当前位置：首页 > news >正文

Frida动态Hook Android密码学API实战：AES/DES/RSA/HMAC/MD5/SHA六算法精准捕获

news 2026/5/23 15:58:00

1. 这不是“加壳脱壳”现场，而是密码学逻辑的显微镜操作

你有没有遇到过这样的情况：App在登录时把密码拼上时间戳、随机盐值，再经过好几层加密才发出去，抓包看到的永远是一串看不出规律的base64？反编译代码里满屏Cipher.getInstance("AES/CBC/PKCS5Padding")，但密钥和IV藏在哪？是硬编码在so里？还是从服务器动态下发？又或者——更让人头疼的——它根本没出现在Java层，而是在Native层用OpenSSL手写的AES_ECB_encrypt调用？

这就是我们今天要干的事：不碰APK结构、不分析Dex字节码、不折腾JADX反编译混淆变量名，而是直接把Frida当成一把手术刀，精准切开运行时的密码学调用链，在内存中实时观测密钥生成、明文入参、密文输出的完整生命周期。
关键词很明确：Frida、AES、DES、HMAC、MD5、RSA、SHA——它们不是孤立的算法名词，而是Android App里真实存在的函数调用点。你不需要成为密码学博士，但必须知道javax.crypto.Cipher.doFinal()在什么时机被调用、MessageDigest.update()传进来的byte[]到底是不是原始密码、SecretKeySpec构造时的keyBytes是否已被篡改过。
这篇文章面向的是已经能跑通Frida基础环境（adb root、frida-server启动、Python脚本连上进程）、但一碰到加密逻辑就卡在“知道它在加密，却不知道它用什么密钥、对什么数据、怎么加密”的中级逆向者。我会带你逐个击穿六大主流算法的Hook关键点，不是贴一段通用脚本完事，而是告诉你：为什么HookCipher.init()比HookdoFinal()更有价值？为什么RSA的Cipher.doFinal()在解密时可能返回空数组？为什么HMAC的Mac.update()调用次数远多于你预期？这些细节，全来自我在金融类App、IoT设备控制端、政务SDK里实打实hook了200+次加密流程后沉淀下来的判断依据。

2. Frida Hook密码学API的核心逻辑：别只盯着“加密函数”，要盯住“密钥诞生时刻”

很多人一上来就写Java.use("javax.crypto.Cipher").doFinal.overload("[B").implementation = ...，结果发现要么hook不到，要么捕获的数据全是乱码。问题出在哪？不是Frida不行，是你没抓住密码学API的调用节奏。Android的Cipher类不是“一锤子买卖”，它遵循严格的三段式生命周期：初始化（init）→ 数据处理（update/doFinal）→ 重置（init再次调用）。而密钥、模式、填充方式、IV等核心参数，全部在init()阶段完成绑定。一旦错过这个窗口，后续所有update()和doFinal()传入的数据，你看到的只是“已配置好上下文后的运算结果”，无法还原原始意图。

2.1 Cipher类的Hook策略：init()才是真正的决策点

Cipher.init()有四个重载方法，最常见的是：

public void init(int opmode, Key key) public void init(int opmode, Key key, SecureRandom random) public void init(int opmode, Key key, AlgorithmParameterSpec params) public void init(int opmode, Key key, AlgorithmParameterSpec params, SecureRandom random)

其中opmode决定是加密（ENCRYPT_MODE）还是解密（DECRYPT_MODE），key是SecretKey或PublicKey/PrivateKey实例，params则携带IV（如IvParameterSpec）。这才是密钥真正“落地”的瞬间。

我实测过某银行App的登录加密流程：它先用SecretKeySpec构造一个16字节密钥，再调用Cipher.init(1, key, new IvParameterSpec(ivBytes))。如果只hookdoFinal()，你看到的是doFinal([loginData])返回的密文，但完全不知道ivBytes是什么、key是否被动态修改过。而hookinit()后，我能立刻打印：

