HackTricks
Frida チュートリアル
Tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
インストール
frida tools をインストール:
pip install frida-tools
pip install frida
ダウンロードしてインストール を Android に frida server (Download the latest release).
root モードで adb を再起動し、接続して frida-server をアップロードし、実行権限を付与してバックグラウンドで実行するワンライナー:
adb root; adb connect localhost:6000; sleep 1; adb push frida-server /data/local/tmp/; adb shell "chmod 755 /data/local/tmp/frida-server"; adb shell "/data/local/tmp/frida-server &"
動作しているかを確認する:
frida-ps -U #List packages and processes
frida-ps -U | grep -i <part_of_the_package_name> #Get all the package name
frida-ui (ブラウザベースの Frida controller)
frida-ui は http://127.0.0.1:8000 にウェブ UI を提供し、devices/apps を一覧表示して scripts で targets に attach または spawn できます(CLI は不要)。
- インストール(
fridaを device server のバージョンに合わせてピン留め):
uv tool install frida-ui --with frida==16.7.19
# pipx install frida-ui
# pip install frida-ui
- 実行:
frida-ui
frida-ui --host 127.0.0.1 --port 8000 --reload
- 機能: USB/ローカルデバイスを検出し、リモートサーバー(
192.168.1.x:27042)を追加でき、Attach, Spawn, Spawn & Run をサポートします(早期のonCreate()ロジックの前にフックするため)。 - スクリプティング: エディタ、
.jsのドラッグ&ドロップ、CodeShare のインポート、スクリプトとセッションログのダウンロード。 - リモートサーバー:
./frida-server -l 0.0.0.0:27042 -Dはネットワーク上に公開し、frida-ui が ADB なしで接続できるようにします。
Frida server vs. Gadget (root vs. no-root)
Frida を使って Android アプリにフックを入れる一般的な方法は 2 つあります:
- Frida server (rooted devices): 任意のプロセスに attach できるネイティブデーモンをプッシュして実行します。
- Frida Gadget (no root): Frida を共有ライブラリとして APK 内にバンドルし、ターゲットプロセス内で自動ロードします。
Frida server (rooted)
# Download the matching frida-server binary for your device's arch
# https://github.com/frida/frida/releases
adb root
adb push frida-server-<ver>-android-<arch> /data/local/tmp/frida-server
adb shell chmod 755 /data/local/tmp/frida-server
adb shell /data/local/tmp/frida-server & # run at boot via init/magisk if desired
# From host, list processes and attach
frida-ps -Uai
frida -U -n com.example.app
Frida Gadget (no-root)
- APKを展開し、gadget .so と設定を追加:
libfrida-gadget.soをlib/<abi>/に配置する(例: lib/arm64-v8a/)- スクリプトの読み込み設定を含む
assets/frida-gadget.configを作成する
frida-gadget.config の例
{
"interaction": { "type": "script", "path": "/sdcard/ssl-bypass.js" },
"runtime": { "logFile": "/sdcard/frida-gadget.log" }
}
- gadget を参照/ロードして早期に初期化されるようにする:
- 最も簡単: Application.onCreate() に小さな Java スタブを追加して System.loadLibrary(“frida-gadget”) を呼び出す、または既存のネイティブライブラリのロード処理を利用する。
- APK をリパックして署名し、インストールする:
apktool d app.apk -o app_m
# ... add gadget .so and config ...
apktool b app_m -o app_gadget.apk
uber-apk-signer -a app_gadget.apk -o out_signed
adb install -r out_signed/app_gadget-aligned-debugSigned.apk
- ホストからガジェットプロセスにアタッチする:
frida-ps -Uai
frida -U -n com.example.app
ノート
- Gadget は一部の保護に検出されることがあるため、名前やパスはステルスにし、必要に応じて遅延/条件付きでロードしてください。
- 強化されたアプリでは、server + late attach を使った rooted テストを優先するか、Magisk/Zygisk の隠蔽と組み合わせてください。
JDWP を利用した Frida 注入(root/repackaging 不要) (frida-jdwp-loader)
APK が debuggable(android:debuggable=“true”)であれば、JDWP 経由でアタッチして Java のブレークポイントでネイティブライブラリを注入できます。No root and no APK repackaging。
- Repo: https://github.com/frankheat/frida-jdwp-loader
- 要件: ADB、Python 3、USB/Wireless debugging。アプリは debuggable である必要があります(エミュレータでは
ro.debuggable=1、rooted device ではresetprop、またはマニフェストを再ビルド)。
クイックスタート:
git clone https://github.com/frankheat/frida-jdwp-loader.git
cd frida-jdwp-loader
# Inject frida-gadget.so into a debuggable target
python frida-jdwp-loader.py frida -n com.example.myapplication
# Keep the breakpoint thread suspended for early hooks
python frida-jdwp-loader.py frida -n com.example.myapplication -s
# Networkless: run a local agent script via Gadget "script" mode
python frida-jdwp-loader.py frida -n com.example.myapplication -i script -l script.js
メモ
- モード: spawn (Application.onCreateでブレーク) または attach (Activity.onStartでブレーク)。特定のJavaメソッドを設定するには
-b、Gadgetのバージョン/パスを選ぶには-g、JDWPポートを選ぶには-pを使用。 - Listenモード: 必要に応じてGadgetをフォワード(デフォルト 127.0.0.1:27042):
adb forward tcp:27042 tcp:27042; その後frida-ps -H 127.0.0.1:27042。 - これはJDWPデバッグを利用します。リスクはデバッグ可能なビルドを配布したり、JDWPを露出させることです。
自己完結型 agent + Gadget の埋め込み (Frida 17+; Objectionで自動化)
Frida 17はGumJSから組み込みのJava/ObjCブリッジを削除しました。agentがJavaをフックする場合、Javaブリッジをbundle内に含める必要があります。
- Frida agent (TypeScript)を作成し、Javaブリッジを含める
# Scaffolding
frida-create -t agent -o mod
cd mod && npm install
# Install the Java bridge for Frida 17+
npm install frida-java-bridge
# Dev loop (optional live-reload via REPL)
npm run watch
最小限の Java hook(ダイスの出目を1に強制):
import Java from "frida-java-bridge";
Java.perform(function () {
var dicer = Java.use("org.secuso.privacyfriendlydicer.dicer.Dicer");
dicer.rollDice.implementation = function (numDice: number, numFaces: number) {
return Array(numDice).fill(1);
};
});
埋め込み用の単一のバンドルをビルドする:
npm run build # produces _agent.js via frida-compile
簡単な USB テスト(任意):
frida -U -f org.secuso.privacyfriendlydicer -l _agent.js
- Gadgetがスクリプトを自動ロードするように設定する ObjectionのpatcherはGadget configを期待します;script modeを使用する場合は、APKのlib dir内のon-disk pathを指定してください:
{
"interaction": {
"type": "script",
"path": "libfrida-gadget.script.so"
}
}
- Objectionを使って APK のパッチ適用を自動化
# Embed Gadget, config, and your compiled agent into the APK; rebuild and sign
objection patchapk -s org.secuso.privacyfriendlydicer.apk \
-c gadget-config.json \
-l mod/_agent.js \
--use-aapt2
patchapk が行うこと(概要):
- デバイスの ABI(例: arm64-v8a)を検出し、対応する Gadget を取得する
- 必要に応じて android.permission.INTERNET を追加する
- 起動アクティビティに System.loadLibrary(“frida-gadget”) を呼び出す static class initializer を注入する
lib/<abi>/の下に次を配置する:- libfrida-gadget.so
- libfrida-gadget.config.so(シリアライズされた設定)
- libfrida-gadget.script.so(your _agent.js)
注入された例の smali(static initializer):
.method static constructor <clinit>()V
.locals 1
const-string v0, "frida-gadget"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
return-void
.end method
- リパックを検証する
apktool d org.secuso.privacyfriendlydicer.apk
apktool d org.secuso.privacyfriendlydicer.objection.apk
# Inspect differences
diff -r org.secuso.privacyfriendlydicer org.secuso.privacyfriendlydicer.objection
想定される変更:
- AndroidManifest.xml に
<uses-permission android:name="android.permission.INTERNET"/>が含まれることがある - 上記のように
lib/<abi>/の下に新しいネイティブライブラリが追加される - 起動可能な activity の smali に、System.loadLibrary(“frida-gadget”) を呼ぶ static
<clinit>が含まれている
- Split APKs
- base APK をパッチする(MAIN/LAUNCHER activity を宣言しているもの)
- 残りの splits を同じキーで再署名する:
objection signapk split1.apk split2.apk ...
