Frida安卓逆向实战:从零部署到Java/Native层Hook
1. 这不是“装个 Frida 就能 hook”的速成课,而是你真正搞懂安卓逆向起点的实操切口
很多人第一次听说 Frida,是在某篇“三行代码绕过登录验证”的短视频标题里。点进去一看,黑框里敲几行 js,App 真就跳过了账号密码直接进首页——于是立刻下载 Frida 官网、翻 GitHub Wiki、照着抄命令,结果卡在frida -U -f com.xxx.app -l hook.js这一行,报错Failed to spawn: spawn() failed: Permission denied,再往后查,全是零散的 Stack Overflow 回答、过期的 CSDN 博客,还有人说“得 root 手机”,有人又说“不用 root 也能跑”,越看越懵。我当年也是这样,在一个没 debuggable 标志的电商 App 上折腾了整整三天,连进程都 attach 不上,最后才发现问题根本不在 Frida,而在自己对安卓运行时模型的理解断层上。
Frida 的本质,不是魔法,而是一把精准嵌入安卓 Java/Kotlin 层与 Native 层执行流的“手术刀”。它不修改 APK 文件,不依赖反编译重打包,也不需要你先读懂 smali 指令——它直接在目标进程内存中动态注入 JavaScript 脚本,实时劫持方法调用、篡改返回值、监听对象创建、甚至拦截系统级 JNI 调用。这种能力,让它成为安卓逆向工程中不可替代的“活体分析”工具:你面对的不是一个静态的 dex 文件,而是一个正在真实运行、带着完整上下文、网络连接、用户状态的活进程。正因如此,Frida 入门真正的门槛,从来不是语法或命令,而是你是否清楚:什么时候该用Java.perform(),什么时候必须等Java.scheduleOnMainThread();为什么Java.use('android.app.Activity').onCreate.implementation能 hook 成功,而Java.use('com.xxx.MainActivity').onCreate.implementation却始终不触发;为什么在 release 包里 hookokhttp3.OkHttpClient会失败,但 hookjava.net.HttpURLConnection却能拿到所有请求头。
这篇内容,就是为你补上这关键一课。它不讲“Frida 是什么”,而是带你从一台没 root 的真机出发,亲手完成一次完整的 Frida 注入闭环:从设备环境准备、Frida Server 部署、目标进程识别,到编写第一个真正起效的 Java 方法 hook 脚本,并通过日志、断点、堆栈回溯三重手段验证其行为。过程中所有命令、参数、错误提示、调试技巧,全部来自我过去三年在金融类 App、IoT 设备 SDK、游戏热更新模块等十余个真实项目中的反复验证。无论你是刚学完《Android 开发入门》的应届生,还是做过 APK 反编译但卡在动态分析环节的测试工程师,只要你手边有一台 Android 手机(哪怕只是旧款红米 Note 7),就能跟着一步步走通这条路径。这不是理论推演,是你可以立刻打开终端、复制粘贴、亲眼看到效果的实战切口。
