实战复盘：我是如何用Frida Hook一个AES加密的SO库，并拿到Key和IV的

逆向工程实战Frida动态Hook解密AES加密SO库的关键技术解析在移动安全领域逆向分析加密算法一直是极具挑战性的技术课题。当遇到关键业务逻辑被编译到SO库中特别是采用AES这类标准加密算法时如何高效提取密钥参数成为安全研究人员关注的焦点。本文将分享一套经过实战验证的Frida动态Hook方案通过真实案例演示如何快速定位SO库中的加密函数、提取AES密钥和初始向量(IV)并验证解密结果的完整流程。1. 逆向分析前的准备工作逆向工程的成功往往取决于前期准备的充分程度。在开始Hook之前我们需要构建完整的分析环境并掌握目标应用的基本信息。基础环境配置清单已root的Android测试设备或模拟器推荐Android 9-11版本Frida 15.1.17及以上版本包含frida-server和客户端工具IDA Pro 7.6用于静态分析可选但推荐Python 3.8环境运行Frida脚本adb工具链用于设备调试提示测试设备建议使用x86架构的模拟器或真机可避免ARM指令集转换带来的兼容性问题。通过静态分析初步定位加密函数是高效Hook的前提。对于AES加密的SO库我们需要特别关注以下特征函数参数中包含16字节或32字节的固定长度数组出现标准加密算法常量如AES_SBOX调用OpenSSL或BoringSSL相关加密接口Java层通过JNI调用的native方法# 检查目标SO库的导出函数 nm -D target.so | grep -i aes\|crypt\|decrypt2. 关键函数定位技术当SO库采用动态注册方式时传统的导出函数搜索方法往往失效。此时需要从JNI_OnLoad入手追踪RegisterNatives的调用过程。动态注册函数定位步骤在IDA中定位JNI_OnLoad函数入口分析RegisterNatives调用参数提取JNINativeMethod结构体中的函数指针交叉引用定位到实际加密函数// Frida脚本片段追踪RegisterNatives调用 Interceptor.attach(Module.findExportByName(null, RegisterNatives), { onEnter: function(args) { console.log([*] RegisterNatives called for class: Java.vm.getEnv().getClassName(args[0])); var methods ptr(args[2]); var count args[3].toInt32(); for (var i 0; i count; i) { var name methods.add(i * 12).readPointer().readCString(); var sig methods.add(i * 12 4).readPointer().readCString(); var fnPtr methods.add(i * 12 8).readPointer(); console.log( Method: name sig at fnPtr); } } });对于复杂的SO库还可以采用以下增强定位策略字符串搜索关键常量如aes、cbc等交叉引用分析标准加密函数调用内存特征码匹配适用于混淆场景3. Frida Hook实战技巧成功定位目标函数后接下来需要设计精确的Hook脚本来捕获关键参数。针对AES-CBC模式我们需要重点关注Key和IV的传递方式。典型AES参数Hook方案function hook_aes_function() { var target_func Module.findExportByName(libcrypto.so, AES_cbc_encrypt); if (target_func) { Interceptor.attach(target_func, { onEnter: function(args) { console.log(\n[*] AES_cbc_encrypt called); // 参数1: 输入数据 var in_data ptr(args[0]); // 参数2: 输出缓冲区 var out_data ptr(args[1]); // 参数3: 数据长度 var length args[2].toInt32(); // 参数4: AES_KEY结构体 var aes_key args[3]; // 参数5: IV向量 var iv ptr(args[4]); // 参数6: 加密/解密标志 var enc args[5].toInt32(); // 提取实际Key数据 var key_data aes_key.add(8).readByteArray(16); console.log(AES Key:, hexdump(key_data)); console.log(IV:, hexdump(iv.readByteArray(16))); } }); } }在实际项目中可能会遇到各种复杂情况下面列出常见问题及解决方案问题类型现象表现解决方案参数混淆参数通过寄存器传递使用Frida的CPUContext访问寄存器结构体封装Key/IV被包装在自定义结构体中分析内存布局后计算偏移量动态生成每次调用Key不同跟踪密钥生成函数反调试检测Hook后进程崩溃先Hook反调试函数4. 