安卓逆向实战:Frida定位加密参数的四大逃逸模式与三叉戟战术
1. 这不是“加个hook就完事”的技术活,而是逆向工程师的密码学现场推演
你打开一个App,抓包看到一串密文参数:sign=8a3f7e2d4b9c1a5f...、token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...、data=KzQyLjE0MjYsLTcyLjU1Nzg=。你立刻frida -U -f com.example.app -l hook.js --no-pause,脚本里写上Java.use("com.example.crypto.SignUtil").sign.implementation = function(data) { console.log("[+] sign input:", data); return this.sign.apply(this, arguments); }——结果控制台一片寂静。App照常运行,但hook没触发,甚至frida连进程都attach不上。这不是frida失效了,是你把安卓逆向当成了“API调用搜索游戏”,而真实世界里,加密逻辑早被拆得七零八落:可能藏在so里用JNI调用,可能被混淆成a.b.c.d.e.f()这种链式调用,可能在OkHttp拦截器里动态拼接,甚至可能在WebView的JS上下文中完成——而frida的Java层hook,连它的边都摸不到。
这就是“32.安卓逆向2-frida hook技术-分析请求中加密参数技巧”这个标题背后的真实战场。它不教你怎么写Java.use().method.implementation,而是聚焦一个具体、高频、痛苦的实战目标:在没有源码、没有文档、只有APK和抓包数据的前提下,如何系统性定位、穿透、还原出那个决定请求能否通过服务端校验的加密参数生成逻辑。关键词很明确:安卓逆向、Frida、Hook、加密参数、分析技巧。它面向的不是刚学完Java基础的新手,而是已经能跑通frida demo、会用jadx反编译、但一遇到“sign怎么算的”就卡壳超过3小时的中级逆向者。本文要解决的,是那些jadx里搜不到sign、frida hook不到encrypt、IDA里看不清算法流程时,真正能救命的路径、工具链和思维模型。我会带你从一次真实的电商App登录请求逆向出发,完整复现从抓包异常到最终dump出AES密钥的全过程,所有步骤可验证、所有命令可复制、所有坑我都替你踩过。
2. 加密参数的“隐身术”:为什么常规hook总失败?四类典型逃逸模式深度拆解
绝大多数人hook失败,根本原因在于对安卓应用加密逻辑的部署方式缺乏系统认知。开发者不是傻子,他们知道frida的存在,更知道“只要把关键逻辑藏得够深,你就hook不到”。我梳理了过去三年分析过的200+商业App,发现加密参数生成逻辑几乎全部落在以下四类“隐身术”中。理解它们,是设计有效hook策略的前提。
2.1 JNI层下沉:Java只是壳,真正的密码学在so里
这是最常见也最硬核的逃逸方式。Java层只负责组装参数、调用nativeEncrypt(),而核心的AES/CBC、RSA/ECB、SM4等算法实现,全在.so文件里。jadx反编译后,你看到的可能是:
public class CryptoHelper { static { System.loadLibrary("crypto_native"); // 加载libcrypto_native.so } public static native String nativeEncrypt(String input, String key); } // 调用处 String sign = CryptoHelper.nativeEncrypt(jsonData, "static_key_123");问题来了:nativeEncrypt这个方法,你用Java.use("CryptoHelper").nativeEncrypt.implementation去hook,完全无效。因为nativeEncrypt是JNI函数,其Java层只是一个跳板,实际执行在C/C++代码中。frida的Java层hook无法穿透JNI边界。此时,你必须切换到Native层hook。这要求你:
- 先用
readelf -d libcrypto_native.so | grep NEEDED确认依赖的库(如liblog.so,libandroid.so); - 用
nm -D libcrypto_native.so | grep nativeEncrypt或objdump -t libcrypto_native.so | grep nativeEncrypt找到符号地址(注意ARM64下符号名可能被修饰为_Z13nativeEncryptP7_JNIEnvP7_jclassP8_jstringS4_); - 在frida脚本中使用
Module.findExportByName("libcrypto_native.so", "nativeEncrypt")获取地址,再用Interceptor.attach()进行Native hook。
提示:很多App会做符号混淆,
nativeEncrypt可能被重命名为a、b、func_123。这时不能依赖函数名,而要结合Java层调用栈(用Thread.backtrace()捕获)和so中字符串特征(如搜索AES_encrypt、EVP_aes_128_cbc等OpenSSL函数名)来交叉定位。
2.2 混淆与反射:让Java类名、方法名变成“天书”
ProGuard/R8混淆后,SignUtil变成a.a.b.c,generateSign()变成a(),getSecretKey()变成b()。你在jadx里搜索sign,结果返回200个a()方法,毫无头绪。更绝的是,有些App会用反射绕过静态分析:
Class<?> clazz = Class.forName("com.example.util." + "Sign" + "Util"); Method method = clazz.getDeclaredMethod("g" + "en" + "er" + "ate" + "Si" + "gn", String.class); Object result = method.invoke(null, jsonData);这段代码,jadx反编译出来就是一堆字符串拼接,静态分析根本看不出它在调用generateSign。此时,常规的Java.use("com.example.util.SignUtil").generateSign.implementation会直接报错“class not found”。
破解思路是:放弃追踪类名,转而追踪调用行为本身。利用frida的Java.perform和Java.choose,我们可以监听所有invoke调用:
Java.perform(function () { var Method = Java.use('java.lang.reflect.Method'); Method.invoke.implementation = function (obj, args) { var methodName = this.getName(); if (methodName.includes('sign') || methodName.includes('encrypt')) { console.log("[REFLECT] invoke: " + this.getDeclaringClass().getName() + "." + methodName); console.log("[REFLECT] args: ", args); } return this.invoke.call(this, obj, args); }; });这个hook会捕获所有反射调用,一旦出现含sign或encrypt的方法名,立刻打印出完整的类名和参数。这是“以不变应万变”的策略,比死磕混淆名高效十倍。
2.3 OkHttp拦截器:加密发生在网络请求发出前的最后一刻
现代App大量使用OkHttp,而加密逻辑常常被塞进自定义Interceptor里。jadx里你可能看到:
public class SignInterceptor implements Interceptor { @Override public Response intercept(Chain chain) throws IOException { Request request = chain.request(); RequestBody oldBody = request.body(); String bodyStr = body2String(oldBody); // 将RequestBody转为String String newBody = addSign(bodyStr); // 关键:在这里加sign Request newRequest = request.newBuilder() .post(RequestBody.create(newBody, MediaType.get("application/json"))) .build(); return chain.proceed(newRequest); } }问题在于:addSign()这个方法,可能是一个极简的工具方法,也可能是一个调用了CryptoHelper、JNI、WebView的复杂链。如果你只hookaddSign,而它内部又调用了其他混淆方法,你还是抓不住根。更致命的是,body2String()这个方法,会把RequestBody(通常是FormBody或JsonRequestBody)转换成字符串,这个过程本身就可能触发toString()的重写,而重写逻辑里可能藏着base64编码或时间戳注入。
所以,正确的切入点不是addSign,而是**Intercept方法本身**。我们hookIntercept,直接拿到原始Request对象,然后手动解析其body,并观察headers的变化:
Java.perform(function () { var SignInterceptor = Java.use("com.example.network.SignInterceptor"); SignInterceptor.intercept.implementation = function (chain) { var request = chain.request(); console.log("[INTERCEPTOR] Original URL: " + request.url().toString()); console.log("[INTERCEPTOR] Original Headers: ", request.headers().toString()); // 尝试读取body内容(需处理不同RequestBody类型) var body = request.body(); if (body != null) { var buffer = Java.use("okio.Buffer").$new(); body.writeTo(buffer); var bodyStr = buffer.readUtf8(); console.log("[INTERCEPTOR] Original Body: ", bodyStr); } var result = this.intercept.call(this, chain); console.log("[INTERCEPTOR] Response Code: ", result.code()); return result; }; });这样,你就能在请求发出前,看到未经任何加密处理的原始body,以及请求发出后,服务端返回的响应。对比两者,就能清晰地看到sign、timestamp、nonce等参数是如何被注入的,从而反推出加密逻辑的输入源。
2.4 WebView JS桥接:加密在前端完成,Java只是“传话筒”
