Οδηγός Frida

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Εγκατάσταση

Εγκαταστήστε τα frida tools:

pip install frida-tools
pip install frida

Κατεβάστε και εγκαταστήστε στο android τον frida server (Download the latest release).
Μια εντολή για να επανεκκινήσει το adb σε root mode, να συνδεθεί σε αυτό, να ανεβάσει το frida-server, να δώσει exec permissions και να το τρέξει στο παρασκήνιο:

adb root; adb connect localhost:6000; sleep 1; adb push frida-server /data/local/tmp/; adb shell "chmod 755 /data/local/tmp/frida-server"; adb shell "/data/local/tmp/frida-server &"

Ελέγξτε αν λειτουργεί:

frida-ps -U #List packages and processes
frida-ps -U | grep -i <part_of_the_package_name> #Get all the package name

frida-ui (ελεγκτής Frida βασισμένος σε browser)

frida-ui παρέχει διεπαφή web στο http://127.0.0.1:8000 για να εμφανίζει συσκευές/εφαρμογές και να επισυνάπτει ή να εκκινεί στόχους με scripts (δεν απαιτείται CLI).

• Εγκατάσταση (κλειδώστε την έκδοση του frida ώστε να ταιριάζει με την έκδοση του device server):

uv tool install frida-ui --with frida==16.7.19
# pipx install frida-ui
# pip install frida-ui

• Εκτέλεση:

frida-ui
frida-ui --host 127.0.0.1 --port 8000 --reload

• Χαρακτηριστικά: ανιχνεύει USB/τοπικές συσκευές, προσθέτει απομακρυσμένους διακομιστές (192.168.1.x:27042), και υποστηρίζει Attach, Spawn, και Spawn & Run (για να hook πριν από την πρώιμη λογική onCreate()).
• Scripting: ενσωματωμένος επεξεργαστής, drag & drop .js, import CodeShare, download scripts και session logs.
• Remote servers: ./frida-server -l 0.0.0.0:27042 -D το εκθέτει στο δίκτυο ώστε το frida-ui να μπορεί να συνδεθεί χωρίς ADB.

Frida server vs. Gadget (root vs. no-root)

Δύο κοινοί τρόποι για να instrument εφαρμογές Android με Frida:

• Frida server (rooted devices): Προώθησε και τρέξε έναν native daemon που σου επιτρέπει να attach σε οποιαδήποτε διεργασία.
• Frida Gadget (no root): Συμπερίλαβε το Frida ως shared library μέσα στο APK και φόρτωσέ το αυτόματα εντός της στοχευμένης διεργασίας.

Frida server (rooted)

# Download the matching frida-server binary for your device's arch
# https://github.com/frida/frida/releases
adb root
adb push frida-server-<ver>-android-<arch> /data/local/tmp/frida-server
adb shell chmod 755 /data/local/tmp/frida-server
adb shell /data/local/tmp/frida-server &    # run at boot via init/magisk if desired

# From host, list processes and attach
frida-ps -Uai
frida -U -n com.example.app

Frida Gadget (no-root)

1. Αποσυμπιέστε το APK, προσθέστε το gadget .so και το config:

• Τοποθετήστε το libfrida-gadget.so στο lib/<abi>/ (π.χ., lib/arm64-v8a/)
• Δημιουργήστε assets/frida-gadget.config με τις ρυθμίσεις φόρτωσης των scripts σας

Παράδειγμα frida-gadget.config

{
"interaction": { "type": "script", "path": "/sdcard/ssl-bypass.js" },
"runtime": { "logFile": "/sdcard/frida-gadget.log" }
}

2. Αναφορά/φόρτωση του gadget ώστε να αρχικοποιείται νωρίς:

• Πιο εύκολο: Πρόσθεσε ένα μικρό Java stub για System.loadLibrary(“frida-gadget”) στο Application.onCreate(), ή χρησιμοποίησε το native lib loading που υπάρχει ήδη.

3. Ξανασυσκευάστε και υπογράψτε το APK, στη συνέχεια εγκαταστήστε:

apktool d app.apk -o app_m
# ... add gadget .so and config ...
apktool b app_m -o app_gadget.apk
uber-apk-signer -a app_gadget.apk -o out_signed
adb install -r out_signed/app_gadget-aligned-debugSigned.apk

4. Συνδέστε από το host στη διεργασία gadget:

frida-ps -Uai
frida -U -n com.example.app

Σημειώσεις

• Το Gadget εντοπίζεται από ορισμένες προστασίες· κρατήστε τα ονόματα/διαδρομές διακριτικά και φορτώστε αργά/υπό συνθήκη αν χρειάζεται.
• Σε ενισχυμένες εφαρμογές, προτιμήστε rooted testing με server + late attach, ή συνδυάστε με Magisk/Zygisk hiding.

Έγχυση Frida μέσω JDWP χωρίς root/repackaging (frida-jdwp-loader)

Εάν το APK είναι debuggable (android:debuggable=“true”), μπορείτε να συνδεθείτε μέσω JDWP και να εγχύσετε μια native βιβλιοθήκη σε ένα Java breakpoint. No root και no APK repackaging.

