frida脚本,自动化寻址JNI方法
版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/
1. 通过 ArtMethod 结构体找到 jni 方法在内存中的地址,并把寻址方法通过 rpc.exports 暴露给 Python 脚本调用
jni_addr.js
let entry_point_from_jni_offset = -1;/*** 找到 entry_point_from_jni_ 在 ArtMethod 结构体中的偏移量(根据 Android 版本不同可能会变化)** @returns {number} 返回 entry_point_from_jni_ 的偏移量,若未找到返回 -1*/
function get_jni_offset() {// 如果偏移量已经计算过(不为 -1),直接返回已保存的偏移量if (entry_point_from_jni_offset !== -1) {return entry_point_from_jni_offset;}// 获取 getUidForName JNI 方法的内存地址,该方法位于 "libandroid_runtime.so" 中let native_addr = Module.findExportByName("libandroid_runtime.so", "_Z32android_os_Process_getUidForNameP7_JNIEnvP8_jobjectP8_jstring");// console.log("native_addr:",native_addr);// 目标类名 "android.os.Process"let className = "android.os.Process";// 使用 Java.use 获取该类的 Java 类对象,并访问其 Class 对象let clazz = Java.use(className).class;// 获取该类的所有声明的方法let methods = clazz.getDeclaredMethods();// 遍历类中的所有方法for (let i = 0; i < methods.length; i++) {// 获取方法的字符串表示形式(如方法的完整签名)let methodName = methods[i].toString();// 获取方法的修饰符,flags 是该方法的访问标志(修饰符),如 public、private、static、native 等let flags = methods[i].getModifiers();// 通过与 256 位运算判断方法是否为 native 方法(256 代表 native 修饰符)if (flags & 256) {// 如果方法名中包含 "getUidForName",说明找到了目标方法if (methodName.indexOf("getUidForName") != -1) {// 获取该方法的 ArtMethod 对象(ArtMethod 是方法的内部表示,包含了方法的很多底层信息)let art_method = methods[i].getArtMethod();// 遍历从 ArtMethod 开始的内存地址,以找到与 native_addr 相等的 JNI 函数地址for (let j = 0; j < 30; j = j + 1) {// 读取 ArtMethod 的内存偏移位置,尝试获取 JNI 函数地址let jni_native_addr = Memory.readPointer(ptr(art_method + j));// 比较 JNI 函数地址是否与我们查找到的 native_addr 相等if (native_addr.equals(jni_native_addr)) {// 找到正确的偏移量,将其保存并返回entry_point_from_jni_offset = j;return j;}}}}}// 如果未找到 JNI 方法对应的偏移量,返回 -1return -1;
}/*** 遍历类中的 native 方法,打印 JNI 函数的地址、所属模块,以及模块中的偏移量。** 调用示例:get_jni_method_addr("lte.NCall")** @param className 类名*/
function get_jni_method_addr(className) {Java.perform(function () {// 获取指定类的 Class 对象let obj = Java.use(className);let clazz = obj.class;// 获取当前系统的 JNI 偏移量let jni_offset = get_jni_offset();// 获取该类中的所有声明的方法let methods = clazz.getDeclaredMethods();// 遍历类中的所有方法for (let i = 0; i < methods.length; i++) {// 将方法转为字符串形式(完整的描述,包括修饰符、返回类型、参数等)let methodName = methods[i].toString();// 获取方法的修饰符,flags 代表访问权限和其他属性(如 native 修饰符)let flags = methods[i].getModifiers();// 检查该方法是否为 native 方法(通过与 256 位运算判断,256 代表 native 修饰符)if (flags & 256) {// 获取该方法的 ArtMethod 对象,ArtMethod 是方法在 ART 虚拟机中的内部表示let art_method = methods[i].getArtMethod();// 通过 ArtMethod 的内存地址 + jni_offset = JNI 函数地址let native_addr = Memory.readPointer(ptr(art_method + jni_offset));// 根据 JNI 函数地址中找到所在的模块,并计算该函数在模块中的偏移量let module;let offset;// 打印方法名console.log("methodName->", methodName);try {// 通过函数地址找到所属的模块module = Process.getModuleByAddress(native_addr);// 计算函数在模块中的偏移量(函数地址减去模块基地址)offset = native_addr - module.base;// 打印模块名称及偏移量,偏移量以十六进制格式显示,并且字母大写console.log("Func.offset==", module.name, "0x" + offset.toString(16).toUpperCase());} catch (err) {}// 打印该方法的 JNI 函数地址console.log("Func.getArtMethod->native_addr:", native_addr.toString().toUpperCase());// console.log("Func.flags->", flags);}}})
