frida hook windows

一，前言

frida hook windows其实和 frida hook android 的 so库是差不多的

都是先找地址和偏移，然后通过模板来修改。

我的 frida版本是17.4.0，所以如果你的版本小于17.0，那这个的一些内容并不适用你，因为17.0后，frida删除和更改了很多函数。

二，操作

零，通用模板

是不是很眼熟？我先把模板放这，后面会用的

Interceptor.attach(addr, {onEnter: function(args) {//在进入函数的你想做的事},onLeave: function(retval) {//在退出函数时你想做的事}
});

一，寻找基地址和偏移地址

#include <stdio.h>int testadd(int a,int b){return a+b;
}
int main(){printf("%d\n",testadd(1,2));printf("%d\n",testadd(2,3));return 0;
}

我这里有一个这样的C代码，我想要hook testadd 函数，当期被调用时获取其输入和返回值

首先我要获取其基地址

可以通过这个函数，他返回程序的基地址

Process.getModuleByName("文件名");

例如，我把这个程序编译为a.exe

那么我就这样使用

var a_base = Process.getModuleByName("a.exe");

使用后a_base的值就为基地址。

获取基地址后，我们就要获取偏移地址，那怎么获取呢？

使用IDA打开，在IDA中找到函数的地址

.text:0000000140001450                 public testadd
.text:0000000140001450 testadd         proc near               ; CODE XREF: main+17↓p
.text:0000000140001450                                         ; main+37↓p
.text:0000000140001450                                         ; DATA XREF: ...
.text:0000000140001450

可以看到地址为0x140001450,但这是虚拟地址，我们应该用IDA这个地址减去IDA中基地址

可根据.text段的起始减去0x1000就是基地址

.text:0000000140001000 ;
.text:0000000140001000 ; +-------------------------------------------------------------------------+
.text:0000000140001000 ; |      This file was generated by The Interactive Disassembler (IDA)      |
.text:0000000140001000 ; |           Copyright (c) 2024 Hex-Rays, <support@hex-rays.com>           |

所以我的基地址是0x140000000

那么testadd的偏移地址即为0x1450(怎么那么巧？)狠狠注入

二，获取输入和返回值

既然我们在之前了解了怎么获取地址了，根据通用脚本来写一下把

var a_base = Process.getModuleByName("a.exe");
var offset = 0x1450;
var testadd = a_base.base.add(offset);
Interceptor.attach(testadd, {onEnter: function(args) {//在进入函数的你想做的事},onLeave: function(retval) {//在退出函数时你想做的事}
});

那如何获取输入呢？

函数的输入被放到了args数组里所以可以使用

args[0],args[1]来获取

console.log("[*] testadd called with a=" + args[0] + ", b=" + args[1]);

使用这个即可输出，不过输出的是16进制，想要输出10进制

可以这样弄

console.log("[*] testadd called with a=" + args[0].toInt32() + ", b=" + args[1].toInt32());

那返回值呢？

这个retval就是返回值

我们直接输出他即可

 console.log("[*] testadd returned: " + retval.toInt32());

完整脚本

var a_base = Process.getModuleByName("a.exe");
var offset = 0x1450;
var testadd = a_base.base.add(offset);
Interceptor.attach(testadd, {onEnter: function(args) {console.log("[*] testadd called with a=" + args[0].toInt32() + ", b=" + args[1].toInt32());},onLeave: function(retval) {console.log("[*] testadd returned: " + retval.toInt32());}
});

将这个脚本保存下来，我命名为a.js

如何使用？

frida -f a.exe -l a.js

输出

frida -f a.exe -l a.js____/ _  |   Frida 17.4.0 - A world-class dynamic instrumentation toolkit| (_| |> _  |   Commands:/_/ |_|       help      -> Displays the help system. . . .       object?   -> Display information about 'object'. . . .       exit/quit -> Exit. . . .. . . .   More info at https://frida.re/docs/home/. . . .. . . .   Connected to Local System (id=local)
Spawned `a.exe`. Resuming main thread!
3
5
[*] testadd called with a=1, b=2
[*] testadd returned: 3
[*] testadd called with a=2, b=3
[*] testadd returned: 5
[Local::a.exe ]-> Process terminated
[Local::a.exe ]->Thank you for using Frida!