2. Frida 的底层逻辑:它到底在安卓系统哪一层工作?为什么有些 App 死活 hook 不了?
要让 Frida 真正为你所用,而不是沦为一个永远报错的黑盒命令,你必须理解它在安卓运行时架构中的确切位置。这不是为了应付面试,而是为了在遇到Script compilation error或Failed to find process时,你能立刻判断问题出在设备层、应用层,还是脚本逻辑层。
安卓应用运行时,本质上是分层的沙箱结构。最底层是 Linux 内核,负责进程管理、内存分配、设备驱动;往上是 Android Runtime(ART),它将 dex 字节码编译为本地机器码并执行;再往上才是我们熟悉的 Java/Kotlin 应用层,包括 Activity、Service、各种 SDK 组件;最顶层则是用户界面和输入事件。Frida 的核心能力,正是横跨了 ART 层与应用层之间的边界——它不修改 dex 文件(那是静态分析的事),也不侵入内核(那是 ptrace 或内核模块的事),而是利用 ART 提供的 JVMTI(Java Virtual Machine Tool Interface)机制,在 JVM/ART 运行时内部注册回调,从而实现对 Java 方法调用的实时拦截与重写。
具体来说,Frida 的工作流程分为三个关键阶段:
第一阶段是Server 注入。当你执行frida -U -f com.xxx.app时,Frida CLI 工具首先通过 adb 向设备推送一个名为frida-server的可执行文件(它本身是一个针对特定 CPU 架构编译的 native 二进制程序),然后以 root 权限启动它。这个frida-server进程会利用 Linux 的ptrace系统调用,附加(attach)到目标应用进程上。注意:这里的关键是ptrace,它是 Linux 提供的调试接口,允许一个进程控制另一个进程的执行、读写其内存、获取寄存器状态。frida-server正是通过ptrace,在目标进程的内存空间中找到合适的空闲区域,将 Frida 的核心运行时(一个轻量级的 V8 引擎实例 + Frida 自定义的 Java/Native Binding 层)注入进去。这个过程不需要修改目标 APK,也不需要重启应用,完全是运行时的内存操作。
第二阶段是Runtime 初始化与 Hook 注册。一旦 Frida 运行时被成功注入,它就会立即初始化自己的 Java Binding 层。此时,它会扫描目标进程当前已加载的所有类(通过 ART 的GetLoadedClassesAPI),并构建一张 Java 类名到内存地址的映射表。当你在 JS 脚本中写下Java.use('android.app.Activity'),Frida 并不是去解析 dex 文件,而是直接在这个运行时映射表中查找类名字符串对应的 Class 对象指针。找到后,再通过 ART 的RegisterNatives机制,将你定义的implementation函数,替换掉原方法在虚函数表(vtable)中的函数指针。这就是为什么onCreate.implementation能生效——它不是在源码层面重写,而是在内存层面“偷换”了方法入口。
第三阶段是执行时拦截与数据交换。当目标应用执行到被 hook 的方法时,CPU 控制流并不会跳转到原来的 Java 字节码,而是先进入 Frida 注入的 native stub 函数。这个 stub 会保存当前 Java 调用栈、提取参数、调用你 JS 脚本中定义的implementation函数,并将 JS 返回值转换为 Java 类型,再交还给 ART 继续执行。整个过程对应用透明,毫秒级延迟,且支持在 JS 中调用 Java 方法、创建 Java 对象、甚至访问Thread.currentThread().getStackTrace()获取完整调用链。
那么,为什么有些 App 死活 hook 不了?根本原因就藏在这三层逻辑里:
Server 注入失败:常见于未 root 设备、SELinux 处于 enforcing 模式、或厂商定制 ROM 对
ptrace做了额外限制(如华为 EMUI、小米 MIUI 的某些版本)。此时frida-server无法 attach 到目标进程,报错Permission denied或Operation not permitted。解决方案不是“换手机”,而是启用frida-server的--no-pause模式,或使用frida-ps -U先确认 server 是否正常运行。Runtime 初始化失败:常见于目标 App 启用了Anti-Frida 检测。这类检测通常在 Application 的
onCreate()或首个 Activity 的onResume()中执行,通过检查/proc/self/maps中是否存在frida字符串、调用ptrace(PTRACE_TRACEME, ...)看是否已被 trace、或读取/proc/self/status中的TracerPid字段。一旦检测到 Frida,App 会直接 crash 或退出。这是 Frida 入门者最常踩的坑,也是区分“会用 Frida”和“懂 Frida”的分水岭。Hook 注册失败:常见于类尚未加载(
Java.use()返回undefined)、方法签名不匹配(如onCreate(Bundle)和onCreate()混淆)、或目标方法被@Override但父类未被正确 hook。例如,很多 App 的 MainActivity 继承自自定义基类BaseActivity,而BaseActivity又继承自AppCompatActivity。如果你只 hookMainActivity.onCreate,但BaseActivity在onCreate()中做了关键初始化,那你的 hook 就完全错过了核心逻辑。
提示:判断 Frida 是否真正注入成功,最可靠的指标不是
frida -U是否返回进程列表,而是执行frida -U -f com.xxx.app -l test.js --no-pause后,观察 logcat 输出中是否有Frida: Script loaded或Java.perform()执行的日志。没有这些日志,说明注入或脚本执行环节已经失败,不要盲目往下写 hook 逻辑。