这是最容易被忽略的场景。App内嵌WebView,登录、支付等敏感操作由H5页面完成。H5页面通过@JavascriptInterface暴露一个window.androidBridge.encrypt()给JS调用,而这个Java方法,可能只做一件事:return new String(Base64.encode(data.getBytes(), Base64.NO_WRAP));。真正的AES加密,是在JS里用CryptoJS.AES.encrypt()完成的。
jadx里你只能看到一个空洞的encrypt方法,frida hook它,得到的只是base64字符串,而非原始密文。此时,你需要frida的Java.use("android.webkit.WebView").evaluateJavascript能力,或者更直接的——hook WebView的evaluateJavascript和loadUrl,监控所有JS执行:
Java.perform(function () { var WebView = Java.use("android.webkit.WebView"); WebView.evaluateJavascript.implementation = function (script, callback) { if (script.indexOf('CryptoJS') !== -1 || script.indexOf('encrypt') !== -1) { console.log("[WEBVIEW] Executing JS: ", script.substring(0, 200)); } return this.evaluateJavascript.call(this, script, callback); }; // 同时hook JSInterface的调用 var AndroidBridge = Java.use("com.example.bridge.AndroidBridge"); AndroidBridge.encrypt.implementation = function (data) { console.log("[JSINTERFACE] encrypt input: ", data); var result = this.encrypt.call(this, data); console.log("[JSINTERFACE] encrypt output: ", result); return result; }; });通过这种方式,你就能把JS层的加密逻辑,和Java层的桥接调用,完整地串联起来,形成一条从用户输入到网络请求的完整数据流图。
3. 定位加密入口的“三叉戟”战术:从抓包、静态、动态三路并进
知道了加密逻辑藏在哪,下一步就是精准定位它。我称之为“三叉戟”战术——单一手段必然失败,必须三路信息交叉验证,才能锁定那个唯一的入口点。下面以一个真实的电商App登录请求为例,全程演示。
3.1 第一叉:抓包数据驱动,锁定“可疑参数”与“变化规律”
我们先用Charles/Fiddler抓取一次正常登录请求:
POST /api/v1/login HTTP/1.1 Host: api.example.com Content-Type: application/json sign: 7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d timestamp: 1715823456 nonce: a1b2c3d4e5f6 data: eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiIxMjM0NTYifQ==分析这四个参数:
data:明显是base64,解码后是{"username":"admin","password":"123456"},这是明文。timestamp:当前Unix时间戳,10位数字,每秒都在变。nonce:随机字符串,每次请求都不同。sign:32位十六进制字符串,长度固定,符合MD5特征,但MD5是不安全的,大概率是MD5(盐+data+timestamp+nonce)。
关键洞察:sign的值,必然由data、timestamp、nonce这三个变量共同决定。这意味着,加密逻辑的输入,至少包含这三个字段。我们的目标,就是找到那个接收这三个参数、并输出sign的函数。
注意:不要急于下结论说“一定是MD5”。我曾在一个金融App里发现,
sign是SHA256(data + timestamp + nonce + secret_key),而secret_key是动态从服务器获取的。所以,sign的算法必须通过动态分析来确认,不能靠猜。
3.2 第二叉:静态分析锚定,用jadx+Ghidra构建“调用关系图”
将APK拖入jadx,全局搜索sign、timestamp、nonce。我们找到了一个LoginRequest类:
public class LoginRequest { private String username; private String password; private String sign; private long timestamp; private String nonce; public void buildSign() { this.timestamp = System.currentTimeMillis() / 1000; this.nonce = generateNonce(); // 生成随机数 String rawData = "{\"username\":\"" + this.username + "\",\"password\":\"" + this.password + "\"}"; this.sign = SignUtil.generate(rawData, this.timestamp, this.nonce); } }很好,SignUtil.generate就是我们要找的目标!继续跟进SignUtil:
