在Ubuntu上构建Android逆向工程环境Frida实战与IO重定向技术解析对于习惯Linux环境的安全研究人员而言Windows-centric的逆向工具链往往带来诸多不便。本文将系统性地介绍如何在Ubuntu上搭建完整的Android逆向环境并深入探讨如何利用Frida实现高级Hook技巧特别是针对getPackageCodePath()等关键方法的拦截与重定向。1. 环境准备与工具链配置1.1 基础依赖安装在Ubuntu上开展Android逆向工作首先需要确保以下基础组件就位sudo apt update sudo apt install -y \ android-tools-adb \ python3-pip \ git \ openjdk-11-jdk \ wget \ unzip关键组件说明android-tools-adbAndroid Debug Bridge工具套件openjdk-11-jdkJava开发环境建议使用OpenJDK 11以兼容多数逆向工具python3-pipPython包管理工具Frida依赖1.2 ADB配置与设备连接配置USB调试权限后通过以下命令验证设备连接adb devices # 预期输出示例 List of devices attached emulator-5554 device若遇到设备未授权问题可尝试adb kill-server adb start-server1.3 Frida生态部署Frida环境需要客户端与服务端组件协同工作安装Python客户端pip3 install frida-tools --user部署Android端Server查询设备CPU架构adb shell getprop ro.product.cpu.abi下载对应版本的Frida-serverwget https://github.com/frida/frida/releases/download/16.0.8/frida-server-16.0.8-android-arm64.xz unxz frida-server-*.xz推送到设备并启动adb push frida-server-* /data/local/tmp/frida-server adb shell chmod 755 /data/local/tmp/frida-server adb shell /data/local/tmp/frida-server 验证安装frida-ps -U2. Android签名校验机制深度解析2.1 常见校验类型与技术原理校验类型实现方式典型特征基础签名校验PackageInfo.signatures比对APK签名证书哈希值V2签名校验SigningInfo.getApkContentsSignersAndroid 9新增APICRC校验ZipEntry.getCrc()校验DEX文件完整性SO文件校验System.loadLibraryNative层实现的复杂校验逻辑2.2 典型校验代码反编译示例// 新API签名校验实现 public final boolean useNewAPICheck() { String str; Signature[] signatureArr; try { if (Build.VERSION.SDK_INT 28) { signatureArr getPackageManager() .getPackageInfo(getPackageName(), 134217728) .signingInfo.getApkContentsSigners(); } else { signatureArr getPackageManager() .getPackageInfo(getPackageName(), 64) .signatures; } str MD5Utils.INSTANCE.MD5( Base64Utils.INSTANCE.encodeToString( signatureArr[0].toByteArray() ) ); } catch (Exception e) { str ; } return str.equals(074f64af5821ae6aa1ac1779ad5687ad); }3. Frida高级Hook技术实战3.1 基础Hook模式对比返回值覆写直接修改函数返回值为预期值参数篡改拦截并修改传入参数流程劫持完全接管函数执行逻辑IO重定向修改文件路径相关操作3.2 针对getPackageCodePath的Hook实现创建redirect.js脚本Java.perform(function () { const ContextWrapper Java.use(android.content.ContextWrapper); ContextWrapper.getPackageCodePath.implementation function () { const originalPath this.getPackageCodePath(); console.log(Original path: ${originalPath}); // 重定向到备用APK路径 const newPath /data/local/tmp/original.apk; console.log(Redirecting to: ${newPath}); return newPath; }; });执行脚本frida -U -l redirect.js -f com.target.app --no-pause3.3 复合Hook策略应对多重校验对于同时存在签名校验和CRC校验的场景可采用分层拦截策略Java.perform(function () { // 第一层签名校验绕过 Java.use(com.target.app.SignatureChecker).verify.overload().implementation function() { return true; }; // 第二层CRC校验重定向 Java.use(android.app.ApplicationPackageManager).getPackageInfo.overload(java.lang.String, int).implementation function(pkg, flags) { const info this.getPackageInfo(pkg, flags); if (pkg com.target.app) { info.signatures[0] ... // 伪造签名数据 } return info; }; });4. 实战案例完整绕过流程演示4.1 目标APK分析准备提取目标APKadb shell pm path com.target.app adb pull /data/app/~~.../base.apk反编译分析apktool d base.apk -o decompiled4.2 多维度校验绕过方案方案对比表方法类型实施难度通用性隐蔽性适用场景返回值强制修改★★☆高低简单校验签名数据伪造★★★☆中中V1/V2签名校验IO重定向★★★★高高文件完整性校验Native层Hook★★★★☆低高SO文件校验4.3 自动化Hook脚本开发创建auto_hook.py控制脚本import frida import sys def on_message(message, data): if message[type] send: print(f[*] {message[payload]}) else: print(message) device frida.get_usb_device() pid device.spawn([com.target.app]) session device.attach(pid) with open(hook_script.js) as f: script session.create_script(f.read()) script.on(message, on_message) script.load() device.resume(pid) sys.stdin.read()配套的hook_script.js应包含针对目标应用的特化Hook逻辑。5. 高级技巧与疑难排解5.1 常见问题解决方案Frida-server无法保持运行adb shell nohup /data/local/tmp/frida-server Hook失效的可能原因目标方法已被混淆存在反调试检测架构不匹配如误将x86脚本用于arm设备动态加载代码的Hook策略Java.enumerateClassLoaders({ onMatch: function(loader) { try { Java.classFactory.loader loader; const DynamicClass Java.use(dynamic.ClassName); // Hook逻辑... } catch(e) {} }, onComplete: function() {} });5.2 性能优化建议避免在Hook回调中执行耗时操作使用NativeFunction替代JavaScript实现性能关键代码合理设置setImmediate处理异步任务在长期逆向工程实践中发现IO重定向方案对Android 10系统的兼容性需要特别注意。某些厂商ROM会对/data/local/tmp路径的访问施加额外限制此时可尝试使用应用私有目录如/data/data/pkg.name/files作为重定向目标。