}// 暴露给 Python 调用(注意:exports中函数名需要全部小写,而且不能有下划线,不然会找不到方法)
rpc.exports.getjnimethodaddr = get_jni_method_addr
2. 在 python 脚本中加载 jni_addr.js 并调用 get_jni_method_addr 方法打印指定类中所有 native 方法的内存地址
jni_addr.py
import fridadef read_frida_js_source(script):with open(script, "r", encoding='utf-8') as f:return f.read()def on_message(message, data):print(f"消息: {message['type']}, 数据: {message['payload']}")def main():class_name = "com.cyrus.example.MainActivity"device = frida.get_device_manager().add_remote_device("127.0.0.1:1234")pid = device.get_frontmost_application().pidsession: frida.core.Session = device.attach(pid)script = session.create_script(read_frida_js_source("jni_addr.js"))script.on('message', on_message)script.load()script.exports.getjnimethodaddr(class_name)# 退出session.detach()if __name__ == "__main__":main()
运行python脚本,执行结果如下
methodName-> public final native java.lang.String com.cyrus.example.MainActivity.getNativeString()
Func.offset== libnative-lib.so 0x24F10
Func.getArtMethod->native_addr: 0X77518B6F10
具体原理可以参考这篇文章【使用 Frida 定位 JNI 方法内存地址】
相关文章:
frida脚本,自动化寻址JNI方法
版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/ 1. 通过 ArtMethod 结构体找到 jni 方法在内存中的地址,并把寻址方法通过 rpc.exports 暴露给 Python 脚本调用 jni_addr.js let entry_point_fr…...
MySQL中between and的基本用法
文章目录 一、between and语法二、使用示例2.1、between and数值查询2.2、between and时间范围查询2.3、not between and示例 BETWEEN AND操作符可以用于数值、日期等类型的字段,包括边界值。 一、between and语法 MySQL中的BETWEEN AND操作符用于在两个值之间选择…...
Ceph 存储系统全解
1. 引言 什么是 Ceph? Ceph 是一个开源的分布式存储系统,旨在提供高性能、可扩展、无单点故障的统一存储平台。它可以同时支持对象存储、块存储和文件系统存储,能够满足不同存储需求的多种应用场景。Ceph 通过其强大的 RADOS(可…...
C# ftp帮助类 项目实战优化版
上位机开发中有时要与客户的文件服务器进行数据交互。如Mapping文件下载。结果文件上传等。我在项目中就常用到。现在把项目实战代码进行分享一下。 功能列表:连接服务器,下载文件,上传文件,删除服务器文件,获取当前目…...
栈和队列相关|有效的括号|用队列实现栈|用栈实现队列|设计循环队列(C)
20. 有效的括号 判断左右括号是否匹配,匹配返回true,不匹配返回false 通过栈来实现,类型和顺序,数量都要匹配 控制数量通过size 每个右括号都要找最近的左括号去判断类型匹配不匹配,顺序匹配不匹配 最后来判断数量匹配…...
云原生后端开发教程
云原生后端开发教程 引言 随着云计算的普及,云原生架构逐渐成为现代软件开发的主流。云原生不仅仅是将应用部署到云上,而是一种构建和运行应用的方式,充分利用云计算的弹性和灵活性。本文将深入探讨云原生后端开发的核心概念、工具和实践&a…...
TortoiseSVN小乌龟下载安装(Windows11)
目录 TortoiseSVN 1.14.7工具下载安装 TortoiseSVN 1.14.7 工具 系统:Windows 11 下载 官网:https://tortoisesvn.subversion.org.cn/downloads.html如图选 TortoiseSVN 1.14.7 - 64 位 下载完成 安装 打开 next,next Browse…...
Android adb命令获取设备id
Android adb命令获取设备id 方式很多,以下均可获得Android device id: adb shell settings get secure android_id adb shell settings get secure android_id adb devices -l adb shell content query --uri content://settings/secure --where "…...
Skywalking教程一
Skywalking教程一 概述Skywalking功能特点: 概述 一个大型分布式系统架构,监控平台是必不可少的,常用的分布式系统监控平台有:SkyWalking和Prometheus。Skywalking是一款比较优秀的分布式系统监控平台,一款分布式系统…...
React中管理state的方式
使用useState 使用useReducer 既然已经有了useState,为什么还需要useReducer呢? 那么useReducer是如何将解决这些问题的呢? reducer是如何更新state的呢? reducer的工作方式非常类似JavaScript中的reduce方法,随着时…...