[+] Cipher.init() called: mode=ENCRYPT_MODE, keyLen=16, iv=[0x1a,0x3f,0x7c,...], algo=AES/CBC/PKCS5Padding

这个信息量是质变级的——它让你确认算法模式、验证IV是否固定、甚至发现密钥是否每次请求都重新生成（比如从服务器获取新密钥）。

提示：Key对象本身不直接暴露字节数组，需调用其getEncoded()方法。但注意，某些厂商会重写SecretKey.getEncoded()返回null或伪造数据，此时必须结合init()的第三个参数AlgorithmParameterSpec中的IV，或回溯到SecretKeySpec构造处。

2.2 MessageDigest与Mac类的Hook要点：update()才是数据流主干

MD5、SHA系列（SHA-1/SHA-256/SHA-512）属于摘要算法，没有密钥概念，核心是MessageDigest.update(byte[])和MessageDigest.digest()。但很多开发者会分多次调用update()拼接数据（如先update("username="), 再update(username), 再update("&pwd=")），最后digest()一次性计算。如果你只hookdigest()，只能拿到最终哈希值，完全丢失输入数据的组合逻辑。

同样，HMAC（如HmacSHA256）虽有密钥，但数据处理流程与MessageDigest一致。我遇到过一个IoT设备配网协议：它把设备SN、时间戳、随机数三段数据分别update()，中间还夹杂一次reset()清空状态，最后doFinal()输出签名。若只hook最终doFinal()，你会误以为整个签名只基于最后一段数据。

因此，正确的Hook策略是：

优先hookupdate()：记录每次传入的byte[]，并标记调用序号；
hookdigest()或doFinal()：作为“结算信号”，将之前所有update()缓存的数据合并，计算最终摘要；
用全局数组缓存数据流：避免因多次update()导致数据覆盖。

实操中，我用Frida的Java.array('byte', data)深拷贝每次update()的入参，并存入JS数组digestBuffer。当digest()被调用时，遍历digestBuffer拼接成完整输入，再调用Java.use("java.security.MessageDigest").getInstance("MD5").digest()复现计算——这步复现至关重要，它能验证你捕获的数据流是否完整，避免因reset()或异常中断导致数据缺失。

2.3 RSA的特殊性：公钥/私钥分离与doFinal()的双向陷阱

RSA在Android中通常用于两种场景：一是用公钥加密敏感数据（如token），二是用私钥对数据签名。但Cipher.doFinal()的返回值行为极具迷惑性：

加密时：doFinal(plainBytes)返回密文，长度固定（如RSA-2048为256字节）；
解密时：doFinal(cipherBytes)返回明文，但若密文被篡改或padding错误，会抛出BadPaddingException，而Frida默认捕获不到异常堆栈，只看到函数返回null或空数组。

更隐蔽的是密钥加载方式。RSAPublicKey和RSAPrivateKey常通过KeyFactory.generatePublic()/generatePrivate()从X509EncodedKeySpec或PKCS8EncodedKeySpec生成。这些KeySpec对象的getEncoded()返回的是ASN.1编码的DER字节流，不是明文密钥。你需要用Python的pyasn1库或在线工具解析，才能看到n（模数）、e（公钥指数）、d（私钥指数）等原始参数。

我在分析某政务App时发现，它把RSA公钥的getEncoded()结果硬编码在Java字符串里，但字符串被Base64编码过。HookgeneratePublic()后，我直接打印keySpec.getEncoded()的Base64，再用atob()解码，得到DER数据，最后用openssl rsa -pubin -inform DER -text -noout解析出公钥细节。这个过程比反编译找字符串常量快10倍，且100%准确——因为它是运行时真实加载的密钥。