- splits を一緒にインストールする:
adb install-multiple split1.apk split2.apk ...
- 配布のためには、APKEditor を使って splits を単一の APK にマージし、その後 align/sign してください
動的解析中に FLAG_SECURE をクリアする
getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE) を呼ぶアプリはスクリーンショット、リモート表示、さらには Android の recent-task スナップショットまでも防ぎます。Freedom Chat がこのフラグを強制していたとき、leaks を記録する唯一の方法はランタイムでウィンドウを改ざんすることでした。信頼できるパターンは次のとおりです:
- フラグを再適用できるすべての
Windowオーバーロード(setFlags,addFlags,setAttributes)をフックし、ビット0x00002000(WindowManager.LayoutParams.FLAG_SECURE) をマスクアウトする。 - 各 activity が resume した後、UI スレッドで
clearFlags(FLAG_SECURE)を呼ぶようスケジュールし、後で作成される Dialogs/Fragments が解除された状態を継承するようにする。 - React Native / Flutter で作られたアプリはネストしたウィンドウを作成することが多いので、まだ黒いフレームが見える場合は
android.app.Dialog/android.view.Viewのヘルパーをフックするか、getWindow().peekDecorView()を辿る。
Window.FLAG_SECURE をクリアする Frida hook
```javascript Java.perform(function () { var LayoutParams = Java.use("android.view.WindowManager$LayoutParams"); var FLAG_SECURE = LayoutParams.FLAG_SECURE.value; var Window = Java.use("android.view.Window"); var Activity = Java.use("android.app.Activity");function strip(value) { var masked = value & (~FLAG_SECURE); if (masked !== value) { console.log(“[-] Stripped FLAG_SECURE from 0x” + value.toString(16)); } return masked; }
Window.setFlags.overload(‘int’, ‘int’).implementation = function (flags, mask) { return this.setFlags.call(this, strip(flags), strip(mask)); };
Window.addFlags.implementation = function (flags) { return this.addFlags.call(this, strip(flags)); };
Window.setAttributes.implementation = function (attrs) { attrs.flags.value = strip(attrs.flags.value); return this.setAttributes.call(this, attrs); };
Activity.onResume.implementation = function () { this.onResume(); var self = this; Java.scheduleOnMainThread(function () { try { self.getWindow().clearFlags(FLAG_SECURE); console.log(“[+] Cleared FLAG_SECURE on “ + self.getClass().getName()); } catch (err) { console.log(”[!] clearFlags failed: “ + err); } }); }; });
</details>
スクリプトを `frida -U -f <package> -l disable-flag-secure.js --no-pause` で実行し、UI を操作すると、スクリーンショット/録画が再び動作します。すべてが UI スレッド上で実行されるためちらつきがなく、HTTP Toolkit/Burp とフックを組み合わせて `/channel` PIN leak を明らかにしたトラフィックをキャプチャすることもできます。
## Dynamic DEX dumping / unpacking with clsdumper (Frida)
`clsdumper` は Frida ベースの動的な **DEX/class dumper** で、anti-Frida プレステージとネイティブおよび Java の探索戦略を組み合わせることでハード化されたアプリでも動作します(`Java.perform()` が落ちても動作します)。必要要件: Python 3.10+、`frida-server` が動作している root 化デバイス、USB 接続または `--host` を使った TCP 接続。
**インストール & クイック使用法**
```bash
pip install clsdumper
# Attach to a running app
clsdumper com.example.app
