一目录结构

├── test.py #py脚本

└── test.js #js脚本

一.py脚本

test.py

import frida

import sys

#连接设备app

dev=frida.get_usb_device() # get_usb_device获取设备

PACKAGE = 'cn.soulapp.android' # 包名

process = dev.attach(PACKAGE) # 获取给定包名的app进程

#运行脚本

#获取js脚本内容

with open('test.js', 'r') as fr:

js_test=fr.read()

script = process.create_script(js_test) # 这里是把你的js脚本给塞进了process

#可以获取打印效果

def show(message,data):

print(message)

script.on("message",show)

# 加载脚本

script.load()

sys.stdin.read()

二.js脚本

Java.perform(function(){ //固定写法所有脚本就要丢在里面

var c =Java.use('cn.soulapp.android.utils.j'); //Java.use获取cn.soulapp.android.utils.j这个类

c.e.implementation =function(a){return false}; //类的方法复制

});

三.frida相关接口

一.Java.perform(function(){}):

返回值:空

用途:这是frida的main，所有的脚本必须放在这个里面

二. Java.use(类名)

返回值:类的对象

用途:动态获取一个类的对象

拓展:$new()实例化对象， $dispose()销毁对象

三.Java.available

返回值:boolean。

用途:确认当前进程的java虚拟机是否已经启动，虚拟机包括Dalbik或者ART等。虚拟机没有启动的情况下不要唤醒其他java的属性或者方法。

四.Java.enumerateLoadedClasses(callbacks)

返回值:无

参数:回调函数

用途:列出当前已经加载的类，用回调函数处理

回调函数:

onMatch:function(className){ }

找到加载的每个类的时候被调用，参数就是类的名字，这个参数可以传给java.use()来获得一个js类包

onComplete: function ():

列出所有类之后被调用 ，也就是完成后做一些扫尾工作

五.Java.enumerateLoadedClassesSync()

返回值:所有已经加载的类的数组。

六.Java.scheduleOnMainThread(function(){}):

返回值:无

用途:在线程上运行指定的函数

七.Java.choose(className, callbacks):

用途:查找堆中指定类的实例。获得实例后可以调用实例的函数

回调函数

onMatch: function (instance)

每次找到 指定类的实例后调用，

onComplete: function ()

完成时调用

八.Java.cast(handle, klass)

返回值:类的对象

参数:句柄(ptr),klass(use()的返回值)

用途:用来获取 指定内存地址的类的实例 的对象。这个对象有类属性，可以得到所属类的对象。还有$className属性过去类名的字符串。一个对象有可能有很多实例

例子:

var Activity = Java.use("android.app.Activity");

var activity = Java.cast(ptr("0x1234"), Activity);

四.总结

java接口的api中，perform是必须用，没什么实际作用。use是最常用的，用来获取类的对象，获取对象后就可以替换具体方法的实现了，相当于修改源码！！choose和cast是针对运行时对象的实例，相当于动态调试过程中获取信息。