3. 六大算法逐个击破：从Hook点选择到数据还原的完整链路

现在进入实战环节。以下所有代码均基于Frida 16.x + Android 11+环境实测，适配ART虚拟机。每个算法我会给出：最稳的Hook点、必捕获的关键参数、典型数据还原技巧、以及一个真实踩坑案例。拒绝“万能脚本”，只给可验证的精确方案。

3.1 AES算法：CBC模式下的IV劫持与密钥动态性验证

AES是最常用的对称加密算法，Android中多以AES/CBC/PKCS5Padding形式出现。它的安全性高度依赖IV（初始向量）的随机性。如果IV固定或可预测，攻击者可通过重放密文破解明文。

Hook点选择：

javax.crypto.Cipher.init(int, Key, AlgorithmParameterSpec)—— 核心！捕获IV和密钥长度；
javax.crypto.Cipher.doFinal(byte[])—— 辅助，验证加密结果；
javax.crypto.spec.IvParameterSpec.getIV()—— 若IV在init后被单独获取，需额外hook。

关键参数捕获逻辑：

const Cipher = Java.use("javax.crypto.Cipher"); Cipher.init.overload("int", "java.security.Key", "java.security.spec.AlgorithmParameterSpec").implementation = function(mode, key, params) { if (params.$className === "javax.crypto.spec.IvParameterSpec") { const iv = params.getIV(); const keyBytes = key.getEncoded(); // 注意：此处可能为null，需fallback console.log(`[AES] init mode=${mode}, keyLen=${keyBytes ? keyBytes.length : 'unknown'}, IV=${bytesToHex(iv)}`); } return this.init(mode, key, params); };

数据还原技巧：
AES本身无法在JS中直接解密（需密钥和IV），但你可以用捕获的IV+密钥+明文，在PC端用Python的pycryptodome库复现加密过程，对比doFinal()输出是否一致。这是验证Hook数据真实性的黄金标准。

真实踩坑案例：
某电商App的支付签名使用AES-CBC，但IV并非随机生成，而是取当前时间戳的MD5前16字节。我hookinit()发现IV每次相同，于是用new Date().getTime()生成时间戳，计算MD5，截取前16字节作为IV，成功复现了服务端加密逻辑。这里的关键洞察是：IV的生成逻辑往往比密钥更易被忽略，但它决定了整个加密的安全边界。

3.2 DES算法：3DES兼容性与密钥弱性检测

DES虽已淘汰，但大量老系统仍用3DES（DES-EDE3）。它的密钥是24字节（3个8字节DES密钥），但Android的SecretKeySpec构造时若传入16字节密钥，会自动补零或截断，导致服务端解密失败。

Hook点选择：

javax.crypto.spec.SecretKeySpec.<init>([B, String)—— 捕获原始密钥字节数组；
javax.crypto.Cipher.init()—— 确认实际使用的密钥长度；
javax.crypto.Cipher.doFinal()—— 观察密文长度（3DES应为8字节倍数）。

关键参数捕获逻辑：

const SecretKeySpec = Java.use("javax.crypto.spec.SecretKeySpec"); SecretKeySpec.$init.overload("[B", "java.lang.String").implementation = function(keyBytes, algorithm) { if (algorithm.toUpperCase().includes("DES")) { console.log(`[DES] SecretKeySpec keyLen=${keyBytes.length}, algo=${algorithm}`); // 打印keyBytes内容，检查是否含0x00填充 console.log(`keyBytes: ${bytesToHex(keyBytes)}`); } return this.$init(keyBytes, algorithm); };

数据还原技巧：
3DES的密钥处理比AES复杂。Android内部会将24字节密钥拆分为K1/K2/K3，执行Encrypt-Decrypt-Encrypt。若你捕获的密钥是16字节，需手动补8字节（如复制前8字节）构成24字节，再用pycryptodome的DES3.new()验证。