public class SignUtil { public static String generate(String data, long timestamp, String nonce) { return new SignBuilder() .addData(data) .addTimestamp(timestamp) .addNonce(nonce) .build(); } }SignBuilder是个链式调用,我们继续跟:
public class SignBuilder { private String data; private long timestamp; private String nonce; public SignBuilder addData(String data) { this.data = data; return this; } public SignBuilder addTimestamp(long t) { this.timestamp = t; return this; } public SignBuilder addNonce(String n) { this.nonce = n; return this; } public String build() { String raw = data + timestamp + nonce; return MD5Util.md5(raw); // 终于出现了! } }现在,MD5Util.md5是最后一步。但jadx显示:
public class MD5Util { public static String md5(String input) { return NativeCrypto.md5(input); // 又回到了JNI! } }至此,静态分析给出了一条清晰的调用链:LoginRequest.buildSign→SignUtil.generate→SignBuilder.build→MD5Util.md5→NativeCrypto.md5。但这只是“纸面路径”。我们必须用动态分析去验证它是否真的被执行,以及NativeCrypto.md5是否就是那个最终的so函数。
3.3 第三叉:动态Hook验证,用frida“点亮”整条调用链
现在,我们编写frida脚本,逐层hook,像点亮一串灯泡一样,验证每一步是否被调用:
Java.perform(function () { // Hook第一层:LoginRequest.buildSign var LoginRequest = Java.use("com.example.network.LoginRequest"); LoginRequest.buildSign.implementation = function () { console.log("[HOOK] LoginRequest.buildSign called"); this.buildSign.call(this); }; // Hook第二层:SignUtil.generate var SignUtil = Java.use("com.example.util.SignUtil"); SignUtil.generate.implementation = function (data, timestamp, nonce) { console.log("[HOOK] SignUtil.generate: data=" + data + ", ts=" + timestamp + ", nonce=" + nonce); var result = this.generate.call(this, data, timestamp, nonce); console.log("[HOOK] SignUtil.generate result: " + result); return result; }; // Hook第三层:SignBuilder.build var SignBuilder = Java.use("com.example.util.SignBuilder"); SignBuilder.build.implementation = function () { console.log("[HOOK] SignBuilder.build called"); var result = this.build.call(this); console.log("[HOOK] SignBuilder.build result: " + result); return result; }; // Hook第四层:MD5Util.md5 var MD5Util = Java.use("com.example.util.MD5Util"); MD5Util.md5.implementation = function (input) { console.log("[HOOK] MD5Util.md5 input: " + input); var result = this.md5.call(this, input); console.log("[HOOK] MD5Util.md5 result: " + result); return result; }; });运行脚本,点击App登录按钮。如果一切顺利,控制台会按顺序打印出四条日志,证明这条链是真实有效的。但如果MD5Util.md5没被打印,那就说明NativeCrypto.md5是真正的终点,我们需要切换到Native层。
此时,我们用frida-trace快速探测:
frida-trace -U -i "md5@libcrypto_native.so" com.example.app如果md5符号不存在,就用frida-trace -U -F com.example.app列出所有加载的so,然后挨个frida-trace -U -i "*" -m "lib*.so" com.example.app,直到找到那个被调用的函数。最终,我们定位到libcrypto_native.so中的sub_12345函数,并用Interceptor.attach对其进行hook,成功捕获到原始输入和输出。
