当前位置: 首页 > news >正文

Frida Hook Android App 点击事件实战指南:从进程识别到成功注入

news 来源:原创 2025/6/24 6:37:01

一、背景与目标

在逆向分析和自动化测试中,Hook Android 的点击事件是调试 UI 交互逻辑的重要手段之一。本文将以实际案例讲解如何通过 Frida Hook public void onClick(View view) 方法,并解决常见的 Hook 失败问题,最终实现对登录按钮的监听与响应。

步骤一

通过Jadx去反编译APK,然后我们全局搜索app页面上显示的关键字,比如“立即登录”,通常可以搜索到res/layout/login.xml文件。我们双击打开布局文件。
进入可以看到对应的按钮定义

 <Buttonandroid:textSize="15sp"android:textColor="@color/white"android:gravity="center"android:id="@+id/btn_login"android:background="@drawable/btn_login"android:layout_width="290dp"android:layout_height="50dp"android:layout_marginTop="80dp"android:layout_marginBottom="15dp"android:text="立即登录"/>

在这里插入图片描述
根据按钮ID我们去找对应的Activity逻辑实现,全局搜索btn_login可以定位到具体的实现逻辑。
并且可以通过resources.arsc去拿到btn_login对应的ID,可以根据ID去hook特定的按钮事件

    <public type="layout" name="im_login" id="0x7f0a00c8" />

步骤二

编写hook代码

1.Py脚本

import frida
import sysdef load_js_file(js_file):try:with open(js_file, 'r', encoding='utf-8') as f:return f.read()except FileNotFoundError:print(f"[-] 错误: 找不到 {js_file} 文件")sys.exit(1)except Exception as e:print(f"[-] 读取 {js_file} 文件时出错: {str(e)}")sys.exit(1)def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)if __name__ == '__main__':# Frida JS Hook 脚本内容js_code = load_js_file('fridaCode.js')print('[*] 正在连接设备...')device = frida.get_remote_device()target_pid = 6472  # ← 替换为你刚刚用 adb shell pidof 得到的 PIDprint(f'[*] 正在附加到 PID: {target_pid}')session = device.attach(target_pid)print('[*] 创建 Frida 脚本')script = session.create_script(js_code)script.on('message', on_message)print('[*] 加载脚本...')script.load()print('[*] 成功注入 Frida 脚本,开始监听点击事件...')sys.stdin.read()

注意:
1.这里我使用的是PID的方式去附加进程,因为我的App通过frida-ps -U指令查出来的只有子进程,但是UI类逻辑一般是在主进程的,所以直接通过PID附加
2.PID查看命令
adb shell pidof 包名
输出:6472 这个就是进程ID
3.子进程一半命名是: 主进程包名:子进程 如:com.android.flysilkworm:filedownloader
4.如果进程注入不正确是无法hook的

这里也贴出包名注入的方法:

import frida
import sysdef load_js_file(js_file):try:with open(js_file, 'r', encoding='utf-8') as f:return f.read()except FileNotFoundError:print(f"[-] 错误: 找不到 {js_file} 文件")sys.exit(1)except Exception as e:print(f"[-] 读取 {js_file} 文件时出错: {str(e)}")sys.exit(1)def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)if __name__ == '__main__':jscode = load_js_file("fridaCode.js")# 获取远程设备并 attach 到主进程device = frida.get_remote_device()process_name = "包名"  # 替换为你应用的主进程名try:session = device.attach(process_name)except Exception as e:print(f"[-] 无法 attach 到进程 {process_name}: {e}")sys.exit(1)script = session.create_script(jscode)script.on('message', on_message)print('[*] Hook Start Running')script.load()sys.stdin.read()

JS脚本:

Java.perform(function () {console.log("[*] 正在 Hook IMNewLoginActivity.onClick...");var IMNewLoginActivity = Java.use("robot.app.acys.ims.IMNewLoginActivity");IMNewLoginActivity.onClick.implementation = function (view) {console.log("[*] IMNewLoginActivity.onClick() 被调用");// 获取 View IDvar viewId = view.getId();console.log("[+] 点击的 View ID: 0x" + viewId.toString(16));// 尝试获取资源名称try {var resources = this.getResources();var resourceName = resources.getResourceEntryName(viewId);console.log("[+] 对应资源名称: " + resourceName);} catch (e) {console.log("[-] 获取资源名称失败");}// 如果是登录按钮(替换为你的 btn_login ID)if (viewId === 0x7f080084) {console.log("[!] 登录按钮被点击!");}return this.onClick(view);};
});

🧩 Frida JS 注入通用模板

✅ 基本结构:Hook 某个类的某个方法

Java.perform(function () {// 替换为你想 Hook 的完整类名var targetClass = Java.use("com.example.target.ClassName");// 替换为你想 Hook 的方法名targetClass.methodName.overload('参数类型1', '参数类型2').implementation = function (param1, param2) {console.log("[*] 方法被调用!");// 打印参数console.log("[+] 参数 1: " + param1);console.log("[+] 参数 2: " + param2);// 调用原始方法(可选)var result = this.methodName(param1, param2);// 打印返回值(如果有的话)console.log("[+] 返回值: " + result);// 可以修改返回值或参数return result;};
});