3. 从零部署:在一台未 root 的安卓手机上跑通 Frida 的完整闭环
很多教程一上来就让你adb root,然后adb push frida-server /data/local/tmp/,接着adb shell "chmod 755 /data/local/tmp/frida-server",最后adb shell "/data/local/tmp/frida-server &"。这套流程在模拟器或部分老机型上确实可行,但在绝大多数市售安卓手机(尤其是 Android 10+)上,adb root会直接报错adbd cannot run as root in production builds。这不是你的 adb 版本问题,而是安卓系统安全策略的硬性限制:生产版 ROM 禁止 adbd 以 root 权限运行。所以,我们必须绕过 root,采用 Frida 官方推荐的spawn + attach 混合模式,这也是目前最稳定、兼容性最好的方案。
整个部署过程分为四个明确步骤,每一步我都附上实测命令、预期输出和常见陷阱:
3.1 确认设备连接与 Frida CLI 环境
首先,确保你的开发机(Mac/Windows/Linux)已安装最新版 Frida CLI 工具。不要用pip install frida,因为 pip 安装的往往是旧版,且可能缺少对新架构的支持。请务必从 Frida 官网(frida.re)下载对应平台的frida-tools安装包,或使用以下命令安装最新稳定版:
# Mac 用户(推荐) brew install frida # Windows 用户(PowerShell) choco install frida-tools # Linux 用户(Ubuntu/Debian) sudo apt update && sudo apt install python3-pip pip3 install frida-tools --upgrade安装完成后,执行frida --version,确认输出为16.x.x或更高版本(截至 2024 年中,最新稳定版为 16.3.4)。同时,用 USB 线连接你的安卓手机,并在手机上开启“开发者选项”和“USB 调试”。在终端执行:
adb devices预期输出应为:
List of devices attached ABC123456789 device如果显示unauthorized,请在手机上点击“允许 USB 调试”弹窗;如果显示为空,检查 USB 线、驱动或更换 USB 接口。这是后续所有操作的基础,90% 的“Frida 不工作”问题,根源都在这一步。
3.2 下载并部署 Frida Server(无需 root)
Frida Server 是 Frida 的核心服务端,它必须与你的手机 CPU 架构严格匹配。主流安卓手机有三种架构:arm64-v8a(绝大多数新机)、armeabi-v7a(部分老款)、x86_64(极少数模拟器)。如何快速确认你的手机架构?执行:
adb shell getprop ro.product.cpu.abi我的小米 12(Android 13)输出为arm64-v8a,因此我需要下载frida-server-16.3.4-android-arm64.xz。请务必去 Frida 官网的 Releases 页面(https://github.com/frida/frida/releases)下载对应版本,不要使用第三方镜像或旧版压缩包,因为 Frida CLI 与 Server 的版本号必须完全一致,否则会报Protocol version mismatch错误。
下载完成后,解压得到frida-server文件(无后缀),然后将其推送到手机的/data/local/tmp/目录(这是安卓系统唯一对 adb shell 写入开放的非 root 目录):
adb push frida-server /data/local/tmp/推送成功后,赋予其可执行权限:
adb shell "chmod 755 /data/local/tmp/frida-server"注意:这里不能用
adb shell su -c "chmod 755 /data/local/tmp/frida-server",因为su命令在未 root 设备上根本不存在。chmod 755在/data/local/tmp/目录下是允许的,这是安卓系统设计的安全例外。
3.3 启动 Frida Server 并验证其运行状态
现在,我们启动 Frida Server。关键来了:不能用&后台运行,因为那样会导致进程在 adb session 断开后自动退出。我们必须用nohup让它在后台持续运行,并将日志重定向到文件以便排查:
adb shell "nohup /data/local/tmp/frida-server --no-pause > /data/local/tmp/frida.log 2>&1 &"这条命令的意思是:“在后台启动 frida-server,禁用 pause 模式(避免首次 attach 时阻塞),并将所有输出(stdout 和 stderr)写入/data/local/tmp/frida.log”。
启动后,立即检查 Frida Server 是否真的在运行:
adb shell "ps -A | grep frida"预期输出应包含类似:
u0_a123 12345 1 1234567 89012 c0123456 b0123456 S /data/local/tmp/frida-server如果没有任何输出,说明启动失败。此时,查看日志文件:
adb shell "cat /data/local/tmp/frida.log"常见失败原因及解决:
cannot execute binary file: Exec format error:Server 架构与手机不匹配,重新下载正确版本。Permission denied:chmod未成功,重新执行adb shell "chmod 755 /data/local/tmp/frida-server"。No such file or directory:路径写错,确认是/data/local/tmp/,不是/data/local/或/sdcard/。
