2

我有一个被混淆的android程序。在这个程序中,类具有同名的属性。这样的反编译代码

public class d implements c
{
    public int a;
    public Cache$Entry a;
    public Cache a;
    public volatile a a;
    public e a;
    public ByteArrayOutputStream a;
    public volatile AtomicBoolean a;

或像这样的smali代码

# interfaces
.implements Le/a/x/c;
# instance fields
.field public a:I
.field public a:Lanetwork/channel/cache/Cache$Entry;
.field public a:Lanetwork/channel/cache/Cache;
.field public volatile a:Ld/a/w/a;
.field public a:Le/a/x/e;
.field public a:Ljava/io/ByteArrayOutputStream;
.field public volatile a:Ljava/util/concurrent/atomic/AtomicBoolean;

我为一个方法 asd() 创建了一个钩子,我需要访问此类的属性“a”。但我需要类型为“eaxe”的属性“a”

Java.perform(function () {
   var var_ddd = Java.use("e.a.x.d");
    var_ddd.asd.implementation = function() {
       this.asd();
       console.log("e.a.x.d.asd()",Java.cast(this.a.value,Java.use("e.a.x.e")));
    };
});

当我尝试写 this.a.value - 我得到一个错误的属性。当我写 Java.cast(this.a.value,Java.use("eaxe")) 我收到消息

TypeError: cannot read property 'hasOwnProperty' of undefined

请告诉我如何使用正确的类型获得正确的属性

4

2 回答 2

1

如果方法和同名的字段之间存在冲突,Frida 已经内置了解决方法:在字段名称前加上下划线: _a

如果有名字冲突,方法和成员同名,成员会加下划线。

但我不确定这些信息是否仍然有效。当前的 Frida Java 桥接代码不喜欢使用冲突的字段名称重命名字段:https ://github.com/frida/frida-java-bridge/blob/master/lib/class-factory.js#L301

我也看不到以不基于其名称的方式访问 Frida 中的字段的方法。

我看到的唯一机会是通过 Java 反射访问该字段:

const eaxe = Java.use("e.a.x.e");
for (f of eaxe.class.getDeclaredFields()) {
    if (f.getType().getName() == "e.a.x.e") {
        f.setAccessible(true);
        var fieldValue = f.get(this);
        console.log("Field of type e.a.x.e has value: " + fieldValue);
    }
}

注意:上面的代码还没有在 Frida 中测试过,因此它可能需要更多的改进才能真正起作用。

于 2020-02-29T16:28:47.877 回答
1

感谢罗伯特,找到了解决方案。代码做了一些小的更正

var lo_fld_eaxe;
var lv_found = false;
var lt_fields = this.getClass().getDeclaredFields();
for (var i = 0; i < lt_fields.length && lv_found == false; i++) {
    if(lt_fields[i].getName().toString() == 'a' &&  lt_fields[i].getType().getName().toString() == 'e.a.x.e' ){
       lo_fld_eaxe = lt_fields[i];
       lv_found = true; 
  }
}
if(lv_found == true) {
   lo_fld_eaxe.setAccessible(true);
   try{ 
          var       lv_e_a_x_e = lo_fld_eaxe.get(this);   
   }
   catch(err){
          console.log("Error:"+err);
   }
 }
于 2020-03-02T11:44:16.573 回答