一、背景與目標
在逆向分析和自動化測試中,Hook Android 的點擊事件是調試 UI 交互邏輯的重要手段之一。本文將以實際案例講解如何通過 Frida Hook public void onClick(View view) 方法,并解決常見的 Hook 失敗問題,最終實現對登錄按鈕的監聽與響應。
步驟一
通過Jadx去反編譯APK,然后我們全局搜索app頁面上顯示的關鍵字,比如“立即登錄”,通常可以搜索到res/layout/login.xml文件。我們雙擊打開布局文件。
進入可以看到對應的按鈕定義
<Buttonandroid:textSize="15sp"android:textColor="@color/white"android:gravity="center"android:id="@+id/btn_login"android:background="@drawable/btn_login"android:layout_width="290dp"android:layout_height="50dp"android:layout_marginTop="80dp"android:layout_marginBottom="15dp"android:text="立即登錄"/>
根據按鈕ID我們去找對應的Activity邏輯實現,全局搜索btn_login可以定位到具體的實現邏輯。
并且可以通過resources.arsc去拿到btn_login對應的ID,可以根據ID去hook特定的按鈕事件
<public type="layout" name="im_login" id="0x7f0a00c8" />
步驟二
編寫hook代碼
1.Py腳本
import frida
import sys
import subprocessdef load_js_file(js_file):try:with open(js_file, 'r', encoding='utf-8') as f:return f.read()except FileNotFoundError:print(f"[-] 錯誤: 找不到 {js_file} 文件")sys.exit(1)except Exception as e:print(f"[-] 讀取 {js_file} 文件時出錯: {str(e)}")sys.exit(1)def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)def get_pid_by_adb(package_name):try:# 執行 adb shell pidof 命令cmd = f"adb shell pidof {package_name}"result = subprocess.run(cmd, shell=True, capture_output=True, text=True)if result.returncode != 0:print(f"[-] 錯誤: 無法獲取 {package_name} 的 PID (ADB 命令失敗)")print(f"[-] ADB 錯誤輸出: {result.stderr.strip()}")sys.exit(1)pid = result.stdout.strip()if not pid:print(f"[-] 錯誤: 找不到 {package_name} 的進程 (可能未運行)")sys.exit(1)return int(pid) # 返回整數 PIDexcept Exception as e:print(f"[-] 獲取 PID 時出錯: {str(e)}")sys.exit(1)if __name__ == '__main__':# Frida JS Hook 腳本內容js_code = load_js_file('fridaCode.js')print('[*] 正在連接設備...')device = frida.get_remote_device()# 替換為你的目標包名package_name = "com.aaaa"target_pid = get_pid_by_adb(package_name)print(f'[*] 找到 {package_name} 的 PID: {target_pid}')print(f'[*] 正在附加到 PID: {target_pid}')session = device.attach(target_pid)print('[*] 創建 Frida 腳本')script = session.create_script(js_code)script.on('message', on_message)print('[*] 加載腳本...')script.load()print('[*] 成功注入 Frida 腳本,開始監聽點擊事件...')sys.stdin.read()注意:
1.這里我使用的是PID的方式去附加進程,因為我的App通過frida-ps -U指令查出來的只有子進程,但是UI類邏輯一般是在主進程的,所以直接通過PID附加
2.PID查看命令
adb shell pidof 包名
輸出:6472 這個就是進程ID
3.子進程一半命名是: 主進程包名:子進程 如:com.android.flysilkworm:filedownloader
4.如果進程注入不正確是無法hook的
這里也貼出包名注入的方法:
import frida
import sysdef load_js_file(js_file):try:with open(js_file, 'r', encoding='utf-8') as f:return f.read()except FileNotFoundError:print(f"[-] 錯誤: 找不到 {js_file} 文件")sys.exit(1)except Exception as e:print(f"[-] 讀取 {js_file} 文件時出錯: {str(e)}")sys.exit(1)def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)if __name__ == '__main__':jscode = load_js_file("fridaCode.js")# 獲取遠程設備并 attach 到主進程device = frida.get_remote_device()process_name = "包名" # 替換為你應用的主進程名try:session = device.attach(process_name)except Exception as e:print(f"[-] 無法 attach 到進程 {process_name}: {e}")sys.exit(1)script = session.create_script(jscode)script.on('message', on_message)print('[*] Hook Start Running')script.load()sys.stdin.read()JS腳本:
Java.perform(function () {console.log("[*] 正在 Hook IMNewLoginActivity.onClick...");var IMNewLoginActivity = Java.use("robot.app.acys.ims.IMNewLoginActivity");IMNewLoginActivity.onClick.implementation = function (view) {console.log("[*] IMNewLoginActivity.onClick() 被調用");// 獲取 View IDvar viewId = view.getId();console.log("[+] 點擊的 View ID: 0x" + viewId.toString(16));// 嘗試獲取資源名稱try {var resources = this.getResources();var resourceName = resources.getResourceEntryName(viewId);console.log("[+] 對應資源名稱: " + resourceName);} catch (e) {console.log("[-] 獲取資源名稱失敗");}// 如果是登錄按鈕(替換為你的 btn_login ID)if (viewId === 0x7f080084) {console.log("[!] 登錄按鈕被點擊!");}return this.onClick(view);};
});
🧩 Frida JS 注入通用模板
? 基本結構:Hook 某個類的某個方法