• Repo: https://github.com/frankheat/frida-jdwp-loader
• Απαιτήσεις: ADB, Python 3, USB/Wireless debugging. Η εφαρμογή πρέπει να είναι debuggable (emulator με ro.debuggable=1, rooted device με resetprop, ή rebuild manifest).

Γρήγορη εκκίνηση:

git clone https://github.com/frankheat/frida-jdwp-loader.git
cd frida-jdwp-loader
# Inject frida-gadget.so into a debuggable target
python frida-jdwp-loader.py frida -n com.example.myapplication
# Keep the breakpoint thread suspended for early hooks
python frida-jdwp-loader.py frida -n com.example.myapplication -s
# Networkless: run a local agent script via Gadget "script" mode
python frida-jdwp-loader.py frida -n com.example.myapplication -i script -l script.js

Σημειώσεις

• Λειτουργίες: spawn (break at Application.onCreate) ή attach (break at Activity.onStart). Χρησιμοποιήστε -b για να ορίσετε μια συγκεκριμένη Java μέθοδο, -g για να επιλέξετε Gadget έκδοση/διαδρομή, -p για να επιλέξετε JDWP θύρα.
• Λειτουργία ακρόασης: προώθηση του Gadget (default 127.0.0.1:27042) αν χρειαστεί: adb forward tcp:27042 tcp:27042; στη συνέχεια frida-ps -H 127.0.0.1:27042.
• Αυτό εκμεταλλεύεται το JDWP debugging. Ο κίνδυνος είναι να παραδοθούν debuggable builds ή να εκτεθεί το JDWP.

Αυτοδύναμος agent + ενσωμάτωση Gadget (Frida 17+; αυτοματοποιημένο με Objection)

Το Frida 17 αφαίρεσε τα ενσωματωμένα Java/ObjC bridges από το GumJS. Αν ο agent σας hooks Java, πρέπει να συμπεριλάβετε το Java bridge μέσα στο bundle σας.

1. Δημιουργήστε έναν Frida agent (TypeScript) και συμπεριλάβετε το Java bridge

# Scaffolding
frida-create -t agent -o mod
cd mod && npm install
# Install the Java bridge for Frida 17+
npm install frida-java-bridge
# Dev loop (optional live-reload via REPL)
npm run watch

Ελάχιστο Java hook (αναγκάζει τις ρίψεις των ζαριών να είναι 1):

import Java from "frida-java-bridge";

Java.perform(function () {
var dicer = Java.use("org.secuso.privacyfriendlydicer.dicer.Dicer");
dicer.rollDice.implementation = function (numDice: number, numFaces: number) {
return Array(numDice).fill(1);
};
});

Δημιουργήστε ένα ενιαίο bundle για ενσωμάτωση:

npm run build    # produces _agent.js via frida-compile

Γρήγορος έλεγχος USB (προαιρετικό):

frida -U -f org.secuso.privacyfriendlydicer -l _agent.js

2. Ρύθμισε το Gadget ώστε να φορτώνει αυτόματα το script σου Ο patcher του Objection αναμένει μια Gadget config; όταν χρησιμοποιείς script mode, καθόρισε το on-disk path μέσα στο APK lib dir:

{
"interaction": {
"type": "script",
"path": "libfrida-gadget.script.so"
}
}

3. Αυτοματοποιήστε το APK patching με Objection

# Embed Gadget, config, and your compiled agent into the APK; rebuild and sign
objection patchapk -s org.secuso.privacyfriendlydicer.apk \
-c gadget-config.json \
-l mod/_agent.js \
--use-aapt2

Τι κάνει το patchapk (σε υψηλό επίπεδο):

• Εντοπίζει το ABI της συσκευής (π.χ., arm64-v8a) και κατεβάζει το αντίστοιχο Gadget
• Προαιρετικά προσθέτει android.permission.INTERNET όταν χρειάζεται
• Εγχείει έναν στατικό initializer κλάσης που καλεί System.loadLibrary(“frida-gadget”) στην launch activity
• Τοποθετεί τα ακόλουθα κάτω από lib/<abi>/:
• libfrida-gadget.so
• libfrida-gadget.config.so (σειριοποιημένη διαμόρφωση)
• libfrida-gadget.script.so (το _agent.js σας)

Παράδειγμα ενσωματωμένου smali (static initializer):

.method static constructor <clinit>()V
.locals 1
const-string v0, "frida-gadget"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
return-void
.end method

4. Επαληθεύστε το repack

apktool d org.secuso.privacyfriendlydicer.apk
apktool d org.secuso.privacyfriendlydicer.objection.apk
# Inspect differences
diff -r org.secuso.privacyfriendlydicer org.secuso.privacyfriendlydicer.objection

Αναμενόμενες αλλαγές:

• AndroidManifest.xml μπορεί να περιέχει <uses-permission android:name="android.permission.INTERNET"/>
• Νέες native libs στο lib/<abi>/ όπως παραπάνω
• Το smali της launchable activity περιέχει ένα static <clinit> που καλεί System.loadLibrary(“frida-gadget”)

5. Split APKs

• Patch το base APK (αυτό που δηλώνει την MAIN/LAUNCHER activity)
• Re-sign τα υπόλοιπα splits με το ίδιο key:

objection signapk split1.apk split2.apk ...

