尝试学习frida

尝试直接用frida看看能不能调试

frida -U -f com.leleketang.SchoolFantasy

预想之中, 所以得先反调试…啊, 好难啊,,360加固框架到底怎么反调试的??查看了一篇360加固分析的博客, 望而却步.. #2026年4月21日 先玩会儿吧.. 还是先弄懂frida对native层的调试接口吧. Interceptor是拦截器, 引出的问题是:

• 插哪儿
• 插完要做什么 学习这个博客的一个脚本

  function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), {
        onEnter: function(args) {
            var pathptr = args[0];
            if (pathptr) {
                var path = ptr(pathptr).readCString();
                console.log("Loading: " + path);
                if (path.indexOf(soName) >= 0) {
                    console.log("Already loading: " + soName);
                    // hook_system_property_get();
                }
            }
        }
    });
  }
  setImmediate(hook_dlopen, "libmsaoaidsec.so");
  

  一看这是老版本的frida, 这个坑我踩过. 最新版api应该如下写:Module.getGlobalExportByName(“android_dlopen_ext”)

  function hook_dlopen(soName = '') {
    Interceptor.attach(Module.getGlobalExportByName("android_dlopen_ext"), {
        onEnter: function(args) {
            var pathptr = args[0];
            if (pathptr) {
                var path = ptr(pathptr).readCString();
                console.log("Loading: " + path);
                if (path.indexOf(soName) >= 0) {
                    console.log("Already loading: " + soName);
                    // hook_system_property_get();
                }
            }
        }
    });
  }
  setImmediate(hook_dlopen, "libmsaoaidsec.so");
  

  真的看着好陌生的知识啊, 但是当初自学java也是这样一路摸索过来的, 我相信我自己能掌握这门技术. 我想看看android_dlopen_ext函数参数, 去看看对应的源码.

  __attribute__((__weak__))
  void* android_dlopen_ext(const char* filename, int flag, const android_dlextinfo* extinfo) {
  const void* caller_addr = __builtin_return_address(0);
  return __loader_android_dlopen_ext(filename, flag, extinfo, caller_addr);
  }
  

  问一下AI吧 https://www.qianwen.com/share/chat/a27f1b7eb6aa4dbea72d3c1b832e4d26 所以, 联系上面的脚本, 可以得知: attach只能是附加到对应的函数, 而onEnter里就取用了第一个参数args[0]: 加载路径. Module.getGlobalExportByName("android_dlopen_ext")的作用是找到这个函数在内存中的具体位置? 问AI核对一下.. 确实如此.. 接着的参数就是hook后的回调函数.好多未知的知识啊,疑问太多了.. 去看具体的Frida文档吧. 一句一句学! 不然学得模模糊糊的, 没有一点进展..

To be more productive, we highly recommend using our TypeScript bindings. This means you get code completion, type checking, inline docs, refactoring tools, etc.

• 为了更高效, 我们强烈推荐使用我们的TypeScript配套. 这意味着你获得了代码补全, 类型检查, 内联文档, 重构工具等.

原来我一开始就错了, 对js有着偏爱情怀, 但是我决定改变, 我接受不了一点js的无类型判定! 我先去试试ts咋用的. 查看到一篇博客, 感觉像是打开了新大陆.. 确实, 自己的脚本对于大部分app应该是通用的, 重复编写浪费事件, 确实应该变成ide中可调用的模块.. 并且我电脑上也安装了node.js, 配置起来环境应该不是问题. visual studio code 的 自动补全就像糊弄鬼一样, 补全了, 但没有完全补全.. 博客里的ide是pycharm, 我不太熟悉, damn!! 才发现后面几句话就说了, 有模板库..

Clone this repo to get started.

• 克隆此仓库开始..

那还说啥了, Git 启动!!

git clone https://github.com/oleavr/frida-agent-example.git

然后我尝试用IDEA打开..打开后, idea会自动提示: 发现package.json, 是否需要npm安装. 然后就没有报错了..随便一写, 嘿, 还真能主动提示了.. 真棒, 今天又学了新东西, 还可以利用ts的模块功能, 不用重复写脚本咯..接着看文档吧.

Table of contents

1. Runtime information

   运行时信息

   1. Frida

      Frida

   2. Script

      脚本

2. Process, Thread, Module and Memory

   进程, 线程, 模块, 内存

   1. Thread

      线程

   2. Process

      进程

   3. Module

      模块

   4. ModuleMap

      模块映射

   5. Memory

      内存

   6. MemoryAccessMonitor

      内存访问监控器

   7. CModule

      C模块

   8. RustModule

      Rust模块

   9. ApiResolver

      API解释器

   10. DebugSymbol

       调试符号

   11. Kernel

       内核

3. Data Types, Function and Callback

   数据类型, 函数, 回调

   1. Int64

      64位整型

   2. UInt64

      无符号64位整型

   3. NativePointer

      Native层指针

   4. ArrayBuffer

      队列缓冲

   5. NativeFunction

      Native函数

   6. NativeCallback

      Native回调

   7. SystemFunction

      符号函数

4. Network

   网络

   1. Socket

      套接字

   2. SocketListener

      套接字监听器

   3. SocketConnection

      套接字连接

5. File and Stream

   文件和流

   1. File

      文件

   2. IOStream

      输入输入流

   3. InputStream

      输入流

   4. OutputStream

      输出流

   5. UnixInputStream

      Unix系统的输入流

   6. UnixOutputStream

      Unix系统的输出流

   7. Win32InputStream

      Win32系统的输入流

   8. Win32OutputStreamWin32系统的输出流

6. Database

   数据库

   1. SqliteDatabase

      数据库

   2. SqliteStatement

      数据库状态

7. Instrumentation

   工具

   1. Interceptor

      拦截器

   2. Stalker

      追踪器

   3. ObjC

      对象C

   4. Java

      对象Java

8. CPU Instruction

   CPU工具

   1. Instruction

      工具

   2. X86Writer

      x86写入器

   3. X86Relocator

      x86重定位器

   4. x86 enum types

      x86枚举类型

   5. ArmWriter

      Arm写入器

   6. ArmRelocator

      Arm重定位器

   7. ThumbWriter

      小写入器

   8. ThumbRelocator

      小重定位器

   9. ARM enum types

      Arm枚举类型

   10. Arm64Writer

   11. Arm64Relocator

   12. AArch64 enum types

   13. MipsWriter

   14. MipsRelocator

   15. MIPS enum types

9. Other

   其他

   1. Console

   2. Hexdump

   3. Shorthand

   4. Communication between host and injected process

   5. Timing events

   6. Garbage collection

   7. Worker

   8. Cloak

   9. Profiler

   10. Sampler

   11. CycleSampler

   12. BusyCycleSampler

   13. WallClockSampler

   14. UserTimeSampler

   15. MallocCountSampler

   16. CallCountSampler