frida dump android手机内存数据工具

最新推荐文章于 2026-05-21 11:56:10 发布
原创 最新推荐文章于 2026-05-21 11:56:10 发布 · 1.8w 阅读 · 8
标签
#android #frida工具 #frida_dump #android脱壳 so
本文记录了在分析加密SO文件时遇到的问题,传统IDA dump方法由于文件不完整,导致无法静态分析。作者转向使用frida_dump工具,通过Python脚本成功dump并修复了SO文件,提高了分析效率。frida_dump的使用过程包括调用dump_so.py脚本和frida脚本dump_dex.js,最终生成可供ida分析的完整SO文件。

frida_dump使用

为什么写这篇笔记

最近在学习分析so的使用,发现目标的so文件是进行过处理的,直接打开so文件里面什么都看不到,基本的so文件都缺少了好几块文件,最主要的是字符串是动态加密的,用到时解密,使用完成后就销毁。为了获取能静态分析的so文件(在ida上能大致看一些伪代码),就需要将手机内存中的so文件进行dump下来。

使用ida进行dump

刚开始的时候尝试使用ida脚本进行dump,但是dump出来的so文件还是不全,可能是没有进行修复的原因,分析的过程中非常难受,基本上都是在使用ida动态调试的过程中去看,这样效率太低,使用frida去hook想验证的函数时,又需要进行绝对地址和相对地址的计算,并且so调试过程中经常崩溃。当然,使用ida进行dump是一种方式,只是我不懂修复dump出来的so文件。

python脚本

ida脚本

使用frida_dump进行dump so文件

后面实在分析不出下去了,问导师dump的脚本,我本意是ida的dump脚本是怎么写的,导师说他用frida_dump,挖槽,原来导师没有遇到问题不是使用ida进行dump啊,于是导师给我发了frida_dump的git地址,我使用该工具dump出来的文件确实是比我使用ida弄出来的文件大了不少。

