/frida/core.py里面,比如进程、模块、函数相关的操作:


    这里面Session可以理解为一次会话,比如附加到某个进程则算是启动了一次会话,也可以理解为进程的抽象,Module则是模块的抽象,Function则为函数的抽象。

    举个使用的例子。在session中有个接口enumerate_modules,用来枚举进程的模块,下面为源码:


    

这里可以看到,函数最后把模块的信息放到了一个列表中,所以我的接口使用代码如下:



    这里需要注意的是,在使用frida的时候,首先第一步要做的是获取设备,我这里使用get_usb_device来获取手机设备,然后第二步要做的是指定要附加的进程,我这里附加的仍然是我手机上的浏览器。

    然后我的代码其实很简单,就枚举进程模块,然后遍历列表,循环输出模块的名称,然后下图为输出结果:


    然后python的其它的接口使用很类似,这里就不一一列举了。

   2) js接口

    js接口就相当丰富了,接口功能包括但不限于进程操作、模块操作、内存操作、函数操作、线程操作、网络通信、数据流操作、文件操作、数据库操作、寄存器操作,并且官网有着详细的说明文档https://www.frida.re/docs/javascript-api/,对于每个接口的功能和参数给出了详细的解释,并且一部分接口还给出了例子。

    下面来看一个遍历进程模块的简单示例。

    Js接口中,Process.enumerateModules提供了模块遍历的功能,官方说明如下:


     这个接口需要一个回调对象,这个对象有两个成员,onMatch和onComplete,而这两个成员都是函数,当接口每遍历到一个模块时,便会调用回调对象的onMatch,此函数有个参数为module,它有四个成员,其意义见上图。我的js脚本如下:


    脚本内容很简单,就是将模块的名字发送到主控端,此脚本内容被我保存到文件TestFrida.js中了,然后python脚本如下:


    这个脚本内容也很简单,8-9行代码是附加到进程,12-14行代码是读取TestFrida.js中js脚本内容,16行代码则是关联消息接收函数,17行代码是执行脚本。然后,执行此python脚本,控制台会输出进程的模块名,如下:


7. 小结

    本来想写一个深入浅出frida框架的文章,把frida的基本使用和框架原理都探索一遍,但是发现frida框架的内容太多,本身又是跨平台,完全超出了我的能力和精力,所以最后就得到了这么个算是frida科普的文章。所以就写到这里吧,还好基本的用法已经讲清楚了,在我看来,frida并非一个hook框架,而是一个非常方便和实用的分析工具。有机会我会再写一篇深入探索的文章,也欢迎各位坛友对本文进行指正。


[注意] 欢迎加入看雪团队!base上海,招聘安全工程师、逆向工程师多个坑位等你投递!

最后于 2019-2-1 17:47 被kanxue编辑 ,原因:
收藏
点赞3
打赏
分享
最新回复 (18)
雪    币: 15
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
idlepeople 活跃值 2018-5-18 07:41
2
1
好文,谢谢分享
雪    币: 2016
活跃值: 活跃值 (491)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
大众 活跃值 2018-5-18 09:03
3
0
很不错的FRIDA入门文章...
雪    币: 11
活跃值: 活跃值 (222)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
暴强 活跃值 2018-5-18 09:33
4
0
frida是我使用过最好的hook框架,简单易用,不过很多功能不全,比如:script  debugging。
你这篇文章只能算是入门。
基于frida,可以开发出各种各样的功能。
雪    币: 59
活跃值: 活跃值 (405)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
iceway 活跃值 2018-5-18 20:54
5
0
frida是目前最屌的工具,没有之一
雪    币: 6817
活跃值: 活跃值 (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
聖blue 活跃值 2018-5-24 23:04
6
0
雪    币: 232
活跃值: 活跃值 (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dryzh 活跃值 2018-5-28 22:11
7
0
小溪一波
雪    币: 234
活跃值: 活跃值 (378)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
安卓qq 活跃值 2018-6-16 01:53
8
0
大神,Frida  能hook      so方法里面的参数么
雪    币: 4
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
myeanngg 活跃值 2018-6-19 21:24
9
0
希望楼主把frida的其他东西也出个教程
雪    币: 222
活跃值: 活跃值 (533)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小黄鸭爱学习 活跃值 2019-8-2 17:22
10
0
服了 最新版enumerate_modules居然没有了 请问要如何枚举进程的模块
雪    币: 1168
活跃值: 活跃值 (733)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
lushanu 活跃值 2019-8-12 22:05
11
0
小黄鸭爱学习 服了 最新版enumerate_modules居然没有了 请问要如何枚举进程的模块
同问,太坑了,我去看源码,确实没了
雪    币: 1168
活跃值: 活跃值 (733)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
lushanu 活跃值 2019-8-13 08:33
12
0
小黄鸭爱学习 服了 最新版enumerate_modules居然没有了 请问要如何枚举进程的模块
作者的回答
>The utility APIs were removed as I realized there would always be APIs that would be clunky to export, where certain performance tradeoffs have to be made, and also doing this in every language binding would be a waste of time. So instead, use the RPC API (see our JS reference docs) to expose what you need to the Python side
雪    币: 222
活跃值: 活跃值 (533)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小黄鸭爱学习 活跃值 2019-8-13 16:26
13
0
wx_LU-S 作者的回答 >The utility APIs were removed as I realized there would always be APIs that would be clun ...
确实移到了JS API的Process里面去了
雪    币: 266
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gqm 活跃值 2019-8-19 02:07
14
0
作者可以加您微信吗
雪    币: 266
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gqm 活跃值 2019-8-21 16:37
15
0
您好,可以联系您定做个东西吗?请问如何联系
雪    币: 878
活跃值: 活跃值 (312)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
System32 活跃值 2019-11-22 11:22
16
0
 作者大佬 我监控了open 及其他的函数 它有时候监控显示的oepn函数颜色不一样,是代表了什么?
雪    币: 1
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
qq1091192337 活跃值 2020-3-23 08:27
17
0
真就从入门到入门
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
Spectre_ 活跃值 2020-5-4 16:42
18
0
教程很详细,谢谢!
游客
登录 | 注册 方可回帖
返回