服务器数据恢复—RAID5阵列中部分成员盘重组RAID5阵列后如何恢复原raid5阵列数据?
服务器数据恢复环境: 一台服务器挂接一台存储,该存储中有一组由5块硬盘组建的RAID5阵列。 服务器故障: 存储raid5阵列中有一块硬盘掉线。由于RAID5的特性,阵列并没有出现问题。工作一段时间后,服务器出现故障ÿ…...
【Linux】文件切割排序 cut sort
文章目录 Linux文件切割命令:cut1. cut命令的基本用法2. cut命令的选项和参数3. cut命令的实际应用案例 Linux文件排序命令:sort1. sort命令的基本用法2. sort命令的选项和参数3. sort命令的实际应用案例 常见问题和解决方案1. cut和sort命令的联合使用2…...
零售EDI:HornBach EDI 项目案例
HornBach 是一家总部位于德国的家居和建筑材料零售商,成立于1968年。它以大型仓储式商店而闻名,提供广泛的产品,包括建筑材料、园艺、家居装饰和工具等。 近期我们帮助HornBach的供应商W公司成功实现了与HornBach的EDI直连,除了满…...
SpringBoot 集成RabbitMQ 实现钉钉日报定时发送功能
文章目录 一、RabbitMq 下载安装二、开发步骤:1.MAVEN 配置2. RabbitMqConfig 配置3. RabbitMqUtil 工具类4. DailyDelaySendConsumer 消费者监听5. 测试延迟发送 一、RabbitMq 下载安装 官网:https://www.rabbitmq.com/docs 二、开发步骤:…...
基于java ssm springboot女士电商平台系统源码+文档设计
基于java ssm springboot女士电商平台系统源码文档设计 🍅 作者主页 网顺技术团队 🍅 欢迎点赞 👍 收藏 ⭐留言 📝 🍅 文末获取源码联系方式 📝 🍅 查看下方微信号获取联系方式 承接各种定制系统…...
Matlab数字信号处理——基于改进小波变换的图像去噪方法(7种去噪算法)
1.基于小波变换的阈值收缩法去噪 该方法利用小波变换分离出信号中的噪声成分,并通过设置合适的阈值对小波系数进行收缩,保留主要信息的同时,去除噪声。 %基于小波变换的阈值收缩法去噪算法 clear clc Iimread(nana.png); X im2double(I); …...
leetcode hot100【LeetCode 70. 爬楼梯】java实现
LeetCode 70. 爬楼梯 题目描述 假设你正在爬楼梯。需要 n 阶你才能到达楼顶。 每次你可以爬 1 或 2 个台阶。你有多少种不同的方法可以爬到楼顶呢? 注意: 给定 n 是一个正整数。 示例 1: 输入:n 2 输出:2 解释&…...
Java异常2
异常抛出的两种形式: 系统隐式抛出;int n10/0;—隐式抛出一个异常;手动抛出异常:throw new Exception(); import java.util.InputMismatchException; import java.util.Scanner;public class Main {public static void main(Str…...
2024熵密杯初始题2
问题简要: 已知 counter 0x7501E6EA token 0xF4CE927C79B616E8E8F7223828794EEDF9B16591AE572172572D51E135E0D21A 伪造出另一个可以通过验证的counter和token。 给出token生成及验证代码如下: import binascii from gmssl import sm3# 读取HMAC ke…...
echarts属性之title
title 标题组件,包含主标题和副标题。 在 ECharts 2.x 中单个 ECharts 实例最多只能拥有一个标题组件。但是在 ECharts 3 中可以存在任意多个标题组件,这在需要标题进行排版,或者单个实例中的多个图表都需要标题时会比较有用。 例如下面不…...
VUE errolog, vue 错误集
I) installation As to command “npm install” on cmd or powershell, we must execute it under the program folder...
驱动开发系列13 - Linux tasklet用法介绍
一:概述 Tasklet 是 Linux 内核中的一种轻量级任务调度机制,通常用于在中断上下文中执行短小的任务。它们在软中断处理过程中被调用,允许将较长的处理工作延后到一个较低优先级的上下文中,以减少中断处理的延迟。Tasklet 的使用可以帮助开发者更好地管理系统资源,提高性能…...
redis实现分布式锁,go实现完整code
Redis分布式锁 Redis 分布式锁是一种使用 Redis 数据库实现分布式锁的方式,可以保证在分布式环境中同一时间只有一个实例可以访问共享资源。 实现机制 以下是实现其加锁步骤: 获取锁 在 Redis 中,一个相同的key代表一把锁。是否拥有这把锁&…...