真实踩坑案例：
某物流App用3DES加密运单号，但密钥字符串是"1234567890123456"（16字节）。我hookSecretKeySpec发现keyBytes确实是16字节，但服务端要求24字节。尝试补零后解密失败，最终发现它用的是"K1=12345678, K2=90123456, K3=12345678"的模式，即首尾8字节相同。这个规律只能通过多次hook不同请求的密钥变化来总结——密钥的构造模式，往往藏在重复请求的差异中。

3.3 HMAC算法：密钥注入与多段update()的时序还原

HMAC（Hash-based Message Authentication Code）是带密钥的哈希，常用于接口签名防篡改。它的安全性取决于密钥保密性，而非哈希算法本身。

Hook点选择：

javax.crypto.Mac.getInstance(String)—— 确认算法类型（HmacSHA256等）；
javax.crypto.Mac.init(Key)—— 捕获HMAC密钥；
javax.crypto.Mac.update(byte[])—— 核心！记录所有输入片段；
javax.crypto.Mac.doFinal()—— 结算，触发数据流合并。

关键参数捕获逻辑：

const Mac = Java.use("javax.crypto.Mac"); let hmacBuffer = []; let currentHmacKey = null; Mac.init.overload("java.security.Key").implementation = function(key) { currentHmacKey = key.getEncoded(); console.log(`[HMAC] init with keyLen=${currentHmacKey.length}`); }; Mac.update.overload("[B").implementation = function(data) { hmacBuffer.push(Array.from(data)); // 深拷贝 console.log(`[HMAC] update #${hmacBuffer.length}, len=${data.length}`); }; Mac.doFinal.implementation = function() { if (hmacBuffer.length === 0) return this.doFinal(); // 合并所有update数据 let fullData = []; hmacBuffer.forEach(chunk => fullData = fullData.concat(chunk)); console.log(`[HMAC] doFinal on total ${fullData.length} bytes`); // 此处可调用Java MessageDigest复现计算 hmacBuffer = []; // 清空 return this.doFinal(); };

数据还原技巧：
HMAC的doFinal()输出是固定长度（如HmacSHA256为32字节）。你可以用捕获的currentHmacKey和fullData，在Python中用hmac.new(key, data, hashlib.sha256).digest()复现，对比输出是否一致。若不一致，说明update()捕获不全（可能有reset()调用）或密钥被动态修改。

真实踩坑案例：
某社交App的API签名，先update()请求头，再update()请求体JSON，中间有一次reset()清除状态，最后update()时间戳。我最初没hookreset()，导致doFinal()时fullData包含错误数据。后来添加Mac.reset.implementation = function(){ hmacBuffer = []; }，问题解决。多段update()的时序，必须用reset()作为分隔符，否则数据流就是一团乱麻。

3.4 MD5与SHA系列：摘要算法的“无密钥”陷阱与拼接逻辑

MD5、SHA-1、SHA-256等摘要算法看似简单，但开发者常在输入数据前拼接各种参数（salt、timestamp、nonce），形成复合摘要。只看digest()输出，永远猜不出原始拼接规则。

Hook点选择：

java.security.MessageDigest.update(byte[])—— 主力，捕获所有输入片段；
java.security.MessageDigest.digest()—— 结算点；
java.security.MessageDigest.reset()—— 关键！标识数据流重置。

关键参数捕获逻辑：

const MessageDigest = Java.use("java.security.MessageDigest"); let digestBuffer = []; let digestAlgorithm = ""; MessageDigest.update.overload("[B").implementation = function(data) { digestBuffer.push(Array.from(data)); console.log(`[Digest] update #${digestBuffer.length}, len=${data.length}`); }; MessageDigest.digest.implementation = function() { if (digestBuffer.length === 0) return this.digest(); let fullData = []; digestBuffer.forEach(chunk => fullData = fullData.concat(chunk)); console.log(`[Digest] digest on ${fullData.length} bytes, algo=${this.getAlgorithm()}`); digestBuffer = []; return this.digest(); }; // 必须hook reset()，否则多请求间数据混杂 MessageDigest.reset.implementation = function() { digestBuffer = []; console.log(`[Digest] reset called`); return this.reset(); };

