安卓逆向|菜鸟的FRIDA学习笔记:inline_hook的简单食用

本文致谢

本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下(这个男人啥都会,还能陪你在线撩骚)。

安卓逆向|菜鸟的FRIDA学习笔记:inline_hook的简单食用_第1张图片

上周末在家闲着无聊逛看雪论坛时,看到了这篇帖子:

https://bbs.pediy.com/thread-260783.htm

看到最后,查看了R7寄存器的值,顿时灵机一闪,刚学过了肉丝大佬教过的inline_hook,是不是可以直接打印R7的值?

先用IDA分析一波:

安卓逆向|菜鸟的FRIDA学习笔记:inline_hook的简单食用_第2张图片

根据文章的提示,直接定位到这两行代码:

.text:00013F8C FE F7 2A E8                             BLX             j__Z3RC4PKhiS0_iPhPi ; RC4(uchar const*,int,uchar const*,int,uchar *,int *)
.text:00013F90 00 28                                   CMP             R0, #0

作者说的是直接在这个cmp指令这里下断点,因此我也直接Hook这一行指令,看到偏移是 0x13F90,而它与上的指令只相隔2个字节,因此还需要 +1,所以内存中的真正偏移是 0x13F91。

思路就是根据so的基址 + 偏移来进行Hook,然后打印出相应寄存器的值(R7)即可。

很快,就写出了下面的代码:

function inline_hook() 
{
  var so_addr = Module.findBaseAddress("libwolf.so");
  if (so_addr) 
  {
    console.log("so_addr:", so_addr);
    var addr_13F91 = so_addr.add(0x13F91);
    console.log("The addr_13F91:", addr_13F91);
    Java.perform(function () 
    {
      Interceptor.attach(addr_13F91, 
      {
        onEnter: function (args)
        {
          console.log("addr_13F91 OnEnter :", Memory.readCString(this.context.r7));
        },onLeave: function (retval) {},
      })
    })
  }
}


setImmediate(inline_hook)

手机上打开app,让so加载进来,然后用frida进行Hook:

安卓逆向|菜鸟的FRIDA学习笔记:inline_hook的简单食用_第3张图片

这个时候需要输入字符串,并按下按钮,触发_Z7DecryptPKcS0_函数的调用,随便输入一个字符串,然后按下 VERIFY IT! 按钮,看到frida脚本有输出:

安卓逆向|菜鸟的FRIDA学习笔记:inline_hook的简单食用_第4张图片

可以看到轻而易举的就看到了结果,虽然是站在别人肩膀上的。哈哈。

思考:既然可以读取寄存器的值,那是否可以进行更改呢,然后让某些条件指令按相反的逻辑跳转?

你可能感兴趣的:(js,javascript,ios,ai,嵌入式)