frida hook工具使用——用于os api注入分析还是不错的

时间：2023-07-11 12:11:05浏览次数：37

标签：log self child pid hook api ._ frida lambda

准备：

pip install frida

pip install frida-tools

开始：

1、创建child-gating1.py

import os
import threading

from frida_tools.application import Reactor

import frida

import argparse


class Application:
    def __init__(self, log_location):
        self.fpath = ""
        self.log = log_location
        
        self._stop_requested = threading.Event()
        self._reactor = Reactor(run_until_return=lambda reactor: self._stop_requested.wait())

        self._device = frida.get_local_device()
        self._sessions = set()

        self._device.on("child-added", lambda child: self._reactor.schedule(lambda: self._on_child_added(child)))
        self._device.on("child-removed", lambda child: self._reactor.schedule(lambda: self._on_child_removed(child)))
        self._device.on("output", lambda pid, fd, data: self._reactor.schedule(lambda: self._on_output(pid, fd, data)))

    def run(self, fp):
        self.fpath = fp
        self._reactor.schedule(lambda: self._start())
        self._reactor.run()

    def _start(self):
        """
        argv = ["/bin/sh", "-c", "cat /etc/hosts"]
        env = {
            "BADGER": "badger-badger-badger",
            "SNAKE": "mushroom-mushroom",
        }
        """
        #f = "C:\\Users\\Administrator\\Desktop\\测试用例\\TN0940\\notepad.exe"
        #f = "C:\\Users\\Administrator\\Desktop\\fritest\\TN0940_1.exe"
        print("✔ spawn(f={})".format(self.fpath))
        pid = self._device.spawn(self.fpath)
        self._instrument(pid)

    def _stop_if_idle(self):
        if len(self._sessions) == 0:
            self._stop_requested.set()

    def _instrument(self, pid):
        print(f"✔ attach(pid={pid})")
        session = self._device.attach(pid)
        session.on("detached", lambda reason: self._reactor.schedule(lambda: self._on_detached(pid, session, reason)))
        print("✔ enable_child_gating()")
        session.enable_child_gating()
        print("✔ create_script()")
        script = session.create_script(
            """
Interceptor.attach(Module.findExportByName("kernel32.dll", "CreateFileW"), {
  onEnter: function (args) {
    //var fileNamePtr = args[0];
    //var fileName = Memory.readUtf16String(fileNamePtr);
    //send(fileName)
    send({
      type: 'CreateFileW',
      path: Memory.readUtf16String(args[0])
    });
  }
});
"""
        )
        script.on("message", lambda message, data: self._reactor.schedule(lambda: self._on_message(pid, message)))
        print("✔ load()")
        script.load()
        print(f"✔ resume(pid={pid})")
        self._device.resume(pid)
        self._sessions.add(session)

    def _on_child_added(self, child):
        print(f"⚡ child_added: {child}")
        self._instrument(child.pid)

    def _on_child_removed(self, child):
        print(f"⚡ child_removed: {child}")

    def _on_output(self, pid, fd, data):
        print(f"⚡ output: pid={pid}, fd={fd}, data={repr(data)}")

    def _on_detached(self, pid, session, reason):
        print(f"⚡ detached: pid={pid}, reason='{reason}'")
        self._sessions.remove(session)
        self._reactor.schedule(self._stop_if_idle, delay=0.5)

    def _on_message(self, pid, message):
        print(f"⚡ message: pid={pid}, payload={message['payload']}")
        
        with open(self.log, 'a') as f:
            f.write(str(message.get('payload'))+'\n')
        

def log_loc(fpath, log_dir):
    malware_name = os.path.basename(fpath)[:-4]
    return os.path.join(log_dir, malware_name+".log")
    
  
parser = argparse.ArgumentParser(description='Frida demo.')
parser.add_argument("-f", "--file", help="target file to run", required=True)
parser.add_argument("-l", "--log", help="log location", required=True)
args, unknown = parser.parse_known_args()

app = Application(log_loc(fpath=args.file, log_dir=args.log))
app.run(args.file)

# sample run:
# python .\child-gating1.py -f ‪"C:\\Users\\l00379637\\source\\repos\\test_file_write\\Debug\\test_file_write.exe" -l read_file.log

vs里创建一个测试exe，test_file_write：

#include <windows.h>
#include <stdio.h>

int main()
{
	HANDLE h = CreateFile(
		"bar.txt",
		GENERIC_READ | GENERIC_WRITE,
		0,
		NULL,
		CREATE_NEW,
		FILE_ATTRIBUTE_TEMPORARY,
		NULL);

	if (h == INVALID_HANDLE_VALUE) {
		DWORD err = GetLastError();
		printf("err %d\n", err);
		return 1;
	}

	printf("%p\n", h);

	return 0;
}

然后运行：

python .\child-gating1.py -f "C:\\Users\\l00379637\\source\\repos\\test_file_write\\Debug\\test_file_write.exe" -l log
✔ spawn(f=C:\\Users\\l00379637\\source\\repos\\test_file_write\\Debug\\test_file_write.exe)
✔ attach(pid=31252)
✔ enable_child_gating()
✔ create_script()
✔ load()
✔ resume(pid=31252)
err 80
⚡ message: pid=31252, payload={'type': 'CreateFileW', 'path': 'bar.txt'}
⚡ detached: pid=31252, reason='process-terminated'