• Εγκαταστήστε τα splits μαζί:

adb install-multiple split1.apk split2.apk ...

• Για διανομή, μπορείτε να συγχωνεύσετε τα splits σε ένα μόνο APK με APKEditor, στη συνέχεια align/sign

Αφαίρεση FLAG_SECURE κατά τη διάρκεια της dynamic analysis

Εφαρμογές που καλούν getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE) εμποδίζουν τα screenshots, τις remote displays και ακόμη και τα Android’s recent-task snapshots. Όταν το Freedom Chat επέβαλε αυτό το flag, ο μόνος τρόπος να τεκμηριώσετε τα leaks ήταν να παραποιήσετε το παράθυρο κατά το runtime. Ένα αξιόπιστο μοτίβο είναι:

• Hook every Window overload that can re-apply the flag (setFlags, addFlags, setAttributes) and mask out bit 0x00002000 (WindowManager.LayoutParams.FLAG_SECURE).
• After each activity resumes, schedule a UI-thread call to clearFlags(FLAG_SECURE) so Dialogs/Fragments created later inherit the unlocked state.
• Apps built with React Native / Flutter often create nested windows; hook android.app.Dialog/android.view.View helpers or walk getWindow().peekDecorView() if you still see black frames.

</details>

Εκτέλεσε το script με `frida -U -f <package> -l disable-flag-secure.js --no-pause`, αλληλεπίδρασε με το UI, και τα screenshots/recordings θα λειτουργήσουν ξανά. Επειδή όλα συμβαίνουν στο UI thread δεν υπάρχει τρεμόπαιγμα, και μπορείς να συνδυάσεις το hook με HTTP Toolkit/Burp για να καταγράψεις την κίνηση που αποκάλυψε το `/channel` PIN leak.

## Δυναμικό DEX dumping / unpacking με clsdumper (Frida)

`clsdumper` είναι ένα Frida-based δυναμικό **DEX/class dumper** που επιβιώνει σε hardened apps συνδυάζοντας ένα anti-Frida pre-stage με native και Java discovery strategies (λειτουργεί ακόμη κι αν `Java.perform()` τερματιστεί). Requirements: Python 3.10+, rooted device με `frida-server` σε λειτουργία, USB ή `--host` TCP connection.

**Εγκατάσταση & γρήγορη χρήση**
```bash
pip install clsdumper
# Attach to a running app
clsdumper com.example.app
# Spawn first (hooks before early loaders)
clsdumper com.example.app --spawn
# Select strategies
clsdumper com.example.app --strategies fart_dump,oat_extract

dump_<target>/
dex/classes_001.dex ...
classes/                 # only when --extract-classes
metadata.json            # strategy per hit + hashes

frida-ps -U

#Basic frida hooking
frida -l disableRoot.js -f owasp.mstg.uncrackable1

#Hooking before starting the app
frida -U --no-pause -l disableRoot.js -f owasp.mstg.uncrackable1
#The --no-pause and -f options allow the app to be spawned automatically,
#frozen so that the instrumentation can occur, and the automatically
#continue execution with our modified code.

import frida, sys

jscode = open(sys.argv[0]).read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

Java.perform(function () {
rootcheck1.a.overload().implementation = function () {
return false;
};
});

var sysexit = Java.use("java.lang.System")
sysexit.exit.overload("int").implementation = function (var_0) {
send("java.lang.System.exit(I)V  // We avoid exiting the application  :)")
}

var mainactivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity")
mainactivity.onStart.overload().implementation = function () {
send("MainActivity.onStart() HIT!!!")
var ret = this.onStart.overload().call(this)
}
mainactivity.onCreate.overload("android.os.Bundle").implementation = function (
var_0
) {
send("MainActivity.onCreate() HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}

var activity = Java.use("android.app.Activity")
activity.onCreate.overload("android.os.Bundle").implementation = function (
var_0
) {
send("Activity HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}

</details>

### Hooking functions και κλήση τους με την είσοδό μας

Hook μια function που δέχεται ένα string και κάλεσέ την με άλλο string (από [here](https://11x256.github.io/Frida-hooking-android-part-2/))
```javascript
var string_class = Java.use("java.lang.String") // get a JS wrapper for java's String class

my_class.fun.overload("java.lang.String").implementation = function (x) {
//hooking the new function
var my_string = string_class.$new("My TeSt String#####") //creating a new String by using `new` operator
console.log("Original arg: " + x)
var ret = this.fun(my_string) // calling the original function with the new String, and putting its return value in ret variable
console.log("Return value: " + ret)
return ret
}

Java.choose("com.example.a11x256.frida_test.my_activity", {
onMatch: function (instance) {
//This function will be called for every instance found by frida
console.log("Found instance: " + instance)
console.log("Result of secret func: " + instance.secret())
},
onComplete: function () {},
})