Frida チュートリアル 1

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

この記事の要約: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
ソースコード: https://github.com/t0thkr1s/frida-demo

Python

Frida は実行中のアプリケーションの関数内に insert JavaScript code を挿入できます。さらに、python を使用して call the hooks したり、interact with the hooks することもできます。

以下は、このチュートリアルで提示したすべての例で使用できる簡単な python スクリプトです:

#hooking.py
import frida, sys

with open(sys.argv[1], 'r') as f:
jscode = f.read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

スクリプトを呼び出す:

python hooking.py <hookN.js>

pythonでfridaを使う方法を知っておくと便利ですが、この例では直接 Frida を command line frida tools で呼び出すこともできます：

frida -U --no-pause -l hookN.js -f infosecadventures.fridademo

Hook 1 - Boolean Bypass

ここではクラス: infosecadventures.fridademo.utils.PinUtil から hook する boolean メソッド (checkPin) の例を示しています。

//hook1.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")
var MainActivity = Java.use("infosecadventures.fridademo.utils.PinUtil")
MainActivity.checkPin.implementation = function (pin) {
console.log("[ + ] PIN check successfully bypassed!")
return true
}
})

python hooking.py hook1.js

Mirar: La funcion recibe como parametro un String, no hace falta overload?

Hook 2 - Function Bruteforce

非静的関数

クラスの非静的関数を呼び出したい場合、まずそのクラスのインスタンスが必要です。次に、そのインスタンスを使って関数を呼び出せます。
そうするには、既存のインスタンスを見つけてそれを使うことができます:

Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
Java.choose("infosecadventures.fridademo.utils.PinUtil", {
onMatch: function (instance) {
console.log("[ * ] Instance found in memory: " + instance)
for (var i = 1000; i < 9999; i++) {
if (instance.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
break
}
}
},
onComplete: function () {},
})
})

この場合、インスタンスが存在せず、関数がStaticなので動作しません。

静的関数

関数が静的であれば、単に呼び出すことができます:

//hook2.js
Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
var PinUtil = Java.use("infosecadventures.fridademo.utils.PinUtil")

for (var i = 1000; i < 9999; i++) {
if (PinUtil.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
}
}
})

Hook 3 - 引数と戻り値の取得

関数をhookして、渡された引数と戻り値の値をprintさせることができます：

//hook3.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")

var EncryptionUtil = Java.use(
"infosecadventures.fridademo.utils.EncryptionUtil"
)
EncryptionUtil.encrypt.implementation = function (key, value) {
console.log("Key: " + key)
console.log("Value: " + value)
var encrypted_ret = this.encrypt(key, value) //Call the original function
console.log("Encrypted value: " + encrypted_ret)
return encrypted_ret
}
})

最近の Android バージョン (14/15/16) での Hooking

• Frida 17.1.x+ 以降、Android 14–16 上の Java hooking は安定しています（ART quick entrypoint offsets が修正されました）。Android 14+ で Java.choose が何も返さない場合は、frida-server/gadget と CLI/Python パッケージを >=17.1.5 にアップグレードしてください。
• 早期に anti-debug チェックを行うアプリは attach より前にクラッシュすることが多い。フックを onCreate より前に読み込むために spawn を使ってください：

frida -U -f infosecadventures.fridademo -l hook1.js --no-pause

• 複数のオーバーロードが存在する場合、ターゲットを明示的に指定してください:

var Cls = Java.use("com.example.Class")
Cls.doThing.overload('java.lang.String', 'int').implementation = function(s, i) {
return this.doThing(s, i)
}

ステルス性の高い注入 with Zygisk Gadget

一部のアプリは ptrace や frida-server を検出します。Magisk/Zygisk モジュールは Zygote 内で frida-gadget をロードできるため、プロセスが ptrace されません:

1. Zygisk gadget モジュール（例: zygisk-gadget）をインストールして再起動します。
2. ターゲットパッケージと、起動時チェックを回避するための任意の遅延を設定します:

adb shell "su -c 'echo infosecadventures.fridademo,5000 > /data/local/tmp/re.zyg.fri/target_packages'"

3. アプリを起動し、gadget name にアタッチする:

frida -U -n Gadget -l hook3.js

Because the gadget is injected by Zygote, APK integrity checks stay untouched and basic ptrace/Frida string checks usually fail.

重要

このチュートリアルでは、メソッド名と .implementation を使ってメソッドをhookしました。しかし、同じ名前のメソッドが複数存在する場合は、フックしたいメソッドを指定する際に、引数の型を示して区別する必要があります。

詳しくは次のチュートリアルで確認できます。

参考

• Frida News (Android 14–16 fixes & Frida 17.x releases)
• zygisk-gadget – Zygisk module that loads frida-gadget

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。