数据验证与结果分析获取到Key和IV后需要验证其有效性。可以通过以下方法进行交叉验证验证方法一本地解密测试from Crypto.Cipher import AES from binascii import unhexlify key unhexlify(获取到的16字节Key) iv unhexlify(获取到的16字节IV) cipher AES.new(key, AES.MODE_CBC, iv) plaintext cipher.decrypt(加密数据) print(Decrypted:, plaintext)验证方法二实时拦截对比// 在Hook脚本中添加结果验证逻辑 onLeave: function(retval) { var decrypted ptr(retval).readByteArray(16); console.log(Decrypted result:, hexdump(decrypted)); // 与Java层返回结果对比 }在实际测试中可能会遇到填充模式不一致导致解密失败的情况。常见的问题包括PKCS7填充与ZeroPadding混淆输出结果包含多余填充字节编码格式不匹配Base64/Hex注意某些应用会故意在解密后修改结果需对比内存中的原始输出和Java层返回结果。5. 高级Hook技巧与优化基础Hook技术掌握后可以进一步优化脚本的稳定性和隐蔽性性能优化技巧使用NativeFunction直接调用目标函数实现条件过滤避免频繁打印采用多线程处理大量数据// 优化后的Hook示例 var aes_func new NativeFunction( Module.findExportByName(libcrypto.so, AES_cbc_encrypt), void, [pointer, pointer, int, pointer, pointer, int] ); Interceptor.replace(aes_func, new NativeCallback(function(in_, out, len, key, iv, enc) { if (len 16) { // 只处理特定长度 console.log(Key captured:, hexdump(key.add(8).readByteArray(16))); } return aes_func(in_, out, len, key, iv, enc); }, void, [pointer, pointer, int, pointer, pointer, int]));反检测策略随机化Hook时机伪装Frida进程名称使用inline hook替代导出表Hook动态修改内存保护属性6. 自动化Hook框架设计对于需要批量分析多个加密函数的场景可以设计自动化Hook框架class CryptoHookManager { constructor() { this.hooks []; this.patterns { aes: /aes|AES|rijndael/i, des: /des|DES/i, rsa: /rsa|RSA/i }; } setupHooks() { Module.enumerateExportsSync(libcrypto.so).forEach(exp { for (let algo in this.patterns) { if (this.patterns[algo].test(exp.name)) { this.hookExport(exp.name, algo); break; } } }); } hookExport(name, algo) { let func Module.findExportByName(libcrypto.so, name); if (func) { Interceptor.attach(func, { onEnter: function(args) { this.algo algo; console.log([${algo}] ${name} called); }, onLeave: function(retval) { console.log([${this.algo}] ${name} returned); } }); this.hooks.push({name, algo}); } } } let manager new CryptoHookManager(); manager.setupHooks();该框架可实现自动识别常见加密算法批量Hook相关函数分类记录调用信息支持动态添加新规则7. 安全防护建议从防御角度出发开发者可以采取以下措施增加逆向难度防护策略对比表防护技术实现难度防护效果性能影响代码混淆低中低动态加载中高中完整性校验中高低白盒加密高极高高多态代码极高极高中具体实现建议将Key分成多个片段动态组合使用JNI_OnLoad进行运行时校验实现自定义内存分配器保护敏感数据定期更新加密方案和密钥在最近的一次金融APP测试中通过组合使用函数粒度Hook和内存访问监控成功还原了被VMProtect保护的AES密钥。整个过程耗时约8小时其中大部分时间花费在分析自定义的内存访问模式上。最终发现密钥被拆分成三部分分别存储在不同线程的TLS区域中只有特定操作序列才会组合出完整密钥。