数据还原技巧：
摘要算法可100%在JS中复现。Frida内置Crypto模块支持SHA-256，但MD5需引入第三方库（如spark-md5）。更稳妥的方式是：将fullData转为hex字符串，通过send()发送到Python端，用hashlib.md5(bytes.fromhex(hex_str)).digest()计算，对比digest()输出。

真实踩坑案例：
某新闻App的评论签名，输入是"content="+comment+"&timestamp="+ts+"&nonce="+nonce+"&salt="+salt，但salt不是常量，而是从SharedPreferences读取的动态值。我hookupdate()发现第一段数据是"content=xxx"，第二段是"&timestamp=..."，但第三段"&nonce=..."后紧跟着reset()，然后update()一个8字节的随机数。原来salt是每次生成的随机数！这个逻辑若不观察reset()的时序，根本无法推断。

3.5 RSA算法：公钥加载、私钥保护与doFinal()的异常盲区

RSA是非对称算法，公钥加密/私钥解密，或私钥签名/公钥验签。Android中Cipher类统一处理，但密钥加载和异常处理是最大难点。

Hook点选择：

java.security.KeyFactory.generatePublic(KeySpec)/generatePrivate(KeySpec)—— 捕获密钥原始编码；
javax.crypto.Cipher.init()—— 确认密钥类型（PUBLIC/PRIVATE）；
javax.crypto.Cipher.doFinal()—— 但必须包裹try-catch捕获异常；
java.security.spec.X509EncodedKeySpec.getEncoded()/PKCS8EncodedKeySpec.getEncoded()—— 获取DER编码密钥。

关键参数捕获逻辑：

const KeyFactory = Java.use("java.security.KeyFactory"); const Cipher = Java.use("javax.crypto.Cipher"); // 捕获公钥加载 KeyFactory.generatePublic.implementation = function(keySpec) { if (keySpec.$className === "java.security.spec.X509EncodedKeySpec") { const encoded = keySpec.getEncoded(); console.log(`[RSA] Public key DER len=${encoded.length}, hex=${bytesToHex(encoded).substring(0,32)}...`); } return this.generatePublic(keySpec); }; // 捕获doFinal异常（关键！） Cipher.doFinal.overload("[B").implementation = function(input) { try { const result = this.doFinal(input); console.log(`[RSA] doFinal success, inputLen=${input.length}, outputLen=${result.length}`); return result; } catch (e) { console.log(`[RSA] doFinal failed: ${e.message}`); // 此处可打印input内容，分析为何失败 console.log(`input: ${bytesToHex(input)}`); throw e; // 重新抛出，不影响原逻辑 } };

数据还原技巧：
RSA密钥的DER编码需用openssl解析。例如，公钥DER数据保存为pub.der，执行：

openssl rsa -pubin -inform DER -text -noout -in pub.der

可看到Modulus (n)和Exponent (e)。私钥同理，但需-inform PKCS8。这些参数可用于Python的cryptography库构建RSAPublicKey对象，复现加密/签名。

真实踩坑案例：
某医疗App用RSA私钥签名请求参数，但doFinal()总是抛BadPaddingException。我hook异常后发现input长度为256字节（符合RSA-2048），但服务端要求PKCS#1 v1.5签名，而App代码中Cipher.getInstance("RSA")未指定填充，ART默认用RSA/ECB/PKCS1Padding，但签名时需NONEwithRSA。最终在init()中确认opmode为SIGN_MODE，并检查Cipher实例的getProvider()，发现它被自定义Provider替换，强制使用了NONEwithRSA。RSA的异常，90%源于填充模式与服务端不匹配，而非密钥错误。

3.6 SHA系列进阶：SHA-256与SHA-512的性能差异与长度陷阱

SHA-256和SHA-512同属SHA-2家族，但SHA-512在ARM64设备上性能更好（因64位寄存器优化），而SHA-256更通用。它们的digest()输出长度不同（32 vs 64字节），若服务端校验长度，错用会导致签名失败。

