FridaHook_initarray 介绍

最新推荐文章于 2025-06-13 12:14:49 发布
最新推荐文章于 2025-06-13 12:14:49 发布
阅读量653 收藏 18
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 安卓逆向 文章标签: arm开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SXXYNHHXX/article/details/146052393
  1. System.loadLibrary 源码分析
    在 Android 或 Linux 系统中,System.loadLibrary 用于加载 共享库(SO 文件),其底层实现涉及多个关键机制:

III array、IIIT array 和 GNload
这些是 SO 加载过程中涉及的关键结构:

III array(.init_array 段): 存储 初始化函数的数组,系统在 SO 加载完成后逐个执行这些函数。
IIIT array(.init 段): 早期的初始化机制,主要用于单个初始化函数,现在多使用 init_array 代替。
GNload: GNU loader 机制的一部分,负责加载 符号表 并解析依赖项。
GNload 调用时机

打开 SO 文件
解析动态符号表(DOSYM)
调用 GNonload 进行动态加载
IIIT array 和 III array 的调用时机

这些调用发生在 系统内部,并影响库的初始化方式。
init_array 主要用于 用户态的库初始化,而 IIIT 机制更偏向 系统级别的核心构造。
2. SO 加载流程
SO 文件加载的完整流程如下:

查找 SO 文件

find_library 负责定位目标 SO 文件,并将其映射到内存中,返回 SO input 结构体。
解析 ELF 头

解析 ELF(Executable and Linkable Format) 文件的头部信息,确定 .init_array、.text、.data 段的位置。
解析动态符号

解析 SO 内部的 符号表,链接其他库(如 libc.so、libm.so)。
调用构造函数

通过 SI.callConstruct 依次执行构造函数,通常包括:
DT_INIT(.init 段)
DT_INIT_ARRAY(.init_array 段)
DT_INIT 和 DT_INIT_ARRAY

DT_INIT:存储在 .init 段,表示 单个初始化函数。
DT_INIT_ARRAY:存储在 .init_array 段,表示 初始化函数数组,执行时按照数组顺序调用多个构造函数。
3. 选择 Hook 时机
为了确保 Hook 能够在目标函数执行前生效,需要选择合适的时机:

在 callConstruct 之前 Hook

callConstruct 负责执行 DT_INIT 和 DT_INIT_ARRAY 中的函数,因此在其调用前 Hook,才能拦截所有初始化逻辑。
INT 和 INT array 只执行一次

init_array 只在 SO 加载时执行一次,所以 Hook 必须在 SO 被加载时 完成。
最佳 Hook 时机

SO 加载时
在 find_library 执行后、构造函数调用前 Hook。
callConstruct 执行前
通过 Frida Hook callConstruct,修改执行逻辑。
4. 编写 Hook 代码
编写 Hook 代码时,需要注意以下几点:

设置 MDate 和 MayDate

这些数据用于追踪 SO 加载状态,并作为 Hook 的切入点。
Hook dlopen(或 DllOpen)

通过 符号表解析,在 dlopen 执行之前找到目标函数的地址。
使用 link64 工具

解析 ELF 符号表,获取 callConstruct 具体地址,以便 Hook。
5. 替换函数实现
在 Frida 中,可以使用 intercept.replace 来替换目标函数:

拦截 DT_INIT 和 DT_INIT_ARRAY

通过 Frida 替换初始化函数,打印 “Hook 成功” 的日志。
替换函数参数

需要确保 Hook 目标是 int 类型的数组,否则可能导致错误。
示例代码

var libname = "libtarget.so";

Interceptor.attach(Module.findExportByName(null, "dlopen"), {
    onEnter: function (args) {
        var name = Memory.readUtf8String(args[0]);
        if (name.indexOf(libname) !== -1) {
            console.log("[+] Hooking " + libname);
        }
    },
    onLeave: function (retval) {
        console.log("[+] SO Loaded: " + retval.toInt32());
    }
});

Interceptor.replace(Module.findExportByName(libname, "target_function"), new NativeCallback(function (arg1, arg2) {
    console.log("[+] Hooked target_function: " + arg1.toInt32());
    return 0;
}, 'int', ['int', 'int']));

代码解析:

Interceptor.attach 用于拦截 dlopen,检测 SO 何时被加载。
Interceptor.replace 替换 target_function,拦截其执行逻辑并打印日志。
总结
本次学习 Frida Hook init_array 的关键点:
✅ SO 加载流程分析(ELF 解析、符号链接、构造函数调用)
✅ 关键 Hook 时机选择(callConstruct 之前)
✅ Frida Hook 代码编写(dlopen Hook、函数替换)
✅ 目标函数拦截与参数修改(DT_INIT 和 DT_INIT_ARRAY)