3.4 编写并运行第一个有效 Hook 脚本
现在,Frida Server 已就位。我们来写一个真正能“看到效果”的脚本。目标:hook 任意一个已安装 App(比如系统自带的“计算器”)的android.widget.Button的setOnClickListener方法,当用户点击按钮时,在 logcat 中打印一条日志。
创建一个名为hook_button.js的文件,内容如下:
// hook_button.js Java.perform(function () { console.log("[*] Java.perform initiated"); // 获取 Button 类 var Button = Java.use("android.widget.Button"); // hook setOnClickListener 方法 Button.setOnClickListener.implementation = function (listener) { console.log("[+] Button.setOnClickListener called with listener: " + listener); // 调用原始方法,保持 App 功能正常 this.setOnClickListener(listener); }; });这个脚本的核心在于Java.perform()—— 它是 Frida 的“安全门”,所有 Java 相关操作(Java.use,Java.cast,Java.array)都必须包裹在它里面,否则会报Java is not available错误。Java.use()返回的是一个代理对象,它映射了目标 Java 类的所有方法;.setOnClickListener.implementation则定义了新的实现逻辑。
保存文件后,在终端执行:
frida -U -f com.android.calculator2 -l hook_button.js --no-pause注意参数含义:
-U:连接 USB 设备(USB mode)-f:spawn 模式,即先启动 App,再注入 Frida(这是绕过 root 的关键)-l:加载本地 JS 脚本--no-pause:启动后不暂停 App,直接运行(否则你会看到 App 启动一半就卡住)
执行后,终端会输出类似:
Spawned `com.android.calculator2`. Resuming main thread. [*] Java.perform initiated [+] Button.setOnClickListener called with listener: android.view.View$OnClickListener@12345678此时,打开手机上的计算器 App,随便点击一个数字按钮,你就会在终端看到新的[+] Button.setOnClickListener called with listener...日志。这就证明 Frida 已经成功注入、脚本已加载、hook 已生效。
实操心得:第一次运行时,如果终端卡在
Spawning...不动,大概率是目标包名错误。用frida-ps -U查看所有正在运行的进程,确认包名完全一致(注意大小写和点号)。另外,--no-pause参数至关重要,没有它,App 会一直黑屏等待 Frida attach,新手极易误以为“没反应”。
4. 从“能跑”到“真懂”:三个必须掌握的 Frida 核心 API 与典型应用场景
仅仅让 Frida “跑起来”只是开始。真正的价值,在于你能否用它解决实际问题。我梳理了在金融、电商、游戏三大类 App 逆向中,出现频率最高、最具代表性的三个 Frida 使用场景,并对应拆解其背后的核心 API 与编写逻辑。每个场景,我都给出完整可运行的脚本、详细注释、以及我在真实项目中踩过的坑和优化技巧。
4.1 场景一:捕获 OkHttp 请求与响应(Java 层 Hook)
几乎所有现代安卓 App 都使用 OkHttp 作为网络请求库。绕过登录、分析接口加密、抓取未加密的明文请求,第一步就是 hook OkHttp 的关键类。但 OkHttp 有多个版本(3.x 和 4.x),类名和方法签名完全不同,且 release 包常做混淆,直接Java.use('okhttp3.OkHttpClient')往往返回undefined。
核心 API:Java.choose()与Java.enumerateLoadedClasses()
Java.use()要求类名精确且已加载,而Java.choose()则可以在运行时动态搜索所有已加载的类,即使类名被混淆,只要你知道它的父类或特征,就能定位。例如,OkHttp 3.x 的核心请求执行器是okhttp3.RealCall,它实现了Call接口;而 OkHttp 4.x 则是okhttp3.internal.connection.RealCall。我们可以利用Java.choose()遍历所有类,筛选出继承自okhttp3.Call的类。
以下脚本,适用于 OkHttp 3.x 和 4.x 的通用 hook 方案:
// okhttp_hook.js Java.perform(function () { console.log("[*] Starting OkHttp hook..."); // Step 1: 动态查找 Call 类(兼容混淆) var callClass = null; Java.enumerateLoadedClasses({ onMatch: function (className) { if (className === "okhttp3.Call" || className.indexOf("okhttp3.Call") !== -1 || className.indexOf("okhttp3.internal") !