三叉戟战术的核心价值,在于它把一个模糊的“找sign”问题,转化为了一个可验证、可证伪、可分步推进的工程任务。抓包告诉你“要什么”,静态分析告诉你“可能在哪”,动态Hook则告诉你“到底是不是”。三者缺一不可。
4. Frida Hook的“黄金配置”:从环境准备到脚本健壮性的全流程细节
即使你知道了hook点,一个不稳定的frida环境,依然会让你功亏一篑。我总结了过去踩过的所有坑,提炼出一套开箱即用的“黄金配置”。
4.1 环境准备:避开Android 10+的“沙盒陷阱”
Android 10(API 29)引入了Scoped Storage,Android 12(API 31)默认禁止debuggable应用被attach。这意味着,如果你的App是android:debuggable="false",frida在新设备上会直接失败。
解决方案有三:
- 最稳妥:用Magisk安装
Frida Server,并确保其版本与frida CLI匹配(如frida 16.1.1对应server 16.1.1)。启动server时,加上--no-pause和--enable-jit参数:./frida-server-16.1.1-android-arm64 --no-pause --enable-jit - 针对非debuggable App:使用
frida -U -f com.example.app --no-pause -l hook.js,frida会自动spawn进程并在main函数处暂停,此时你再Java.perform,就能绕过debuggable限制。 - 终极方案:用
apktool反编译APK,修改AndroidManifest.xml,将android:debuggable="true",再apktool b回编译,jarsigner签名。这是最暴力但也最有效的方式,适用于所有场景。
提示:在Android 12+上,
frida-ps -U可能看不到进程。此时,改用frida-ps -Ua(-a表示all processes),或直接adb shell ps | grep example确认进程名。
4.2 脚本健壮性:如何写出“永不崩溃”的hook脚本
一个生产级的frida脚本,必须能应对各种异常。以下是几个关键原则:
原则一:永远用try/catch包裹Java.use
try { var SignUtil = Java.use("com.example.util.SignUtil"); SignUtil.generate.implementation = function (data, ts, nonce) { // ... }; } catch (e) { console.log("[ERROR] SignUtil not found: " + e.message); // 可以fallback到其他hook点 }因为类名可能被混淆,Java.use会直接抛出异常,导致整个脚本终止。
原则二:对null和undefined做防御性检查
var request = chain.request(); if (request == null) return this.intercept.call(this, chain); var body = request.body(); if (body == null) { console.log("[WARN] Empty body"); return this.intercept.call(this, chain); }原则三:避免在hook中执行耗时操作console.log()在高频率调用(如onCreate)中会严重拖慢App。生产环境应使用send()将数据发回Python端处理:
send({ type: "sign_input", data: data, timestamp: timestamp, nonce: nonce });然后用Python脚本接收:
def on_message(message, data): if message['type'] == 'send': print("[FRIDA]", message['payload'])4.3 高级技巧:用Stalker追踪指令流,直击算法核心
当加密逻辑过于复杂,或者被VMProtect等虚拟机保护时,常规hook会失效。此时,Stalker是你的终极武器。它能实时跟踪CPU指令流,让你看到每一个寄存器的值变化。
例如,hookNativeCrypto.md5后,我们发现输入字符串被送入了一个sub_12345函数。我们想看看它内部做了什么:
var targetFunc = Module.findExportByName("libcrypto_native.so", "sub_12345"); if (targetFunc != null) { Interceptor.attach(targetFunc, { onEnter: function (args) { console.log("[STALKER] sub_12345 entered"); // 开启Stalker,跟踪接下来的1000条指令 Stalker.follow({ events: { call: true, ret: true, exec: false }, onCallSummary: function (summary) { console.log("[STALKER] Call summary: ", summary); } }); }, onLeave: function (retval) { Stalker.unfollow(); console.log("[STALKER] sub_12345 left"); } }); }Stalker会输出类似call to 0x7f8a123456 (sub_12345)、ret from 0x7f8a123456的日志,配合IDA Pro的反汇编,你就能精准定位到mov x0, #0x12345678这样的密钥加载指令,从而dump出真正的AES密钥。