如何使用frida_dump作者写的很清楚,我在这贴一下相关的文档。

1. dump android module
usage:
​ python dump_so.py

​ python dump_so.py so_name

➜  frida_dump git:(master) ✗ python dump_so.py libc.so              
{
最低0.47元/天 解锁文章
frida_dump:frida dump dex,frida dump so
05-01
frida_dump 1.使用dump_module Android dump_so > frida -U packagename -l dump_module.js ____ / _ | Frida 12.4.8 - A world-class dynamic instrumentation toolkit | (_| | > _ | Commands: /_/ |_| help -> Displays the help system . . . . object? -> Display information about 'object' . . . . exit/quit -> Exit . . . . . . . . More info at http:
AwsomeReverseTools:逆向工具大集合:脱壳dex重打包脚本;Frida Dump so脚本
05-28
AwsomeReverseTools 逆向 脱壳 修复 Dump SO
Frida实战:高效dump Android内存数据的完整指南
weixin_26908317的博客
04-15 149
本文详细介绍了如何使用Frida工具高效dump Android内存数据,包括so文件和Dex文件的实战操作。通过环境搭建、工具推荐、dump流程和常见问题解决,帮助开发者掌握内存分析技术,特别适用于逆向工程和安全研究场景。
某汽车社区App 签名和加解密分析 (二) : Frida Dump so
fenfei331的博客
12-08 7373
一、目标 App安全的主战场在Native层,分析Native层的so,最趁手的兵器就是Frida和Unidbg了。 今天我们的目标是 某汽车社区App v8.0.1 so 的分析。 二、步骤 特征字符串定位 我们在上一篇教程 某汽车社区App 签名和加解密分析 已经定位了,数据加密和解密函数再java层的位置。 按照常理来说,这个java类文件中,应该有个 System.loadLibrary(“libxxx”) 来方便我们定位对应的so。 可惜的是,这个样本里找不到。原因大概率是脱壳不完整。 既然没这
Frida+Dump神器组合:如何绕过Android加固提取完整DEX/SO(保姆级教程)
weixin_30399821的博客
03-26 447
本文详细介绍了如何使用FridaDump工具组合绕过Android加固技术,提取完整的DEX和SO文件。通过实战案例和代码示例,展示了如何定位内存中的DEX镜像、合并多DEX文件、重建ELF文件以及绕过反调试检测,帮助安全研究人员深入分析加固应用的核心逻辑。
一文搞懂 SO 脱壳全流程:识别加壳、Frida Dump、原理深入解析
06-11 2110
FridaAndroid 上枚举模块(如 Process.enumerateModules())时,核心机制是:👉 遍历 linker(动态链接器)内部维护的 soinfo 链表,dlopen 成功后,linker 会将 .so 加入 solist。2、在 dump_so.js 的 dumpmodule 中获取目标 .so 文件的基地址和大小,返回内存中的 so 数据。除了用来脱壳 so ,也可以用 dump_so.js 中的函数查找 so 或打印所有 so 信息。
frida-dump原理解析
weixin_43922321的博客
09-09 2202
frida_dump地址:https://github.com/lasting-yang/frida_dump Dex_dump 1、找到hook点 在Dex_dump中使用了,如下libart中的DefineClass mirror::Class* DefineClass(Thread* self, const char* descriptor, size_t h...
Frida进行AndroidSo文件的dump
u012871930的博客
12-13 3582
文件执行的命令为:frida -U -f com.*** -l android_dlopen_ext.js。file_path是文件路径,其中com***是应用包名。其中soName是我们要进行dumpso文件名称。com.***则是要注入的包名。
脱壳工具frida-dexdump的使用详解
热门推荐
数据知道的博客
09-04 3万+
基于frida开发的脱壳工具,代码开源且操作简单。在内存中转存dex文件,能脱大部分的壳。
Frida-dexdump 使用指南:从内存中脱取安卓 Dex 文件
tangweiguo03051987的博客
08-29 2054
frida-dexdump 是一个命令行工具,它利用 Frida 的注入能力,将目标安卓应用中正在内存里运行的 Dex 文件转储(Dump)出来。执行后,工具会开始工作,并在当前终端目录下生成一个以 包名_时间戳 命名的文件夹(如 com.example.app_20230810_152321),里面存放着所有 dump 出来的 .dex 文件。-f --file spawn 一个新的进程并附加(用于脱壳应用启动时的初始 Dex)-d --debug 启用调试模式,输出更详细的信息。
Frida实战:高效dump Android内存中的so与dex文件
weixin_29306571的博客
02-27 537