解析日期、编码
解析日期 这里指的是将字符串或者object类型的日期,转换成panda或python的日期类型。 主要的是dtype的变化:object / str —> datetime64[ns] # modules well use import pandas as pd import numpy as np import seaborn as sns import datetime# …...
【Qt】QApplication::restoreOverrideCursor():恢复鼠标光标到原始状态的用法解析
restoreOverrideCursor() 是 Qt 中 QApplication 类提供的一个静态函数,用来恢复鼠标光标到应用程序之前设置的状态。 在 Qt 中,你可以使用 QApplication::setOverrideCursor() 来临时更改鼠标光标的外观。例如,当执行一些耗时操作时&#x…...
重生之“我打数据结构,真的假的?”--2.单链表(无习题)
C语言中的单链表总结 单链表是一种基础的数据结构,广泛应用于C语言编程中。它由节点组成,每个节点包含数据和指向下一个节点的指针。单链表的优点在于动态内存分配和高效的插入与删除操作。本文将详细探讨单链表的定义、基本操作、应用场景以及相关示例…...
【有啥问啥】视频插帧算法技术原理详解
视频插帧算法技术原理详解 引言 视频插帧(Video Interpolation)技术,作为计算机视觉领域的一项重要应用,旨在通过算法手段在已有的视频帧之间插入额外的帧,从而提升视频的帧率,使其看起来更加流畅。这一技…...
Leetcode148,109以及二者的合并 -> Tencent面试算法题 - 无序双向链表转BST
根源简述 这道题是腾讯在2024/8/30考的一道面试题,整体来说,难度不大,就是代码量稍稍有点儿大,让我们一起来看一下吧 题目描述 整数无序双向链表能否转BST(二叉搜索树),如果能,怎么转…...
【蓝桥杯选拔赛真题77】python计算小球 第十五届青少年组蓝桥杯python选拔赛真题 算法思维真题解析
目录 python计算小球 一、题目要求 1、编程实现 2、输入输出 二、算法分析 三、程序编写 四、程序说明 五、运行结果 六、考点分析 七、 推荐资料 1、蓝桥杯比赛 2、考级资料 3、其它资料 python计算小球 第十五届蓝桥杯青少年组python比赛选拔赛真题 一、题目要…...
获取Hive表备注
DESCRIBE EXTENDED 表名;先获取Detailed Table Information这行的data_type字段数据,进行正则匹配,拿到表备注,如下: String str ReUtil.get("parameters:\\{(?!.*?\\().*transient_lastDdlTime.*?comment(.*?)\\}&quo…...
微信php网站开发流程/免费的网站软件
js包含全局作用域,函数作用域 es6语法:块级作用域 1,作用域 https://blog.csdn.net/qappleh/article/details/80311443 (作用域的理解) https://blog.csdn.net/yueguanghaidao/article/details/9568071 ÿ…...
开展建设文明网站活动方案/可以免费投放广告的平台
for Text1 in cat uniq1 dofor Text2 in cat uniq2doif [ "$Text1" "$Text2" ]thenecho $Text1 >> thesamefidone done...
线上报名小程序怎么做/湖南seo优化价格
https://blog.csdn.net/bazhidao0031/article/details/81450815 转载于:https://www.cnblogs.com/guochen/p/10340837.html...
培训销售网站建设/免费b2b推广网站
一.先以非授权的模式启动MongoDB非授权: linux/Mac : mongod -f /mongodb/etc/mongo.conf windows : mongod --config c:\mongodb\etc\mongo.conf 或者 net start mongodb (前提是mongo安装到了服务里面) 备注: /mongodb/etc/mong…...
泰州市建设监理协会网站/网络营销活动案例
作为一只linux菜的不能更菜的鸟,在linux前台运行了一个服务后,我必须退出后才能执行其他命令,可是我的服务需要一直运行,于是我同事就给我在该命令后加了">/dev/null 2>&1"据说是这条命令就可以转向后台了&am…...
企业网站托管服务常用指南/百度关键词点击排名
您好,我是独立顾问(Independent Advisor)Dexter,请让我来帮助您.WSL和Windows主系统之间的文件系统是可以互相访问的。如果在WSL中访问Windows系统的文件,可在根目录下/mnt/看到对应Windows盘符字母的文件夹,通过这些文件夹即可访问Windows的文件系统。如…...