安卓So层Hook实战:ARM64函数定位与参数还原五步法
1. 这不是“秒破”广告,而是真实项目里能立刻用上的So层Hook能力
在安卓逆向和安全分析一线干了十多年,我见过太多人把Frida当“万能胶水”——装上就跑、hook就完事,结果一碰.so文件就卡死:要么脚本根本加载不进去,要么函数地址算错直接崩溃,要么hook住却拿不到参数,最后只能对着logcat发呆。其实问题根本不在于Frida本身,而在于绝大多数教程跳过了最关键的一环:So层Hook不是JavaScript写个onCreate就能搞定的,它是一场CPU指令、内存布局、符号表解析和调用约定的协同作战。这篇讲的“5分钟搞定”,指的是从环境准备完毕、目标so确认可加载、到成功捕获关键函数入参并修改返回值的完整闭环时间——我上周在客户现场实测,从打开Termux到看到log输出,计时器停在4分38秒。核心关键词是:Frida、安卓So层Hook、ARM64指令集、JNI函数定位、符号表解析、dlopen/dlsym模拟、寄存器传参还原。它适合三类人:做App加固对抗的安全研究员、需要绕过本地校验的测试工程师、以及正在调试自研NDK模块的Android开发。你不需要会写汇编,但得愿意看懂r0-r3在ARM64里怎么传参;你不用精通ELF格式,但得知道.dynsym节里藏着什么;你甚至可以没编译过so,但必须理解System.loadLibrary("xxx")背后发生了什么。下面所有内容,都来自我过去三年在27个不同厂商App(覆盖高通/联发科/紫光展锐平台)上反复验证过的路径。
2. 为什么90%的So Hook失败,根源都在这四个认知断层
2.1 断层一:混淆了“Java层Hook”和“So层Hook”的底层执行模型
很多人以为Java.perform(() => { Java.use("xxx").method.implementation = ... })这套逻辑能平移过来,给Module.load("/data/app/xxx/lib/arm64/libnative.so")之后直接findExportByName("func_name")就行。这是致命误解。Java层运行在ART虚拟机里,方法调用走的是JIT编译后的字节码解释器;而.so里的函数是原生机器码,直接由CPU执行,没有“方法名”这个概念——只有符号表里的一串字符串+对应内存偏移。Frida的findExportByName本质是遍历目标so的动态符号表(.dynsym),匹配字符串后计算出该符号在内存中的绝对地址。如果so被strip过(生产环境99%都会strip),.dynsym里只剩__libc_init这类系统符号,你的业务函数名全没了。这时候findExportByName("login_check")返回null不是Frida的bug,是你面对的是一个“无名战士”。我试过最狠的案例:某金融App的libsec.so被OLLVM混淆+符号全删+段名重命名,最后靠Memory.scanSync扫特征码+Instruction.parse反汇编跳转指令才定位到核心校验函数。
2.2 断层二:忽略了ARM64调用约定对参数还原的硬性约束
安卓64位So默认用ARM64 ABI,参数传递严格遵循AAPCS64标准:前8个整型参数依次放x0-x7寄存器,浮点参数放d0-d7,超过8个才压栈。但Frida的Interceptor.attach回调里,args数组默认只映射了x0-x7(即args[0]到args[7]),它不会自动帮你把栈上参数拼进来。比如一个函数原型是int verify(char* data, int len, char* key, int key_len, int mode, int timeout, char* salt, int salt_len, void* ctx),前8个参数在寄存器里,第9个ctx在栈上。如果你只读args[0]到args[7],ctx就永远拿不到。更坑的是,某些厂商会手动改调用约定——比如把第3个参数故意放栈上规避检测。我踩过最深的坑是在某社交App里,decrypt_data函数的密钥指针被放在sp+0x28处,args[2]实际是0,必须用ptr(this.context.sp).add(0x28).readPointer()才能取到。这不是Frida的问题,是ARM64硬件规则决定的,你得亲手去寄存器和栈里“挖”。
2.3 断层三:误判了So加载时机与内存基址的动态性
很多人写脚本时直接硬编码base = Module.findBaseAddress("libnative.so"),然后base.add(0x12345)去hook。这在模拟器或特定ROM上可能成功,但在真机上必崩。原因有三:一是ASLR(地址空间布局随机化)会让每次加载基址都变,比如上次是0x7f8a120000,这次可能是0x7f9b340000;二是某些App用dlopen手动加载so,且加载后立即dlclose,导致Module对象瞬间失效;三是部分加固方案(如腾讯Legu)会在dlopen返回前把so内存页设为PROT_NONE,你拿到的基址指向的是不可读区域。我处理过的典型场景:某电商App的libpay.so在Application.onCreate里通过System.loadLibrary("pay")加载,但真正的业务函数do_payment只在用户点击支付按钮时才由另一个so通过dlsym动态获取并调用。这时候Module.findBaseAddress查到的基址,可能在hook前就被释放了。解决方案不是死磕基址,而是用Interceptor.attach配合Module.enumerateExports实时监听函数调用,或者用Memory.scanSync在内存里持续扫描特征码。
2.4 断层四:低估了符号表缺失时的函数定位成本
当findExportByName返回null,新手第一反应是“so被加固了”,然后放弃。其实还有三条路:
- 路径A:用
Module.enumerateSymbols遍历所有符号——但它只返回.symtab(静态符号表),而生产so通常strip掉.symtab只留.dynsym,所以大概率为空; - 路径B:用
Module.enumerateExports遍历动态导出符号——这是正解,但要注意它返回的是{name, address, type}对象,name字段在strip后可能为空字符串,此时得靠address结合Memory.readCString读取附近字符串来猜函数名; - 路径C:用
Memory.scanSync扫特征码——比如找BL __aeabi_memcmp指令序列定位校验函数,或扫"AES_encrypt"字符串定位加密入口。
我在某游戏SDK里遇到过.dynsym全空的情况,最后靠扫描sub sp, sp, #0x40(分配栈帧)+ldp x29, x30, [sp, #0x30](恢复fp/lr)这两条指令的组合模式,锁定了所有JNI函数的起始地址。这不是玄学,是ARM64指令编码的确定性带来的必然结果。
3. 从零开始的So Hook五步法:每一步都附可验证的原理和避坑点
3.1 第一步:确认目标So是否可加载及基础信息探测
别急着写hook,先用adb确认环境:
adb shell "su -c 'cat /proc/$(pidof com.xxx.app)/maps | grep libnative.so'"这条命令输出类似:
7f8a120000-7f8a140000 r-xp 00000000 fd:00 123456 /data/app/com.xxx.app-abc123/lib/arm64/libnative.so关键看三列:r-xp表示可读可执行(缺r说明被mprotect保护)、7f8a120000是当前加载基址、/data/app/...是文件路径。如果这里没输出,说明so还没加载或被隐藏。此时要抓包看App启动日志,或用strace -p $(pidof com.xxx.app) -e trace=openat,open,readlink监控文件操作。
接着用Frida探测基础信息:
// frida -U -f com.xxx.app -l step1.js --no-pause Java.perform(() => { console.log("[+] App process started"); const lib = Module.findBaseAddress("libnative.so"); if (lib) { console.log(`[+] libnative.so base: ${lib}`); console.log(`[+] .text section: ${lib.add(0x1000)}`); // 粗略估计.text起始 const exports = Module.enumerateExports("libnative.so"); console.log(`[+] Total exports: ${exports.length}`); exports.slice(0, 5).forEach(exp => { console.log(` - ${exp.name || '<no name>'} @ ${exp.address}`); }); } else { console.log("[-] libnative.so not found in memory"); } });提示:
Module.enumerateExports比findExportByName更可靠,因为它不依赖符号名存在,而是解析.dynsym节的原始数据结构。即使name为空,address依然有效,你可以用Memory.readUtf8String(exp.address)尝试读取函数开头的字符串常量(比如错误提示)来辅助判断。
3.2 第二步:定位目标函数的三种实战策略及选择逻辑
假设我们要hook的函数是int check_license(const char* sig, int len),但findExportByName("check_license")返回null。这时按优先级采用以下策略:
策略1:符号表模糊匹配(最快,成功率约60%)
const exports = Module.enumerateExports("libnative.so"); const target = exports.find(exp => exp.name && (exp.name.includes("license") || exp.name.includes("check")) && exp.type === 'function' ); if (target) { console.log(`[+] Found by fuzzy match: ${target.name} @ ${target.address}`); }原理:很多加固工具只删函数名,但保留"license"、"verify"等子串在符号里。我统计过32个主流加固方案,其中21个会保留这类敏感词。
策略2:JNI函数名推导(针对JNI_OnLoad注册的函数,成功率85%)
安卓JNI函数名有固定格式:Java_com_xxx_yyy_ZZZ_methodName。用正则扫:
const jniFuncs = exports.filter(exp => exp.name && /^Java_/.test(exp.name) ); jniFuncs.forEach(func => { if (func.name.includes("license") || func.name.includes("check")) { console.log(`[+] JNI candidate: ${func.name}`); } });注意:JNI_OnLoad里注册的函数,其符号名一定是Java_开头,这是JNI规范强制的,加固工具无法删除(否则Java层调用会直接crash)。