本文详细介绍了使用Frida工具高效dump Android应用运行时内存中已解密的so与dex文件的实战方法。针对加壳、加密等防护手段,通过搭建Frida环境、编写注入脚本及利用自动化工具链,实现非侵入式内存数据提取,极大提升逆向分析效率,并提供了处理反调试与确保数据完整性的进阶技巧。
[1197]脱壳工具dumpDex、frida_dump、BlackDex
周小董
05-20 5343
dumpDex: 一个开源的 Android 脱壳插件工具,需要xposed支持。可以用来脱掉当前市场上大部分的壳。(360加固、腾讯乐固、梆梆加固、百度加固均可脱壳)支持大多数xposed环境的手机,暂不支持模拟器github地址:https://github.com/WrBug/dumpDex,可以直接下载release的apk,也可以自行编译打包成apk安装到手机
Frida-dexdump深度实战:Android Dex动态加载与内存dump全链路解析
最新发布
weixin_30237719的博客
05-21 674
Dex文件是Android应用的核心字节码载体,其加载机制贯穿Dalvik/ART运行时、ClassLoader继承链与内存映射原理。理解DexFile结构、mCookie/OAT指针语义及BaseDexClassLoader动态加载逻辑,是实现稳定dump的技术前提。frida-dexdump并非黑盒工具,而是依托Frida JS API对Java层与Native层协同hook的工程实践,具备绕过腾讯乐固、360加固等主流保护的能力。该技术广泛应用于App安全审计、SDK兼容性分析与加固方案逆向验证场景,
27.安卓逆向2-frida hook技术-frida-dump(使用firda脚本下载dex文件)
计算机王的博客
07-11 1864
安卓逆向 安卓协议分析 app协议分析 保姆级攻略 app逆向 Android apk逆向 Frida frida_dump dex文件
【亲测免费】 强力推荐:Frida_Dump —— 动态库与DEX文件提取神器
gitblog_00066的博客
06-25 1430
强力推荐:Frida_Dump —— 动态库与DEX文件提取神器 在逆向工程和安全研究领域中,经常需要对Android应用进行深入分析,这往往涉及到从运行中的APP直接抽取其动态链接库(.so)或DEX字节码文件。然而,手动定位并获取这些关键资源不仅耗时且易错。为此,我们自豪地推出了frida_dump——一个基于Frida框架的强大工具集,它能轻松实现动态链接库与DEX文件的实时抓取。 项目介绍...
Frida获取函数导出表内存dump so
ppLittleBoyHacker的博客
06-19 5087
背景 so库被加壳了,且导出表被和谐了 frida解决 var exports = Module.enumerateExportsSync("libxx.so"); var libxx = Process.getModuleByName("libxx.so"); send("*****************************************************"); send("name: " +libxx.name);
使用 frida+dexdump对apk脱壳
菜鸡小白的成长记录
03-31 1万+
1.发展背景 转载注明出处: APP 加固发展到现在已经好几代了,从整体加固到代码抽取到虚拟机保护,加固和脱壳的方案也逐渐趋于稳定。随着保护越来越强,脱壳机们也变得越来越费劲,繁琐。但是毕竟道高一尺,魔高一丈,市面上有很多手段可以进行脱壳操作今天介绍的是使用Frida的一个脚本来dump apk的Dex。 2.脱壳原理 得益于FRIDA, 在 PC上面进行内存搜索、转储都变得十分方便,再也不需要考虑什么Xposed、什么Android开发、什么代码注入,只需要关注如何去搜索想要的东西,于是依赖一个几十行代码
android逆向笔记(10) ——IDA动态调试so
PaladinV的逆向学习之路
02-14 8996
文章目录0x00 序言0x01 启动 IDA Server选择android_server版本指定端口运行android_server0x02 开始调试载入目标so(先dump再载入)Attach目标进程 0x00 序言 本文主要作为脑残的我记录一下IDA调试so的各种命令,因为老是忘记!没有任何干货,大家可以撤了!毫无技术含量! 0x01 启动 IDA Server 选择android_server版本 1. 在真机调试so中,根据应用程序的运行情况选择android_server 或 android_s
实用FRIDA进阶:内存漫游、hook anywhere、抓包
键盘的起始页
04-13 5756
本章中我们进一步介绍,大家在学习和工作中使用Frida的实际场景,比如动态查看安卓应用程序在当前内存中的状态,比如指哪儿就能hook哪儿,比如脱壳,还有使用Frida来自动化获取参数、返回值等数据,主动调用API获取签名结果sign等工作实际高频场景,最后介绍一些经常遇到的高频问题解决思路,希望可以切实地帮助到读者。 1 内存漫游 Frida只是提供了各种API供我们调用,在此...
实用frida进阶:内存漫游、hook anywhere、抓包
ssrf
12-19 1776
目录1 内存漫游1.1 获取基本信息1.2 提取内存信息1.3 内存堆搜索与执行1.4 启动activity或service2 Frida hook anywhere2.1 objection(内存漫游)2.2 objection(hook)2.3 ZenTracer(hook)3 Frida用于抓包3.1 推荐抓包环境3.2 Http(s)多场景分析3.3 SSL Pinning Bypass3.4 Socket多场景分析 本章中我们进一步介绍,大家在学习和工作中使用Frida的实际场景,比如动态查
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值