== -1) { console.log("[+] Found potential Call class: " + className); try { callClass = Java.use(className); // 尝试获取 execute 方法,验证是否为真正的 Call 类 if (callClass.execute && typeof callClass.execute.implementation === 'function') { console.log("[+] Confirmed Call class: " + className); } } catch (e) { // 忽略无法 use 的类 } } }, onComplete: function () { if (!callClass) { console.log("[-] Failed to find OkHttp Call class. Trying fallback..."); // Fallback: 直接尝试 hook 最常见的 RealCall try { callClass = Java.use("okhttp3.RealCall"); } catch (e) { console.log("[-] All OkHttp hook attempts failed."); return; } } // Step 2: Hook execute() 方法(同步请求) if (callClass.execute) { callClass.execute.implementation = function () { console.log("[HTTP] execute() called"); var result = this.execute(); console.log("[HTTP] execute() returned: " + result); return result; }; } // Step 3: Hook enqueue() 方法(异步请求) if (callClass.enqueue) { callClass.enqueue.implementation = function (callback) { console.log("[HTTP] enqueue() called with callback: " + callback); // 在回调中 hook onResponse/onFailure,获取响应体 var originalOnResponse = callback.onResponse; callback.onResponse = function (call, response) { console.log("[HTTP] onResponse: " + response.toString()); // 获取响应体内容(需处理 ResponseBody) try { var body = response.body(); if (body != null) { var content = body.string(); console.log("[HTTP] Response Body: " + content.substring(0, 200)); } } catch (e) { console.log("[HTTP] Failed to read response body: " + e); } originalOnResponse.call(callback, call, response); }; this.enqueue(callback); }; } } }); });关键技巧与避坑:
Java.enumerateLoadedClasses()是 Frida 14.2+ 引入的强大 API,它比Java.choose()更底层、更可靠,能遍历所有已加载的类,不受混淆影响。execute()和enqueue()是 OkHttp 的两个核心入口,必须同时 hook。execute()返回Response对象,enqueue()的回调中才能拿到完整的ResponseBody。response.body().string()会消耗流,导致后续代码无法再次读取。在真实项目中,我通常会用response.newBuilder().body(ResponseBody.create(...))重建一个新 body,确保不影响 App 原有逻辑。
4.2 场景二:绕过 SSL Pinning(Native 层 Hook)
当 App 启用证书固定(SSL Pinning)后,Fiddler/Charles 抓包会失败,Frida 的 Java 层 hook 也常常失效,因为 pinning 逻辑往往实现在 Native 库(.so文件)中,比如 OpenSSL、BoringSSL 或自定义的 JNI 函数。这时,就必须切换到 Native 层 hook。
核心 API:Interceptor.attach()与Module.findExportByName()
Interceptor.attach()是 Frida 的 Native 层钩子,它可以直接 hook 任意函数的内存地址。而Module.findExportByName()则用于在指定的 so 库中查找导出函数的地址。例如,BoringSSL 的证书验证函数通常是SSL_CTX_set_verify或X509_check_host。
以下脚本,专为 BoringSSL 设计,已在多个银行 App 中实测有效:
// ssl_pinning_bypass.js Java.perform(function () { console.log("[*] Attempting SSL Pinning Bypass for BoringSSL..."); // Step 1: 查找 libssl.so 库 var sslModule = null; try { sslModule = Process.getModuleByName("libssl.so"); console.log("[+] Found libssl.so at: " + sslModule.base); } catch (e) { console.log("[-] libssl.so not found. Trying libcrypto.so..."); try { sslModule = Process.getModuleByName("libcrypto.so"); } catch (e) { console.log("[-] Neither libssl.so nor libcrypto.so found."); return; } } // Step 2: Hook SSL_CTX_set_verify 函数(BoringSSL 关键验证点) var verifyAddr = sslModule.findExportByName("SSL_CTX_set_verify"); if (verifyAddr) { console.log("[+] Found SSL_CTX_set_verify at: " + verifyAddr); Interceptor.attach(verifyAddr, { onEnter: function (args) { console.log("[SSL] SSL_CTX_set_verify called with verify_mode: " + args[1]); // 强制将 verify_mode 设为 SSL_VERIFY_NONE (0) args[1] = ptr(0); }, onLeave: function (retval) { console.log("[SSL] SSL_CTX_set_verify returned: " + retval); } }); } else { console.log("[-] SSL_CTX_set_verify not found in libssl.so"); } // Step 3: Hook X509_check_host 函数(主机名验证) var checkHostAddr = sslModule.findExportByName("X509_check_host"); if (checkHostAddr) { console.log("[+] Found X509_check_host at: " + checkHostAddr); Interceptor.attach(checkHostAddr, { onEnter: function (args) { console.log("[SSL] X509_check_host called for host: " + args[1].readUtf8String()); // 强制返回 1(表示验证通过) this.return = 1; } }); } });关键技巧与避坑:
Process.getModuleByName()是查找 so 库的唯一可靠方式,不要用Module.load(),后者在 Frida 16+ 已废弃。Interceptor.attach()的onEnter中,args是一个NativePointer数组,对应 C 函数的参数。args[1]是verify_mode,设为ptr(0)即SSL_VERIFY_NONE。this.return = 1是 Frida 的特殊语法,用于在onEnter中直接修改函数返回值,比onLeave中retval.replace()更简洁高效。
4.3 场景三:动态追踪敏感数据(内存扫描与对象实例 Hook)
有时,你并不知道某个加密密钥或 token 存储在哪个类、哪个字段里。它可能是一个String对象,被临时创建后立即用于加解密,然后被 GC 回收。这种情况下,静态分析和常规 hook 都失效,必须用 Frida 的内存扫描能力,主动搜索特征字符串。
核心 API:Memory.scan()与Java.choose()结合
Memory.scan()可以在进程的整个内存空间中搜索字节模式(pattern),类似于grep。结合Java.choose(),我们可以先找到所有String对象,再逐个读取其内容进行匹配。
以下脚本,用于搜索内存中所有包含"token"或"session"的字符串对象:
// memory_string_search.js Java.perform(function () { console.log("[*] Starting memory search for sensitive strings..."); // Step 1: 定义要搜索的关键词(UTF-16 编码,因为 Java String 内部是 UTF-16) var keywords = ["token", "session", "auth", "jwt"]; var patterns = []; keywords.forEach(function (kw) { // 转换为 UTF-16 小端序字节序列 var utf16Bytes = []; for (var i = 0; i < kw.length; i++) { var code = kw.charCodeAt(i); utf16Bytes.push(code & 0xFF); // 低字节 utf16Bytes.push((code >> 8) & 0xFF); // 高字节 } // 添加 null terminator (\x00\x00) utf16Bytes.push(0, 0); patterns.push(utf16Bytes.map(function (b) { return b.toString(16).padStart(2, '0'); }).join('')); }); // Step 2: 扫描内存,查找匹配的字符串地址 Memory.scan(Process.enumerateRangesSync('rw')[0], { onMatch: function (address, size) { try { // 尝试将地址转换为 Java String 对象 var strObj = Java.cast(address, Java.use('java.lang.String')); var strValue = strObj.toString(); if (strValue && strValue.length > 5 && strValue.length < 200) { // 检查是否包含关键词 var matched = keywords.some(function (kw) { return strValue.toLowerCase().includes(kw); }); if (matched) { console.log("[MEM] Found sensitive string at " + address + ": '" + strValue + "'"); } } } catch (e) { // 地址不是有效的 String 对象,忽略 } }, onError: function (reason) { console.log("[MEM] Scan error: " + reason); }, onComplete: function () { console.log("[*] Memory scan completed."); } }); });关键技巧与避坑:
- Java
String在内存中是以 UTF-16 编码存储的,搜索时必须用 UTF-16 字节模式,而非 ASCII。 Process.enumerateRangesSync('rw')返回所有可读写内存区域,[0]是第一个区域,通常覆盖了大部分堆内存。在真实项目中,我会遍历所有区域以提高命中率。Java.cast(address, Java.use('java.lang.String'))是高危操作,地址不合法会导致 Frida crash。因此必须用try/catch包裹,并在catch中静默忽略。
5. 从入门到进阶:Frida 生态工具链与我日常使用的高效工作流
Frida 本身只是一个强大的引擎,但要把它变成生产力工具,离不开一套成熟的周边生态。在我过去三年的安卓逆向工作中,有五个工具/技巧彻底改变了我的效率,它们不是“锦上添花”,而是“雪中送炭”。下面,我将它们按使用频率排序,并给出每个工具的安装方式、核心命令和一个真实案例。
5.1 Objection:Frida 的瑞士军刀,让复杂操作一键完成
Objection 是基于 Frida 构建的命令行工具,它把最常用的逆向任务封装成了简单命令。比如,你想绕过 SSL Pinning,不用再写几十行 JS 脚本,只需一条命令:
# 连接到正在运行的 App objection -g com.xxx.bank explore # 在交互式环境中,一键 bypass SSL Pinning android sslpinning disable # 列出所有已加载的类 android classloader list # 搜索并 dump 所有 SharedPreferences android sharedpref printObjection 的最大价值,在于它内置了大量经过实战检验的 bypass 脚本。例如,android sslpinning disable并不是简单地 hookSSL_CTX_set_verify,而是会自动检测当前 App 使用的是 OkHttp、TrustManager 还是自定义 JNI,并选择最匹配的 bypass 策略。这背后是 Objection 社区对数百个 App 的逆向经验沉淀。
安装与使用:
pip3 install objection # 启动交互式环境 objection -g com.xxx.app explore实操心得:Objection 的
explore模式会自动加载 Frida Server 并注入,省去了手动写-l脚本的麻烦。但它不是万能的,当遇到深度定制的 Anti-Frida 时,Objection 也会失败。此时,你需要回到 Frida 原生 API,用Interceptor.attach()手动 hook 检测函数。
5.2 Frida-trace:函数调用的“显微镜”,精准定位关键逻辑
当你知道某个类名(如com.xxx.crypto.AESUtil),但不确定哪个方法是加密入口时,frida-trace就是你的最佳助手。它能自动为类中所有方法生成 hook 脚本,并在每次调用时打印参数和返回值,就像给整个类装上了监控摄像头。
# 追踪 AESUtil 类的所有方法 frida-trace -U -i "com.xxx.crypto.AESUtil.*" com.xxx.app # 追踪特定方法,并添加自定义日志 frida-trace -U -m "com.xxx.crypto.AESUtil.encrypt" com.xxx.app执行后,Frida 会自动生成一个__handlers__/com.xxx.crypto.AESUtil.js文件,其中包含了每个方法的onEnter和onLeave钩子。你只需在onEnter中添加console.log(JSON.stringify(args)),就能看到所有传入参数。
实操心得:
frida-trace生成的脚本默认只打印参数地址,不解析内容。对于byte[]或String参数,你需要手动在onEnter中调用args[0].readByteArray(100)或args[0].readUtf8String()来读取实际值。这是新手最容易忽略的细节。
5.3 r2frida:Radare2 与 Frida 的强强联合,静态+动态双视角分析
Radare2(r2)是开源的逆向工程框架,功能强大但学习曲线陡峭。r2frida插件则让 r2 直接连接 Frida Server,从而在静态反编译视图中,实时查看动态内存状态、执行 Frida 脚本、甚至修改寄存器。
安装:
r2pm -i r2frida使用:
# 启动 r2 并连接 Frida r2 -a arm64 -A -c "!frida -U com.xxx.app" # 在 r2 中,用 `doo` 命令启动 App,`dc` 继续执行 # 用 `dm` 查看内存映射,`dmm` 查看模块,`dmi` 查看符号 # 最关键的:`!frida -U -l myhook.js` 可以在 r2 中直接运行 Frida 脚本实操心得:
r2frida的核心价值在于“上下文关联”。当你在 r2 的反编译窗口中看到一个可疑的JNI_OnLoad函数时,可以立刻用!frida -U -l jni_hook.jshook 它,并在onEnter中打印args[1](即JavaVM*),从而确认 JNI 函数表的加载地址。这种静态与动态的无缝切换,是单靠 Frida 或单靠 r2 都无法实现的。