可以看到

CreateFileW
OS API被hook获取了调用参数。

如果要hook其他API，修改JS部分代码即可：

Interceptor.attach(Module.findExportByName("kernel32.dll", "CreateFileW"), {
  onEnter: function (args) {
    //var fileNamePtr = args[0];
    //var fileName = Memory.readUtf16String(fileNamePtr);
    //send(fileName)
    send({
      type: 'CreateFileW',
      path: Memory.readUtf16String(args[0])
    });
  }
});

标签：log,self,child,pid,hook,api,._,frida,lambda
From： https://www.cnblogs.com/bonelee/p/17544299.html

一篇文章看懂 Apipost IDEA插件怎么用
Apipost最近也是推出了IDEA插件，只需要右键upload一下即可自动解析代码注解并快速生成API文档，小编也是试了试，这篇文章给大家带来详细的使用教程。安装ApipostHelper安装Apipost-Helper：打开IDEA，在右侧Plugin中搜索Apipost点击Install下载安装。配置方法：安装成功后要将IDEA内的......
界面控件DevExtreme UI组件——增强的API功能
虽然DevExtreme刚刚发布了v23.1，但今天我们仍然要继续总结一下之前的主要更新（v22.2）中发布的一些与DevExtremeAPI相关的重要特性。DevExtreme拥有高性能的HTML5/JavaScript小部件集合，使您可以利用现代Web开发堆栈（包括React，Angular，ASP.NETCore，jQuery，Knockout等）构建交互式的Web应......
自定义hook函数
什么是hook？——本质是一个函数，把setup函数中使用的CompositionAPI进行了封装。类似于vue2.x中的mixin。自定义hook的优势:复用代码,让setup中的逻辑更清楚易懂。创建hook3文件夹新建usePoint.js文件（文件名以userxxx命名） app.vue<template><button@cl......
Vue3 的 hook函数
Vue3的hook函数相当于vue2的mixin,不同在于hooks是函数；Vue3的hook函数可以帮助我们提高代码的复用性,让我们能在不同的组件中都利用hooks函数；其实就是代码的复用，可以用到外部的数据，生命钩子函数...，具体怎么用直接看代码，//一般都是建一个hooks文件夹，都写在里面impor......
api接口技术开发分享，亚马逊国际获得AMAZON商品详情数据采集商品规格信息列表示例说明
亚马逊商品详情API接口的作用是提供对亚马逊平台上商品的详细信息进行访问和操作的功能。通过调用该API接口，开发者可以获取亚马逊商品的标题、描述、价格、库存、销量、评价、图片等信息，并且可以对商品进行购买、加入购物车、添加评论等操作。这个API接口可以用于构建电商平......
关于接口设计-OpenAPI与RESTful API
OpenAPI和RESTfulAPI并不是相互排斥的概念，而是存在一定的关联和区别。RESTfulAPI（RepresentationalStateTransfer）：它是一种架构风格，用于设计网络应用程序的API。RESTfulAPI基于一组规范和约束，通过使用HTTP协议中的不同方法（如GET、POST、PUT、DELETE）对资源进行操作，使用URI（统......
探索API接口：从概念到实践
在当今数字化时代，API（ApplicationProgrammingInterface）接口成为了各种应用程序之间实现数据交互和功能集成的关键。无论是开发一个网站、构建一个移动应用还是进行数据分析，了解如何调用API接口是必不可少的技术。一、什么是API接口？API接口是应用程序之间进行通信的协议。它定义......
如何开发 RESTful、GraphQL 和 SOAP 等不同类型的 API ？
在软件开发中，API（应用程序编程接口）的重要性不言而喻。API已成为不可或缺的构建模块，使开发人员能够创建功能丰富、多样化和可扩展的应用程序。这是一篇综合指南，旨在深入探讨API开发，使初学者和有经验的开发人员都能充分挖掘API在项目中的潜力。本指南将详尽探讨API开发的基本要素，包......
API管理不好做？来试试Apipost，前端、后端、测试，一个平台全搞定
API是什么&API管理存在哪些问题API（ApplicationProgrammingInterface，应用程序接口）作为一系列预先定义的规则和约定，用于不同软件应用之间的通信，促进了系统间的互动和数据共享。在企业数字化转型的推进中，API管理变得越来越重要。然而，API管理过程中存在着一些困境，以下是其中的四个......
如何实现java Docker Engine API的具体操作步骤
使用Java实现DockerEngineAPI引言Docker是一款非常流行的容器化平台，它可以让开发者更方便地构建、交付和运行应用程序。Docker提供了一系列的API，用于管理和操作Docker引擎，通过这些API可以实现容器的创建、启动、停止等操作。本文将向你介绍如何使用Java来实现DockerEngineAPI......

frida hook工具使用——用于os api注入分析还是不错的

相关文章

赞助商

阅读排行