共计 3265 个字符,预计需要花费 9 分钟才能阅读完成。
抖音数据采集教程,动动态联合逆向 WhatsApp
0x01.hook 办法的所有重载
在一篇文章带你领悟 Frida 的精华一文中,咱们曾经学会了对放的重载进行解决的办法,咱们先回顾一下代码:
my_class.fun.overload("int" , "int").implementation = function(x,y){my_class.fun.overload("java.lang.String").implementation = function(x){也就是说咱们须要结构一个重载的数组,并把每一个重载都打印进去。咱们间接上代码:
// 指标类
var hook = Java.use(targetClass);
// 重载次数
var overloadCount = hook[targetMethod].overloads.length;
// 打印日志:追踪的办法有多少个重载
console.log("Tracing" + targetClassMethod + "[" + overloadCount + "overload(s)]");
// 每个重载都进入一次
for (var i = 0; i < overloadCount; i++) {
//hook 每一个重载
hook[targetMethod].overloads[i].implementation = function() {console.warn("\n*** entered" + targetClassMethod);
// 能够打印每个重载的调用栈,对调试有微小的帮忙,当然,信息也很多,尽量不要打印,除非剖析陷入僵局
Java.perform(function() {var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
console.log("\nBacktrace:\n" + bt);
});
// 打印参数
if (arguments.length) console.log();
for (var j = 0; j < arguments.length; j++) {console.log("arg[" + j + "]:" + arguments[j]);
}
// 打印返回值
var retval = this[targetMethod].apply(this, arguments); // rare crash (Frida bug?)
console.log("\nretval:" + retval);
console.warn("\n*** exiting" + targetClassMethod);
return retval;
}
}这样咱们对于办法的所有重载就解决好了,接下来是枚举所有办法。
0x02.hook 类的所有办法
还是间接上代码:
function traceClass(targetClass)
{
//Java.use 是新建一个对象哈,大家还记得么?var hook = Java.use(targetClass);
// 利用反射的形式,拿到以后类的所有办法
var methods = hook.class.getDeclaredMethods();
// 建完对象之后记得将对象开释掉哈
hook.$dispose;
// 将办法名保留到数组中
var parsedMethods = [];
methods.forEach(function(method) {parsedMethods.push(method.toString().replace(targetClass + ".", "TOKEN").match(/\sTOKEN(.*)\(/)[1]);
});
// 去掉一些反复的值
var targets = uniqBy(parsedMethods, JSON.stringify);
// 对数组中所有的办法进行 hook,traceMethod 也就是第一大节的内容
targets.forEach(function(targetMethod) {traceMethod(targetClass + "." + targetMethod);
});
}0x03.hook 类的所有子类
还是上外围局部的代码:
// 枚举所有曾经加载的类
Java.enumerateLoadedClasses({onMatch: function(aClass) {
// 迭代和判断
if (aClass.match(pattern)) {
// 做一些更多的判断,适配更多的 pattern
var className = aClass.match(/[L]?(.*);?/)[1].replace(/\//g, ".");
// 进入到 traceClass 里去
traceClass(className);
}
},
onComplete: function() {}
});0x04.hook 本地库的导出函数
// 追踪本地库函数
function traceModule(impl, name)
{console.log("Tracing" + name);
//frida 的 Interceptor
Interceptor.attach(impl, {onEnter: function(args) {console.warn("\n*** entered" + name);
// 打印调用栈
console.log("\nBacktrace:\n" + Thread.backtrace(this.context, Backtracer.ACCURATE)
.map(DebugSymbol.fromAddress).join("\n"));
},
onLeave: function(retval) {
// 打印返回值
console.log("\nretval:" + retval);
console.warn("\n*** exiting" + name);
}
});
}0x05. 动动态联合逆向 WhatsApp
终于到了实战的时候,把以上代码拼接起来,造成一个脚本,其实这个脚本[awesome-frida
](https://github.com/dweinstein…,代码在这里,就是有点小 bug,经葫芦娃批改好之后,终于能够用了。
咱们来试下它的几个次要的性能,首先是本地库的导出函数。
setTimeout(function() {Java.perform(function() {trace("exports:*!open*");
//trace("exports:*!write*");
//trace("exports:*!malloc*");
//trace("exports:*!free*");
});
}, 0);咱们 hook 的是 open() 函数,跑起来看下成果:
$ frida -U -f com.whatsapp -l raptor_frida_android_trace_fixed.js --no-pause
如图所示 *!open* 依据正则匹配到了 openlog、open64 等导出函数,并 hook 了所有这些函数,打印出了其参数以及返回值。
接下来想要看哪个局部,只有扔到 jadx 里,动态“剖析”一番,本人轻易翻翻,或者依据字符串搜一搜。
比如说咱们想要看上图中的 com.whatsapp.app.protocol 包里的内容,就能够设置trace("com.whatsapp.app.protocol")。
能够看到包内的函数、办法、包含重载、参数以及返回值全都打印了进去。这就是 frida 脚本的魅力。
当然,脚本终归只是一个工具,你对Java、安卓 App 的了解,和你的创意才是至关重要的。
接下来能够搭配 Xposed module 看看他人都给 whatsapp 做了哪些模块,hook的哪些函数,实现了哪些性能,学习本人写一写。
当然,再强调一句,做外挂是违法行为,千万不要制作和散发任何 App 的外挂,否则期待你的只会是法律的制裁。
短视频、直播数据实时采集接口,请查看文档:TiToData
免责申明:本文档仅供学习与参考,请勿用于非法用处!否则所有后果自负。