5. 实战复盘:从“sign无效”到“完美复现”的完整逆向推演
现在,让我们把所有技巧串起来,复盘一次真实的逆向过程。目标:某电商App的登录接口,抓包显示sign校验失败,服务端返回{"code":401,"msg":"Invalid sign"}。
5.1 第一步:建立基线,确认“正常”与“异常”的差异
我先用账号A登录一次,抓包保存sign、timestamp、nonce、data。然后,我手动修改data中的password为错误值,重新发送请求,服务端返回{"code":400,"msg":"Wrong password"}。这说明,sign校验是在密码校验之前进行的,sign是第一道防线。
接着,我保持data、timestamp、nonce完全不变,只修改sign的最后一位字符,再次发送。服务端返回{"code":401,"msg":"Invalid sign"}。这证实了sign是独立计算的,且算法是确定性的。
5.2 第二步:静态分析,绘制“最小可行调用链”
用jadx搜索Invalid sign,定位到SignValidator类。其isValid()方法调用了SignUtil.verify()。verify()方法又调用了NativeCrypto.verify()。这和我们之前看到的generate是镜像关系。于是,我得到了两条平行链:
- 生成链:
LoginRequest.buildSign→SignUtil.generate→NativeCrypto.md5 - 校验链:
SignValidator.isValid→SignUtil.verify→NativeCrypto.verify
这说明,NativeCrypto这个so,同时包含了md5和verify两个函数,它们很可能共享同一个密钥或盐值。
5.3 第三步:动态Hook,捕获密钥生成的“决定性瞬间”
我编写了一个复合脚本,同时hookNativeCrypto.md5和NativeCrypto.verify:
// Hook NativeCrypto.md5 var md5Addr = Module.findExportByName("libcrypto_native.so", "md5"); if (md5Addr) { Interceptor.attach(md5Addr, { onEnter: function (args) { // args[0] 是输入字符串的指针 var inputStr = ptr(args[0]).readUtf8String(); console.log("[NATIVE] md5 input: ", inputStr); // 尝试读取内存,看是否有密钥被加载 var sp = this.context.x29; console.log("[NATIVE] Stack pointer: ", sp); } }); } // Hook NativeCrypto.verify var verifyAddr = Module.findExportByName("libcrypto_native.so", "verify"); if (verifyAddr) { Interceptor.attach(verifyAddr, { onEnter: function (args) { var sign = ptr(args[0]).readUtf8String(); var data = ptr(args[1]).readUtf8String(); console.log("[NATIVE] verify sign: ", sign); console.log("[NATIVE] verify data: ", data); } }); }运行后,md5 input日志显示:{"username":"admin","password":"123456"}1715823456a1b2c3d4e5f6。这和我们之前的猜测一致。但verify日志却显示,data参数是{"username":"admin","password":"123456","timestamp":1715823456,"nonce":"a1b2c3d4e5f6"}——多出了timestamp和nonce!这说明,verify函数的输入,是服务端拼接后的完整字符串,而客户端md5的输入,是客户端拼接的。两者格式不一致,sign自然校验失败。
5.4 第四步:修正逻辑,实现100%复现
问题找到了:客户端的md5输入,漏掉了timestamp和nonce字段。我回到jadx,仔细检查SignBuilder.build()方法,发现它调用的是data + timestamp + nonce,但data本身是一个JSON字符串,而服务端期望的data是包含timestamp和nonce的完整JSON。
所以,真正的加密逻辑是:
String fullJson = "{\"username\":\"admin\",\"password\":\"123456\",\"timestamp\":1715823456,\"nonce\":\"a1b2c3d4e5f6\"}"; String sign = MD5Util.md5(fullJson);我修改Python脚本,用json.dumps()构造完整JSON,再计算MD5,最终生成的sign,和服务端返回的完全一致。至此,逆向成功。
最后分享一个小技巧:在frida脚本中,你可以用
Java.use("java.lang.String").$new("your_string")来创建Java字符串,用Java.use("android.util.Base64").encodeToString来调用Java的base64方法。这意味着,你可以在frida里,用JavaScript完全复现Java端的加密逻辑,无需离开调试环境。这是我每天都在用的“免切屏”工作流。