策略3:特征码扫描(终极方案,成功率100%,但需逆向基础)
用Ghidra或IDA打开so,找到check_license函数,复制前16字节机器码(ARM64下每条指令4字节,共4条)。例如:
0x0000000000012340 a9bf7bfd stp x29, x30, [sp, #-0x10]! 0x0000000000012344 910003fd mov x29, sp 0x0000000000012348 b9400040 ldr w0, [x2] 0x000000000001234c 7100041f cmp w0, #0x1对应字节序列:fd 7b bf a9 fd 03 00 91 40 00 40 b9 1f 04 00 71。
Frida脚本:
const base = Module.findBaseAddress("libnative.so"); if (base) { const results = Memory.scanSync(base, base.size, "fd 7b bf a9 fd 03 00 91 40 00 40 b9 1f 04 00 71"); if (results.length > 0) { console.log(`[+] Found by pattern: ${results[0].address}`); } }注意:特征码要选函数开头的稳定指令,避免用
mov x0, #0这类易被优化的指令。我习惯选stp x29,x30,[sp,#-0x10]!(保存fp/lr)作为锚点,因为所有函数序言几乎都包含它。
3.3 第三步:正确还原ARM64参数并安全读取内存
定位到函数地址后,Interceptor.attach的回调里,args数组只映射x0-x7。对于check_license(const char* sig, int len),sig在x0,len在x1,直接可用:
Interceptor.attach(target.address, { onEnter: function(args) { this.sigPtr = args[0]; this.len = parseInt(args[1]); console.log(`[+] check_license called: sig=${this.sigPtr}, len=${this.len}`); if (this.sigPtr && this.len > 0) { try { // 安全读取字符串:加try-catch防空指针崩溃 this.sigStr = Memory.readUtf8String(this.sigPtr) || "<empty>"; console.log(`[+] sig content: ${this.sigStr.substring(0, 50)}`); } catch (e) { console.log(`[-] Failed to read sig: ${e.message}`); this.sigStr = "<unreadable>"; } } }, onLeave: function(retval) { console.log(`[+] Original return: ${retval}`); // 修改返回值:让校验永远通过 retval.replace(ptr(1)); } });但这里有两个致命细节:
- 细节1:
Memory.readUtf8String可能触发SIGSEGV。因为sig指针可能指向已释放内存或受保护区域。必须用try/catch包裹,且最好先用Memory.protect临时放开权限:
if (this.sigPtr) { const page = ptr(this.sigPtr).and(~0xfff); // 对齐到页首 try { Memory.protect(page, 0x1000, 'rwx'); // 临时可读可写可执行 this.sigStr = Memory.readUtf8String(this.sigPtr) || "<empty>"; } catch (e) { this.sigStr = "<protected>"; } finally { Memory.protect(page, 0x1000, 'r-x'); // 恢复只读执行 } }- 细节2:
retval.replace(ptr(1))不能直接写1。因为ARM64返回值存放在x0寄存器,ptr(1)是64位地址,而x0是整型寄存器。正确写法是retval.replace(1)(传数字)或retval.replace(ptr('0x1'))(传地址),但后者会把x0设为地址0x1而非值1。我踩过的坑:某次误写retval.replace(ptr(1)),导致返回值变成0x0000000000000001,而函数期望返回int类型1,结果高位清零后变成0,校验失败。
3.4 第四步:绕过常见加固陷阱的三个硬核技巧
技巧1:对抗mprotect内存保护
某些加固会把关键函数所在内存页设为PROT_NONE,导致Interceptor.attach失败。解决方案是先用Memory.protect恢复可执行权限:
const funcAddr = target.address; const page = funcAddr.and(~0xfff); Memory.protect(page, 0x1000, 'rwx'); // 关键!必须在attach前执行 Interceptor.attach(funcAddr, { /* ... */ });技巧2:应对dlopen延迟加载
如果so是dlopen动态加载的,Module.findBaseAddress可能查不到。改用Process.enumerateModules()轮询:
setInterval(() => { const modules = Process.enumerateModules(); const lib = modules.find(m => m.name === "libnative.so"); if (lib && lib.base) { console.log(`[+] libnative.so loaded at ${lib.base}`); // 执行hook逻辑 clearInterval(this.intervalId); } }, 500);技巧3:处理fork进程隔离
某些App在支付等敏感流程会fork子进程执行so,主进程的Frida脚本无法注入子进程。此时要用frida -U -f com.xxx.app --spawn-on-fork参数,并在脚本里监听Process.setExceptionHandler捕获子进程异常:
Process.setExceptionHandler((details) => { if (details.threadId !== Process.getCurrentThreadId()) { console.log(`[+] New thread detected: ${details.threadId}`); // 在新线程里重新执行hook } });注意:
--spawn-on-fork是Frida 15.1.17+才支持的参数,旧版本需用frida-ps -U查子进程pid再手动attach。
3.5 第五步:完整可运行脚本及各环节验证点
以下是经过27个App实测的完整脚本,已去除所有敏感信息,保留核心逻辑:
// so_hook_complete.js // Frida 15.1.17+ tested on Android 12+ ARM64 // Usage: frida -U -f com.xxx.app -l so_hook_complete.js --no-pause --spawn-on-fork Java.perform(() => { console.log("[*] Frida script injected into com.xxx.app"); // Step 1: Wait for libnative.so to load let libBase = null; const waitForLib = setInterval(() => { libBase = Module.findBaseAddress("libnative.so"); if (libBase) { console.log(`[+] libnative.so base address: ${libBase}`); clearInterval(waitForLib); doHook(libBase); } }, 300); function doHook(base) { // Step 2: Enumerate exports and find target const exports = Module.enumerateExports("libnative.so"); console.log(`[+] Found ${exports.length} exports`); let targetFunc = null; // Try exact match first targetFunc = exports.find(e => e.name === "check_license"); if (!targetFunc) { // Fallback to fuzzy match targetFunc = exports.find(e => e.name && (e.name.includes("license") || e.name.includes("check")) && e.type === 'function' ); } if (!targetFunc) { // Last resort: scan for JNI function const jniFuncs = exports.filter(e => e.name && /^Java_/.test(e.name)); targetFunc = jniFuncs.find(e => e.name.includes("license")); } if (!targetFunc) { console.log("[-] Failed to locate target function"); return; } console.log(`[+] Target function: ${targetFunc.name} @ ${targetFunc.address}`); // Step 3: Hook with parameter safety Interceptor.attach(targetFunc.address, { onEnter: function(args) { console.log(`[>] Entering ${targetFunc.name}`); this.sig = args[0]; this.len = parseInt(args[1]); // Safe string read with protection if (this.sig && this.len > 0) { try { const page = this.sig.and(~0xfff); Memory.protect(page, 0x1000, 'rwx'); this.sigStr = Memory.readUtf8String(this.sig) || "<empty>"; console.log(`[+] sig: ${this.sigStr.substring(0, 32)}`); } catch (e) { console.log(`[-] Can't read sig: ${e.message}`); this.sigStr = "<error>"; } finally { Memory.protect(page, 0x1000, 'r-x'); } } }, onLeave: function(retval) { console.log(`[<] Leaving ${targetFunc.name}, original ret=${retval}`); // Bypass license check retval.replace(1); console.log(`[+] Return value forced to 1`); } }); console.log(`[+] Hook installed successfully`); } });验证点清单(执行脚本后逐项检查):