# Spawn first (hooks before early loaders)
clsdumper com.example.app --spawn
# Select strategies
clsdumper com.example.app --strategies fart_dump,oat_extract
CLI オプション(最も有用)
target: パッケージ名または PID。--spawn: attach の代わりに spawn。--host <ip>: リモートの frida-server に接続。--strategies <comma>: extractors を制限/選択;デフォルトはmmap_hook(重い)を除くすべて。--no-scan/--deep-scan: 深いメモリスキャンを無効化または遅くする(CDEX スキャンを追加)。--extract-classes: ダンプを androguard 経由で.smaliに後処理。--no-anti-frida: pre-hook bypass ステージをスキップ。--list/--list-apps: 実行中のプロセスまたはインストール済みパッケージを列挙。
Anti-instrumentation bypass (phase 0)
- Hooks
sigaction/signalto block registration of crash/anti-debug handlers. - Serves a filtered
/proc/self/mapsviamemfd_createto hide Frida regions. - Monitors
pthread_createto catch/neutralize watchdog threads hunting Frida.
DEX discovery (phases 1–2) — 複数の補完的な戦略で、各ヒットはメタデータ付き+重複排除(agent-side djb2、host-side SHA-256):
- Native (no Java bridge needed):
art_walk(ART Runtime→ClassLinker→DexFile をたどる),open_common_hook(DexFile::OpenCommonをフック),memory_scan(読み取り可能なマップ内の DEX マジック),oat_extract(マップされた .vdex/.oat を解析),fart_dump(DefineClassをフック +class_table_をたどる),dexfile_constructor(OatDexFileコンストラクタをフック),mmap_hook(mmap/mmap64を監視、パフォーマンスのためデフォルトはオフ)。 - Java (when available):
cookie(ClassLoaders からmCookieを読み取る),classloader_hook(loadClass,DexClassLoader,InMemoryDexClassLoaderを監視)。
Output layout
dump_<target>/
dex/classes_001.dex ...
classes/ # only when --extract-classes
metadata.json # strategy per hit + hashes
ヒント: 保護されたアプリはしばしば複数のソースからコードをロードします(in-memory payload, vdex/oat, custom loaders)。デフォルトのmulti-strategyセットに--spawnを加えて実行するとカバレッジが最大化されます。パフォーマンスへの影響を避けるため、--deep-scanは必要な場合のみ有効にしてください。
チュートリアル
Tutorial 1
出典: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
ソースコード: https://github.com/t0thkr1s/frida-demo
以下のリンクを参照してください link to read it.
Tutorial 2
出典: https://11x256.github.io/Frida-hooking-android-part-2/ (パート 2、3 & 4)
APKs とソースコード: https://github.com/11x256/frida-android-examples
以下のリンクを参照してください。link to read it.
Tutorial 3
出典: https://joshspicer.com/android-frida-1
APK: https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level_01/UnCrackable-Level1.apk
以下のリンクを参照してください link to read it.
より多くの Awesome Frida スクリプトはここで見つかります: https://codeshare.frida.re/
クイック例
コマンドラインからFridaを呼び出す
frida-ps -U
#Basic frida hooking
frida -l disableRoot.js -f owasp.mstg.uncrackable1
#Hooking before starting the app
frida -U --no-pause -l disableRoot.js -f owasp.mstg.uncrackable1
#The --no-pause and -f options allow the app to be spawned automatically,
#frozen so that the instrumentation can occur, and the automatically
#continue execution with our modified code.