🎯 示例 1:Hook void onClick(View view)

Java.perform(function () {var LoginActivity = Java.use("robot.app.acys.im.LoginActivity");LoginActivity.onClick.implementation = function (view) {console.log("[*] onClick 被点击");console.log("[+] View ID: 0x" + view.getId().toString(16));return this.onClick(view);};
});

🎯 示例 2:Hook String login(String username, String password)

Java.perform(function () {var LoginManager = Java.use("com.example.LoginManager");LoginManager.login.overload('java.lang.String', 'java.lang.String').implementation = function (user, pass) {console.log("[*] 登录方法被调用");console.log("[+] 用户名: " + user);console.log("[+] 密码: " + pass);// 修改密码为 test123pass = "test123";var result = this.login(user, pass);console.log("[+] 登录结果: " + result);return result;};
});

🎯 示例 3:Hook 构造函数 new Person(String name, int age)

Java.perform(function () {var Person = Java.use("com.example.Person");Person.$init.overload('java.lang.String', 'int').implementation = function (name, age) {console.log("[*] 构造函数被调用");console.log("[+] 创建对象 - 名字: " + name + ", 年龄: " + age);// 调用原构造函数return this.$init(name, age);};
});

🎯 示例 4:Hook 静态方法 static void initConfig()

Java.perform(function () {var Config = Java.use("com.example.Config");Config.initConfig.overload().implementation = function () {console.log("[*] 静态方法 initConfig 被调用");return this.initConfig();};
});

🎯 示例 5:Hook 多个重载方法(overload)

Java.perform(function () {var Utils = Java.use("com.example.Utils");// Hook Utils.load(int)Utils.load.overload('int').implementation = function (id) {console.log("[*] load(int) 被调用,ID: " + id);return this.load(id);};// Hook Utils.load(String)Utils.load.overload('java.lang.String').implementation = function (name) {console.log("[*] load(String) 被调用,名称: " + name);return this.load(name);};
});

📌 注意事项
类名 必须是完整的类路径,如:java.lang.String、com.example.MyClass
方法名 直接写方法名即可,如 .login
参数类型 必须使用 Java 完整类型名,如:java.lang.String, int, boolean 等
this 在 implementation 中代表当前对象实例
$init 是构造函数的特殊标识符
overload(…) 如果方法有多个重载版本,必须指定参数类型来区分

✅ 最后:一个“万能”Hook 模板(自动打印所有参数)

function hookMethod(className, methodName, paramTypes) {Java.perform(function () {var clazz = Java.use(className);var method = clazz[methodName];if (paramTypes) {method = method.overload.apply(this, paramTypes);}method.implementation = function () {console.log(`[*] Hooked: ${className}.${methodName}()`);for (var i = 0; i < arguments.length; i++) {console.log(`[+] 参数[${i}]: ${arguments[i]}`);}var ret = this[methodName].apply(this, arguments);console.log(`[+] 返回值: ${ret}`);return ret;};});
}// 使用示例:
hookMethod("com.example.LoginManager", "login", ["java.lang.String", "java.lang.String"]);

ADB指令启动frida

在这里插入图片描述
其中启动命令是 ./frida-server &
端口转发adb forward tcp:27042 tcp:27042
27042
在这里插入图片描述

相关文章:

  • 程序包androidx.fragment.app不存在 import androidx.fragment.app
  • STM32连接阿里云物联网平台
  • 【51单片机2个外部中断控制流水方向与引脚电平】2022-5-4
  • 基于PostgreSQL的百度或高德等POI多层级分类的数据库设计
  • 云原生 CAD 让制造业设计协同更便捷
  • Docker快速部署可视化防火墙工具:使用go语言开发,底层是iptables,提供API调用
  • 动手用 Web 实现一个 2048 游戏
  • 基于分布式部分可观测马尔可夫决策过程与联邦强化学习的低空经济智能协同决策框架
  • 【MySQL基础】MySQL复合查询全面解析:从基础到高级应用
  • 前端依赖升级完全指南:npm、pnpm、yarn 实践总结
  • python系列教程245——为什么需要继承
  • Linux——7.如何理解 shell
  • C#图书管理系统笔记(残缺版)
  • STM32F103C8T6 学习笔记摘要(四)
  • 前端截图并导出pdf
  • dify应用实践教程5
  • 量子机器学习前沿:量子神经网络与混合量子-经典算法
  • 【图片识别改名】自动识别图片中的文字并给图片命名 ,图片自动识别并且能重命名的操作步骤和注意事项
  • Spark基于Bloom Filter算法的Runtime Filter Join优化机制
  • 【论文阅读35】-PINN review(2021)
  • 网站怎么做数据库/外包网络推广公司
  • b2c电子商务网站解决方案/关键词挖掘工具有哪些
  • 网站建设费要交印花税吗/怎么搞自己的网站
  • 网站空间查询工具/简述网站建设的流程
  • 网站建设京icp备/今天的新闻 最新消息
  • 李沧网站建设谁家好/360网址大全