Hook点选择：

java.security.MessageDigest.getInstance(String)—— 确认算法实例化；
java.security.MessageDigest.update()/digest()—— 同MD5；
额外关注MessageDigest.getDigestLength()—— 直接获取输出长度，比硬编码更可靠。

关键参数捕获逻辑：

const MessageDigest = Java.use("java.security.MessageDigest"); MessageDigest.getInstance.overload("java.lang.String").implementation = function(algorithm) { const instance = this.getInstance(algorithm); const digestLen = instance.getDigestLength(); console.log(`[SHA] getInstance(${algorithm}) -> digestLen=${digestLen}`); return instance; };

数据还原技巧：
SHA-512的64字节输出在日志中易被截断。建议用bytesToHex()转换后分段打印，或直接send()到Python端处理。另外，SHA-512对输入数据长度无限制，但某些实现会将长输入分块处理，update()调用次数可能远超预期。

真实踩坑案例：
某视频App用SHA-512计算视频URL签名，但签名字符串长达2KB。我hookupdate()发现它分12次调用，每次约170字节。起初我以为是网络分片，后来发现是StringBuilder.toString().getBytes("UTF-8")在update()前被调用，而StringBuilder内部扩容机制导致字节数组被多次拷贝。长数据的update()次数，反映的是Java字符串处理逻辑，而非业务逻辑本身。

4. 实战避坑指南：那些让Frida Hook失效的“隐形墙”

即使你选对了Hook点、写对了逻辑，仍可能遭遇“hook不到”“数据为空”“进程崩溃”三大经典问题。这些问题不来自Frida本身，而是Android运行时机制与开发者反调试手段的博弈。以下是我在200+次实战中总结的“隐形墙”清单。

4.1 ART虚拟机的Inline Cache与Method Replacement失效

ART在Android 7.0+引入了Inline Cache优化：频繁调用的方法会被内联到调用方，绕过方法表查找。这意味着，如果你hook的是一个被内联的Cipher.doFinal()，Frida的Method Replacement可能完全不生效，函数像没被hook一样执行。

验证方法：
在hook函数开头加console.log("HOOK HIT!")，若无输出，大概率被内联。

解决方案：

强制禁用内联：在frida -U -f com.xxx.app --no-pause启动后，执行Java.performNow(() => { Java.use("javax.crypto.Cipher").doFinal.overload("[B").implementation = ... })，确保hook在应用启动后立即注入；
Hook更上游的入口：如Cipher.getInstance()返回的Cipher实例，再对实例的doFinal()进行instance.doFinal.implementation；
用Java.choose()动态搜索实例：在onCreate()后遍历所有Cipher实例，逐个hook。

注意：禁用内联会轻微降低性能，但对逆向分析是必要代价。ART的优化是双刃剑，它提升了App速度，却给动态分析设了路障。

4.2 Native层加密的“影子世界”：当Java层Hook一无所获时

越来越多App将核心加密逻辑下沉到so库，用OpenSSL或自研C代码实现AES/RSA。此时Java层的Cipher调用只是壳，真实运算在Native层。你hook Java层，看到的只是“准备参数”和“接收结果”，密钥和明文可能从未出现在Java堆中。

识别Native加密的信号：

System.loadLibrary("crypto")或System.loadLibrary("ssl")被调用；
Java层方法名含native关键字，如public native byte[] aesEncrypt(byte[] input)；
frida-trace -U -i "*aes*" com.xxx.app显示大量libcrypto.so符号调用。

应对策略：

Frida Hook Native函数：用Module.findExportByName("libcrypto.so", "AES_encrypt")定位函数，Interceptor.attach()；
内存扫描密钥：在AES_set_encrypt_key()调用后，扫描栈或寄存器获取密钥地址；
结合frida-il2cpp-bridge：若App用Unity，可hook IL2CPP导出的加密方法。

