如何修复 Frida 上的错误:java.lang.ClassNotFoundException
我试图使用 Frida 绕过 android 应用程序上的 root 检测机制,我尝试了很多不同的脚本(frida 代码共享)和不同的方法(比如隐藏 root),但都没有成功!
因此,我尝试找到负责检查设备是否已 root 并更改其返回值的类和方法。
这是我的脚本:
setTimeout(function() { // avoid java.lang.ClassNotFoundException
Java.perform(function() {
var hook = Java.use("app.name.RootUtils");
console.log("info: hooking target class");
hook.isRooted.overload().implementation = function() {
console.log("info: entered target method");
return Java.use("java.lang.Boolean").$new(false);
}
});
},0);
如果我正常注入此代码,它将不起作用,因为看起来 isRooted 方法会在它之前被调用
如果我使用 spawn 来运行应用程序并更改此方法的返回值,它将失败并显示错误:
frida.core.RPCException: Error: java.lang.ClassNotFoundException: Didn't find class ...
我也尝试过生成应用程序,然后使用反对意见来运行“android root disable”,但它会返回此错误:
frida.core.RPCException: TypeError: cannot read property 'getApplicationContext' of null at getApplicationContext (src/android/lib/libjava.ts:21)
我不确定这是 Frida 的问题还是我的系统或...
我认为如果我能够让我的主代码在类加载之后准确运行(比如使用循环检查或使用钩子),问题就会得到解决,但我不知道如何用 js 为 frida 编写这种代码。
我在 macOS 11.5.1 上使用 python 3.9 并安装了最新版本的 frida 和 objection
我已经在一台安装了 android 10 的 root 手机和一个安装了 android 6 的模拟器上进行了测试
我能够使用一个简单但不太技术性的解决方案来解决这个问题。
我使用 setInteval 反复运行我的挂钩,直到它开始工作,(正如 @Robert 提到的,我还需要将挂钩包装在 try catch 中,以防止代码在第一次尝试后停止)
这可能不适用于所有人,但既然它对我有用,我将发布最终代码,希望它在未来能帮助别人 :)
Java.perform(function() {
var it = setInterval(function(){
try{
var hook = Java.use("app.name.RootUtils");
console.log("info: hooking target class");
hook.isRooted.overload().implementation = function() {
console.log("info: entered target method");
clearInterval(it);
return Java.use("java.lang.Boolean").$new(false);
}
} catch(e) {
console.log("failed!");
}
},200); // runs every 200milisecods
});
PS:您可能需要更改间隔时间以满足您的应用需求,它对我来说是 200 毫秒。
有时应用程序会在其类加载器中进行加密,您可能需要用应用程序的自定义类加载器替换 Java.classFactory.loader,以使 Java.use 正常运行。
操作方法如下:
Java.perform(function() {
//get real classloader
//from http://www.lixiaopeng.top/article/63.html
var application = Java.use("android.app.Application");
var classloader;
application.attach.overload('android.content.Context')
.implementation = function(context) {
var result = this.attach(context); // run attach as it is
classloader = context.getClassLoader(); // get real classloader
Java.classFactory.loader = classloader;
return result;
}
//interesting classes
const interestingClassPath = "com.myApp.SometingInteresting";
interestingClass = Java.use(interestingClassPath);
//do whatever you like here
})
未找到类
您如何知道类是
app.name.RootUtils
,您是否使用 Jadx 或 apktool 反编译为应用程序?调用
RootUtils.isRooted()
的方法怎么样?是否有任何特殊代码可以加载
RootUtils
类,例如从应用程序中包含的非标准 dex 文件中加载?如果该类是从特殊的 dex 文件加载的,您可以挂钩此 dex 加载机制并首先执行它,然后为
RootUtils.isRooted()
安装挂钩。
或者,假设
RootUtils.isRooted()
仅从另一个方法调用,并且不使用特殊代码来加载
RootUtils
类,您可以挂钩该方法并使用此挂钩安装您的
RootUtils.isRooted()
挂钩。
错误处理
在 JavaScript 中处理错误的正确方法是使用
try
catch
块,而不是
setTimeout
函数:
Java.perform(() => {
try {
var hook = Java.use("app.name.RootUtils");
...
} catch (e) {
console.log("Failed to hook root detection" + e);
}
}
关于您挂钩类的问题