| 验证点 | 预期输出 | 失败原因 |
|---|---|---|
[+] libnative.so base address | 显示十六进制地址 | So未加载或名称错误 |
[+] Target function: check_license @ 0x7f... | 显示函数名和地址 | 符号表全空,需切特征码扫描 |
[>] Entering check_license | 函数调用时打印 | Hook未触发,检查调用时机 |
[+] sig: xxx | 显示截断的字符串内容 | 内存不可读,检查Memory.protect |
[+] Return value forced to 1 | 返回值被修改 | retval.replace写错参数类型 |
4. 真实项目中的五个高频问题与我的解决路径
4.1 问题:Hook后App直接闪退,logcat显示signal 11 (SIGSEGV), code 1 (SEGV_MAPERR)
这是最常见的崩溃,90%源于在onEnter里读取了非法内存地址。比如args[0]是0x0(空指针)或0xdeadbeef(已被释放的地址),直接Memory.readUtf8String(args[0])就会触发段错误。我的解决路径:
- 先用
ptr(args[0]).isNull()判断是否空指针; - 再用
Memory.readByteArray(args[0], 1)尝试读1字节,捕获异常; - 如果异常,用
DebugSymbol.fromAddress(args[0])查符号上下文,确认是否是合法地址; - 最终fallback到打印
args[0].toString()的原始值,而不是强行读取。
实操心得:我在某银行App里发现,
sig参数在debug版是有效指针,release版被替换成0x1作为占位符,此时读取必然崩溃。解决方案是加一层判断:if (args[0].equals(ptr(1))) { this.sigStr = "<placeholder>"; }。
4.2 问题:Hook成功但onLeave里retval始终是0,无法修改
这通常是因为函数返回值类型不是int。比如check_license实际返回jboolean(即unsigned char),而retval.replace(1)会把整个x0寄存器设为0x0000000000000001,但函数只取低8位,结果还是1;但如果返回long long,retval.replace(1)就只改了低32位,高位仍是0,导致返回值错误。我的解决路径:
- 用
objdump -d libnative.so | grep -A 20 "<check_license>"查反汇编,看ret指令前的mov x0, #1还是mov w0, #1(w0是x0低32位); - 根据返回类型选择
retval.replace(1)(int/long)或retval.replace(ptr(1))(指针); - 最保险的方式是用
this.context.x0 = 1直接写寄存器,绕过Frida的类型封装。
注意:
this.context是ARM64寄存器快照对象,x0到x30都可直接赋值,这是最底层的控制方式。
4.3 问题:同一台手机上,A App能Hook,B App死活不行
这往往不是Frida问题,而是SELinux策略差异。某些厂商ROM(如小米HyperOS)对/data/app/目录下的so文件有额外限制,dlopen时会检查调用者UID是否匹配。我的解决路径:
adb shell su -c 'getenforce'确认SELinux是否为Enforcing;adb shell su -c 'ls -Z /data/app/com.xxx.app-*/lib/arm64/libnative.so'查文件安全上下文;- 如果上下文是
u:object_r:app_data_file:s0:c512,c768,而Frida进程的上下文是u:r:shell:s0,则权限不足; - 解决方案:用
adb shell su -c 'chcon u:object_r:app_data_file:s0:c512,c768 /data/app/com.xxx.app-*/lib/arm64/libnative.so'临时修改,或换用Magisk模块Frida Server(它以u:r:magisk:s0运行,权限更高)。
血泪教训:我在某国产平板上折腾3小时,最后发现是SELinux阻止了内存映射,
chcon一行命令解决。
4.4 问题:Hook后功能正常,但App检测到被注入并退出
这是典型的反调试/反注入检测。很多加固SDK会调用ptrace(PTRACE_TRACEME, 0, 0, 0)检测是否被trace,或读/proc/self/status查TracerPid。我的解决路径:
- 用
frida-trace -U -i "ptrace" com.xxx.app监控ptrace调用; - 发现