基本的な Python スクリプト
import frida, sys
jscode = open(sys.argv[0]).read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()
引数なしの関数をフックする
クラス sg.vantagepoint.a.c の関数 a() をフックする
Java.perform(function () {
rootcheck1.a.overload().implementation = function () {
return false;
};
});
java の exit() をフックする
var sysexit = Java.use("java.lang.System")
sysexit.exit.overload("int").implementation = function (var_0) {
send("java.lang.System.exit(I)V // We avoid exiting the application :)")
}
MainActivity の .onStart() & .onCreate() を Hookする
var mainactivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity")
mainactivity.onStart.overload().implementation = function () {
send("MainActivity.onStart() HIT!!!")
var ret = this.onStart.overload().call(this)
}
mainactivity.onCreate.overload("android.os.Bundle").implementation = function (
var_0
) {
send("MainActivity.onCreate() HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}
android の .onCreate() をフックする
var activity = Java.use("android.app.Activity")
activity.onCreate.overload("android.os.Bundle").implementation = function (
var_0
) {
send("Activity HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}
Hooking: パラメータ付き関数から値を取得する
decryption function をHookする。入力を表示し、元の関数を呼び出して入力を decrypt し、最後に平文データを表示する:
Hooking a decryption function (Java) — 入出力を表示
```javascript function getString(data) { var ret = "" for (var i = 0; i < data.length; i++) { ret += data[i].toString() } return ret } var aes_decrypt = Java.use("sg.vantagepoint.a.a") aes_decrypt.a.overload("[B", "[B").implementation = function (var_0, var_1) { send("sg.vantagepoint.a.a.a([B[B)[B doFinal(enc) // AES/ECB/PKCS7Padding") send("Key : " + getString(var_0)) send("Encrypted : " + getString(var_1)) var ret = this.a.overload("[B", "[B").call(this, var_0, var_1) send("Decrypted : " + ret)var flag = “” for (var i = 0; i < ret.length; i++) { flag += String.fromCharCode(ret[i]) } send(“Decrypted flag: “ + flag) return ret //[B }
</details>
### Hooking functions を使って自分の入力で呼び出す
文字列を受け取る関数を Hook して、別の文字列で呼び出す(出典: [here](https://11x256.github.io/Frida-hooking-android-part-2/))
```javascript
var string_class = Java.use("java.lang.String") // get a JS wrapper for java's String class
my_class.fun.overload("java.lang.String").implementation = function (x) {
//hooking the new function
var my_string = string_class.$new("My TeSt String#####") //creating a new String by using `new` operator
console.log("Original arg: " + x)
var ret = this.fun(my_string) // calling the original function with the new String, and putting its return value in ret variable
console.log("Return value: " + ret)
return ret
}
既に作成されたクラスのオブジェクトを取得する
作成済みのオブジェクトから属性を抽出したい場合は、これを使用できます。
この例では、クラス my_activity のオブジェクトを取得する方法と、オブジェクトのプライベート属性を出力する .secret() 関数を呼び出す方法を示します:
Java.choose("com.example.a11x256.frida_test.my_activity", {
onMatch: function (instance) {
//This function will be called for every instance found by frida
console.log("Found instance: " + instance)
console.log("Result of secret func: " + instance.secret())
},
onComplete: function () {},
})
その他の Frida チュートリアル
- https://github.com/DERE-ad2001/Frida-Labs
- Part 1 of Advanced Frida Usage blog series: IOS Encryption Libraries
参考資料
- Build a Repeatable Android Bug Bounty Lab: Emulator vs Magisk, Burp, Frida, and Medusa
- Frida Gadget documentation
- Frida releases (server binaries)
- Objection (SensePost)
- Modding And Distributing Mobile Apps with Frida
- frida-jdwp-loader
- Library injection for debuggable Android apps (blog)
- jdwp-lib-injector (original idea/tool)
- jdwp-shellifier
- “Super secure” MAGA-themed messaging app leaks everyone’s phone number
- Android Frida Hooking: Disabling FLAG_SECURE
- frida-ui
- clsdumper — Android Dynamic Class Dumper
Tip
AWSハッキングを学び、実践する:
GCPハッキングを学び、実践する:HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。