这不是本文重点，但必须提醒：当你在Java层找不到加密逻辑时，不要怀疑Frida，要立刻转向Native层。这是当前商业App的主流防护手段。

4.3 反调试检测的“Hook自检”：App主动探测Frida痕迹

部分加固App会在启动时检测/proc/self/maps中是否存在frida-agent，或调用ptrace(PT_TRACE_ME, 0, 0, 0)检测是否被trace。一旦发现，直接System.exit()或触发异常。

常见检测点：

open("/proc/self/maps", O_RDONLY)读取内存映射，搜索frida；
readlink("/proc/self/exe")检查进程路径；
getppid()判断父进程是否为frida-server。

绕过技巧：

Frida隐藏模式：frida -U -f com.xxx.app --no-pause --runtime=v8，V8引擎比QuickJS更难检测；
Hook检测函数：如open()返回-1，readlink()返回空字符串；
使用frida-gum底层API：直接操作内存，避开高阶API检测。

提示：反调试是猫鼠游戏，没有银弹。我的经验是：优先用--no-pause避免启动时被检测；若失败，再尝试Hook检测函数。90%的App检测较粗糙，简单绕过即可。

4.4 字符串编码陷阱：UTF-8、ISO-8859-1与Base64的隐式转换

加密算法的输入通常是byte[]，但开发者常从String转来。String.getBytes()默认用平台编码（Android为UTF-8），但若服务端用ISO-8859-1，就会导致字节差异。更常见的是，App将密文byte[]转为Base64字符串传输，而你在doFinal()捕获的是原始byte[]，需手动Base64编码才能与抓包数据对比。

验证方法：
在doFinal()后，立即用android.util.Base64.encodeToString(result, Base64.NO_WRAP)生成Base64，与抓包中的cipher字段对比。

解决方案：

统一编码：在hook中显式指定string.getBytes("UTF-8")；
Base64双向转换：用android.util.Base64.decode()将抓包Base64转回byte[]，再与doFinal()输出对比；
打印十六进制：bytesToHex()比Base64更直观，避免编码混淆。

我曾因未注意String.getBytes()的默认编码，导致复现的MD5与服务端不一致，排查3小时才发现是UTF-8与ISO-8859-1的差异。加密的世界里，一个字节的偏差，就是整个签名的失败。

5. 从Hook到复现：构建你的本地加密验证沙箱

Hook的终极目的不是“看到”，而是“复现”。只有能在本地用Python/Node.js完全模拟App的加密流程，才算真正掌握。以下是我在项目中沉淀的标准化沙箱搭建流程。

5.1 数据采集：从Frida到Python的无缝管道

Frida的send()函数可将数据发送到Python端，但需处理二进制数据。最佳实践是：

在Frida中，将byte[]转为hex字符串：bytesToHex(data)；
用send({type: "cipher_input", data: hexStr})发送；
Python端用bytes.fromhex(hexStr)还原为bytes。

Frida端示例：

Cipher.doFinal.overload("[B").implementation = function(input) { const result = this.doFinal(input); send({ type: "aes_encrypt", input: bytesToHex(input), output: bytesToHex(result), iv: bytesToHex(iv), // 若已捕获 key: bytesToHex(keyBytes) }); return result; };

Python端接收：

def on_message(message, data): if message['type'] == 'send': payload = message['payload'] if payload['type'] == 'aes_encrypt': input_bytes = bytes.fromhex(payload['input']) output_bytes = bytes.fromhex(payload['output']) # 用pycryptodome复现 cipher = AES.new( key=bytes.fromhex(payload['key']), mode=AES.MODE_CBC, iv=bytes.fromhex(payload['iv']) ) expected = cipher.encrypt(pad(input_bytes, AES.block_size)) assert expected == output_bytes, "Reproduction failed!"