Java.perform(function () {// 替換為你想 Hook 的完整類名var targetClass = Java.use("com.example.target.ClassName");// 替換為你想 Hook 的方法名targetClass.methodName.overload('參數類型1', '參數類型2').implementation = function (param1, param2) {console.log("[*] 方法被調用!");// 打印參數console.log("[+] 參數 1: " + param1);console.log("[+] 參數 2: " + param2);// 調用原始方法(可選)var result = this.methodName(param1, param2);// 打印返回值(如果有的話)console.log("[+] 返回值: " + result);// 可以修改返回值或參數return result;};
});
🎯 示例 1:Hook void onClick(View view)
Java.perform(function () {var LoginActivity = Java.use("robot.app.acys.im.LoginActivity");LoginActivity.onClick.implementation = function (view) {console.log("[*] onClick 被點擊");console.log("[+] View ID: 0x" + view.getId().toString(16));return this.onClick(view);};
});
🎯 示例 2:Hook String login(String username, String password)
Java.perform(function () {var LoginManager = Java.use("com.example.LoginManager");LoginManager.login.overload('java.lang.String', 'java.lang.String').implementation = function (user, pass) {console.log("[*] 登錄方法被調用");console.log("[+] 用戶名: " + user);console.log("[+] 密碼: " + pass);// 修改密碼為 test123pass = "test123";var result = this.login(user, pass);console.log("[+] 登錄結果: " + result);return result;};
});
🎯 示例 3:Hook 構造函數 new Person(String name, int age)
Java.perform(function () {var Person = Java.use("com.example.Person");Person.$init.overload('java.lang.String', 'int').implementation = function (name, age) {console.log("[*] 構造函數被調用");console.log("[+] 創建對象 - 名字: " + name + ", 年齡: " + age);// 調用原構造函數return this.$init(name, age);};
});
🎯 示例 4:Hook 靜態方法 static void initConfig()
Java.perform(function () {var Config = Java.use("com.example.Config");Config.initConfig.overload().implementation = function () {console.log("[*] 靜態方法 initConfig 被調用");return this.initConfig();};
});
🎯 示例 5:Hook 多個重載方法(overload)
Java.perform(function () {var Utils = Java.use("com.example.Utils");// Hook Utils.load(int)Utils.load.overload('int').implementation = function (id) {console.log("[*] load(int) 被調用,ID: " + id);return this.load(id);};// Hook Utils.load(String)Utils.load.overload('java.lang.String').implementation = function (name) {console.log("[*] load(String) 被調用,名稱: " + name);return this.load(name);};
});
📌 注意事項
類名 必須是完整的類路徑,如:java.lang.String、com.example.MyClass
方法名 直接寫方法名即可,如 .login
參數類型 必須使用 Java 完整類型名,如:java.lang.String, int, boolean 等
this 在 implementation 中代表當前對象實例
$init 是構造函數的特殊標識符
overload(…) 如果方法有多個重載版本,必須指定參數類型來區分
? 最后:一個“萬能”Hook 模板(自動打印所有參數)
function hookMethod(className, methodName, paramTypes) {Java.perform(function () {var clazz = Java.use(className);var method = clazz[methodName];if (paramTypes) {method = method.overload.apply(this, paramTypes);}method.implementation = function () {console.log(`[*] Hooked: ${className}.${methodName}()`);for (var i = 0; i < arguments.length; i++) {console.log(`[+] 參數[${i}]: ${arguments[i]}`);}var ret = this[methodName].apply(this, arguments);console.log(`[+] 返回值: ${ret}`);return ret;};});
}// 使用示例:
hookMethod("com.example.LoginManager", "login", ["java.lang.String", "java.lang.String"]);
ADB指令啟動frida
其中啟動命令是 ./frida-server &
端口轉發adb forward tcp:27042 tcp:27042
27042
命令:
查看包:frida-ps -U
adb常用:
adb shell
gracelte:/ $ su root
gracelte:/ # chmod 777 frida-server
chmod: frida-server: No such file or directory
1|gracelte:/ # cd /data/local/tmp/
gracelte:/data/local/tmp # chmod 777 frida-server
gracelte:/data/local/tmp # ./frida-server &
[1] 4081
gracelte:/data/local/tmp # netstat -tulnp | grep frida
tcp 0 0 127.0.0.1:27042 0.0.0.0:* LISTEN 4081/frida-server
gracelte:/data/local/tmp #
![[QT]-宏使用](http://pic.xiahunao.cn/[QT]-宏使用)
![華為OD-2024年E卷-字母組合[200分] -- python](http://pic.xiahunao.cn/華為OD-2024年E卷-字母組合[200分] -- python)
![P3258 [JLOI2014] 松鼠的新家](http://pic.xiahunao.cn/P3258 [JLOI2014] 松鼠的新家)