Frida使用 hook
ShenZ的博客
09-05 1208
js hook不需要开监听
INIT与init_array
SXXYNHHXX的博客
09-22 1180
使用INIT可以在 JNI 中创建 Java 对象。通过NewObject调用构造函数,并使用和调用对象的方法。确保在适当的地方释放局部引用,以避免内存泄漏。使用INITARRAY可以在 JNI 中创建和初始化 Java 对象数组。通过创建数组,并使用方法将元素添加到数组中。确保在适当的地方释放局部引用,以避免内存泄漏。这种方式可以有效地在 C++ 和 Java 之间传递对象数组,方便在 Android 应用中实现复杂的数据结构。static {
Frida Hook Java
qq_45414878的博客
12-19 2298
hook简述 Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。 要实现钩子函数,有两个步骤:  1. 利用系统内部提供的接口,通过实现该接口,然后注入进系统(特定场景下使用)  2. 动态代理(使用所有场景) 本次测试用到的工具有: ​ 夜神模拟器 ​ frida15.0.9 ​ GDA ​ adb Ja
firda-hook教程
最新发布
qq_34188180的博客
06-13 740
摘要:本文介绍Frida工具的安装配置流程及基本使用方法。内容包括:1)通过pip安装fridafrida-tools;2)根据设备CPU架构下载合适的frida-server并推送到安卓设备;3)运行frida-server并进行端口转发;4)使用frida-dexdump导出apk的dex文件;5)提供了Python和JS两种Hook方式,包括Spawn和Attach两种应用场景。最后给出了具体操作案例,展示如何Hook应用中的加密方法。本文为移动应用逆向分析提供了完整的技术指导。
frida hook(深入浅出)
哆啦安全
11-09 797
Andrax搭建Android渗透测试环境 编译官方frida源码APP基于Frida脱壳Frida Hook的使用方法Frida逆向分析APP实战魔改frida到绕过检测的思路配置fridaserver为后台进程使用frida-net玩转frida-rpc内置frida hook到Android系统内置frida-inject工具到手机系统三种方案实现Frida脚本持久化研究Objection高效对APP逆向分析实践魔改frida特征和编译(绕过frida检测)Android安全之Frida Hook框架
Frida_Windows_Hook
04-13
Frida_Windows_Hook Frida_Windows_Hook是一个开源工具,主要针对渗透测试人员和开发人员。 Frida_Windows_Hook正在使用Windows渗透。 用法 如何: usage: Frida_Windows_Hook_v0.1.py 先决条件 要使用Web_Brute_Force_Attack,您需要在python环境中安装frida。 在您的python上安装frida的最简单方法是使用pip: pip install frida 有关如何安装frida的更多信息,请参见 免责声明 这是该软件的版本,所以我预计不是我的开发人员,但会出现一些错误,因此我的编码技能可能不是最好的。此工具已在Windows 10上进行了测试。 欢迎任何建议和评论! 例子:
使用frida进行hook(一)
热门推荐
iris的博客
04-24 1万+
刚接触了frida这个hook工具,因此利用ctf题进行进一步的学习,此处参考https://bbs.pediy.com/thread-227233.htm。 首先分析题目逻辑: VERIFY按钮的逻辑为 首先获取输入的license的值,将其与给定的url拼接向服务器进行请求,获得的回应如果为"LICENSEKEYOK",就将其与getMac的返回值进行xor运算,并运算的结果作为键值为"K...
initarray使用
09-24
`initarray`通常是一个编程术语,它在某些语言环境中用于初始化数组。这个词在C/C++、Python等语言中有不同的含义: 1. **C/C++**: `initarray`通常指初始化数组的宏或函数,例如,在启动阶段预加载数据到静态数组...
ida动态调试so,在init_array和JNI_ONLOAD处下断点
jltxgcy的专栏
01-28 7116
0x00    如何在JNI_ONLOAD下断点,参考安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的反调试。最好使用模拟器调试,确保 Attach to process后,对应进程在DDMS中出现小红蜘蛛。    下面将如何在init_array下断点,首先要找到so的init_array端,把so拖入ida,然后按Crtl+s,会出现该so的所有段。如下
从零打造简单的SODUMP工具--init_array自解密
04-03
针对基于init_array自解密这种方式,写了一个简单的DUMP工具,将之前的section重建加入,并对PLT 和 GOT section重建进行优化,达到更加准确的重建效果。 v0.1版本: 仅支持section未移动的SO重建,能简单检测出...
JNI_OnLoad与init_array下断方法整理
无名侠的博客
07-23 5663
JNI_OnLoad和init_array 在SO脱壳中占了很多比重,那么如何在它们执行前下断点呢? 考虑到SO加载的时机,在jdb附加之前并不能对我们想调试的SO下断点,即使是知晓了偏移位置。因为它们还没有被加载。据说这可以用脚本来解决,这不是这篇文章讨论的范围。本文章讨论的方法是从系统库中下断的方法来达到目的。首先讨论init_array下断点的方法: init_array 是在so加载后由
frida的用法--Hook
技术超强的网络安全平台
08-09 839
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。
FridaHOOK 学习笔记1
天在等我,菜鸟想飞
08-31 3373
frida
frida框架hook
博客
06-24 492
Frida是一款基于python + javascript 的hook框架,感觉比xposed更方便 基本指南:https://www.frida.re/docs/home/ https://github.com/hookmaster/frida-all-in-one 环境: python2.7 mumu模拟器 frida-server-12.4.8-android-x86 运行步骤: adb connect 127.0.0.1:7555 //mumu模拟器 adb shell ./d.
FridaHOOK 学习笔记2
天在等我,菜鸟想飞
08-31 3645
frida
一文搞懂如何使用 Frida Hook Android App
09-29 2435
根据自己的 android 版本,降级或升级 fridafrida-tool、frida-server的版本即可,比如 android10 实测可用的版本如下。创建 frida-server-upload.bat,实现拖入 frida-server 直接推送到设备并添加执行权限。在安装 frida 时候提示找不到 frida-14.2.18-py3.8-win-amd64.egg。创建 frida-server-start.bat,实现一键启动 frida-server 并转发端口。
技术分享 | Frida 实现 Hook 功能的强大能力
hogwarts_beibei的博客
05-09 581
Frida 通过 C 语言将 QuickJS 注入到目标进程中,获取完整的内存操作权限,达到在程序运行时实时地插入额外代码和数据的目的。官方将调用代码封装为 python 库,当然你也可以直接通过其他的语言调用 Frida 中的 C 语言代码进行操作。
Frida Hook方法大全(普通、重载、构造、hook某类下的所有方法、主动调用)
云霄IT的博客
05-31 4051
【代码】Frida Hook方法大全(普通、重载、构造)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值