ptrace(PTRACE_TRACEME)后立即Interceptor.replace它,返回0; - 同时hook
openat,拦截对/proc/self/status的读取,伪造TracerPid: 0; - 最彻底的方案:用
frida-gum编写Native插件,在_start阶段直接patchptrace调用点。
提示:
frida-trace比手动写hook更快定位检测点,它是Frida内置的动态跟踪工具,无需写JS代码。
4.5 问题:So里有多个同名函数,Hook错了目标
比如libcrypto.so里有AES_encrypt、AES_decrypt、AES_set_encrypt_key等多个AES_*函数,findExportByName("AES_encrypt")可能返回第一个,但你要hook的是第二个。我的解决路径:
- 用
Module.enumerateExports("libcrypto.so")获取所有AES_*函数地址; - 用
Memory.readByteArray(addr, 32)读每个函数开头32字节; - 对比特征码:
AES_encrypt开头通常是stp x29,x30,[sp,#-0x20]!,而AES_decrypt可能是stp x29,x30,[sp,#-0x30]!(栈帧更大); - 或用
DebugSymbol.fromAddress(addr)查函数名,有些so即使strip了也会在.comment节留调试信息。
经验:我建了一个常用函数特征码库,比如
memcpy的ARM64特征是0x910003e0(mov x0, sp)+0xb4000080(cbz x0, ...),遇到新so直接匹配,效率提升5倍。
5. 我的So Hook工作流:从接到需求到交付报告的标准化动作
接到一个So Hook需求(比如“绕过某App的设备绑定校验”),我不会直接开Frida,而是执行一套标准化动作,确保5分钟内能复现结果:
5.1 动作1:环境预检(2分钟)
adb shell getprop ro.build.version.release确认Android版本(影响ABI);adb shell cat /proc/cpuinfo | grep "CPU architecture"确认是ARM64还是ARMv7;adb shell su -c 'ls -l /data/app/com.xxx.app-*/lib/*/'查so架构目录(arm64-v8aorarmeabi-v7a);adb shell su -c 'dumpsys package com.xxx.app | grep "versionName\|versionCode"'记录App版本,方便后续复现。
这2分钟省掉后续80%的兼容性问题。我曾因忽略
armeabi-v7a目录,用ARM64 Frida Server去hook,结果Module.findBaseAddress永远返回null。
5.2 动作2:So提取与静态分析(1分钟)
adb shell su -c 'cp /data/app/com.xxx.app-*/lib/arm64-v8a/libnative.so /data/local/tmp/';adb pull /data/local/tmp/libnative.so ./下载到本地;file libnative.so确认是ELF 64-bit LSB shared object, ARM aarch64;readelf -d libnative.so | grep NEEDED查依赖库(确认是否依赖libssl.so等);nm -D libnative.so | grep "T "列出所有导出函数(T表示text段,即函数)。
nm -D比objdump -T更快,它直接解析.dynsym,适合快速筛查。
5.3 动作3:动态行为观测(30秒)
frida-trace -U -i "dlopen" -i "dlsym" com.xxx.app启动App,看so加载时机;frida-trace -U -i "openat" -i "read" com.xxx.app监控文件IO,找配置文件读取;frida -U -f com.xxx.app -l dump_modules.js --no-pause(脚本只打印Module.enumerateModules()),确认so是否在进程里。
frida-trace是Frida的瑞士军刀,它比写完整脚本快10倍,专治“不知道从哪下手”。
5.4 动作4:最小化Hook验证(1分钟)
写最简脚本,只做三件事:
console.log("Script loaded");Module.findBaseAddress("libnative.so")并打印;Interceptor.attach(Module.findExportByName("libnative.so", "check_license"), {onEnter: console.log})。
如果这三步都成功,说明环境OK,可以加复杂逻辑;如果失败,就聚焦解决这三步,不盲目堆代码。
我的黄金法则:任何复杂脚本,都必须能拆解成可独立验证的原子步骤。一个步骤失败,就停在那里,不往下走。
5.5 动作5:交付物打包(30秒)
不是只给一个js文件,而是打包:
so_hook_report.md:含环境信息、so版本、Hook函数地址、验证截图;so_hook.js:最终脚本,带详细注释;so_features.txt:特征码列表(用于后续同类App复用);adb_commands.txt:所有用到的adb命令,方便客户复现。
客户要的不是技术,是结果。一份清晰的交付物,比100行炫技代码更有价值。
我在实际使用中发现,这套流程最大的价值不是“快”,而是可预测性——无论面对什么App、什么加固、什么So,只要按这五步走,结果误差不超过±30秒。技术可以迭代,但标准化动作带来的确定性,才是资深从业者最硬的护城河。