三，修改参数和返回值

我想要修改这个函数和返回值该怎么做呢，我们只需要在之前的脚本上略微修改即可

var a_base = Process.getModuleByName("a.exe");
var offset = 0x1450;
var testadd = a_base.base.add(offset);
var ci=1;
Interceptor.attach(testadd, {onEnter: function(args) {console.log("[*]" +"第"+ci+"次"+"before a=" + args[0].toInt32() + ", b=" + args[1].toInt32());args[0] = ptr(12);args[1] = ptr(13);console.log("[*]" +"第"+ci+"次"+"after a=" + args[0].toInt32() + ", b=" + args[1].toInt32());},onLeave: function(retval) {console.log("[*]"+"第"+ci+"次"+" before returned: " + retval.toInt32());retval.replace(666);console.log("[*]"+"第"+ci+"次"+" after returned: " + retval.toInt32());ci++;}
});

修改参数只需要添加args[i]=ptr(x);就可以了

我这个例子就是

args[0] = ptr(12);

修改返回值

使用retval.replace();函数

直接输入你想要的值即可

输出

frida -f a.exe -l a.js____/ _  |   Frida 17.4.0 - A world-class dynamic instrumentation toolkit| (_| |> _  |   Commands:/_/ |_|       help      -> Displays the help system. . . .       object?   -> Display information about 'object'. . . .       exit/quit -> Exit. . . .. . . .   More info at https://frida.re/docs/home/. . . .. . . .   Connected to Local System (id=local)
Spawned `a.exe`. Resuming main thread!
666
[*]第1次before a=1, b=2
666
[*]第1次after a=12, b=13
[*]第1次 before returned: 25
[*]第1次 after returned: 666
[*]第2次before a=2, b=3
[*]第2次after a=12, b=13
[*]第2次 before returned: 25
[*]第2次 after returned: 666
[Local::a.exe ]-> Process terminated
[Local::a.exe ]->                                                                                                                   Thank you for using Frida!

运行未调用的函数

我写了一个代码

#include <stdio.h>void get_flag() {printf("flag{114514}\n");
}int main() {volatile int condition = 1; if (condition) {printf("fake");} else {printf("right");}return 0;
}

我在住函数中没有调用get_flag函数，所以永远不会打印flag,而我在这部分的目的就是运行那个函数

依照之前的方法，先找地址，偏移依然是0x1450............难不成第一个自定义的函数都会放到偏移0x1450位置？

text:0000000140001450
.text:0000000140001450     ; int get_flag()
.text:0000000140001450     public get_flag
.text:0000000140001450     get_flag proc near

脚本

var a_base = Process.getModuleByName("ab.exe");
var offset = 0x1450;
var getflag = a_base.base.add(offset);const get_flag= new NativeFunction(getflag, 'void', []);
console.log("hooking");
get_flag();
console.log("done");

这里

const get_flag= new NativeFunction(getflag, 'void', []);

这一行代码的作用是创建一个JS对象，调用的是getflag地址上的函数，没有返回值，没有参数

我们试着运行

Spawning `ab.exe`...
flag{114514}
hooking
done
Spawned `ab.exe`. Resuming main thread!
fake[Local::ab.exe Process terminated
[Local::ab.exe ]->                          

可以看到的确输出flag了，但顺序比console.log输出的快

如果我们想要稍微改写一下这个函数，我们可以再hook一下get_flag()函数

var a_base = Process.getModuleByName("ab.exe");
var offset = 0x1450;
var getflag = a_base.base.add(offset);const get_flag= new NativeFunction(getflag, 'void', []);
Interceptor.attach(getflag, {onEnter: function(args) {console.log("[+] getflag() called");console.log("end...");},onLeave: function(retval) {}
});
get_flag();

这个printf怎么那么快啊，我设置延迟都没有用，算了，不考虑输出顺序了，有能力的可以试着调一下

Spawning `ab.exe`...
flag{114514}
[+] getflag() called
end...
Spawned `ab.exe`. Resuming main thread!
fake[Local::ab.exe Process terminated
[Local::ab.exe ]->                                     

四，修改函数逻辑

这个板块的目的是修改之前的get_flag函数

模板

Interceptor.replace(addr, new NativeCallback(function() {//你的自定义函数
}, "void", []));

void是返回值的类型，后面的[]是参数类型，有就填入，没有就空着

我的get_flag函数没有输入和返回值就是void

脚本

var a_base = Process.getModuleByName("ab.exe");
var offset = 0x1450;
var getflag = a_base.base.add(offset);
const get_flag= new NativeFunction(getflag, 'void', []);
get_flag();
Interceptor.replace(getflag, new NativeCallback(function() {console.log("[*] getflag() called");
}, "void", []));
get_flag();

输出，可见逻辑被修改了，里面的printf没有了。

Spawning `ab.exe`...
flag{114514}
[*] getflag() called
Spawned `ab.exe`. Resuming main thread!
fake[Local::ab.exe Process terminated
[Local::ab.exe ]->Thank you for using Frida!

五，修改汇编

再放一遍我的主函数

#include <stdio.h>void get_flag() {printf("flag{114514}\n");
}int main() {volatile int condition = 1; if (condition) {printf("fake");} else {printf("right");}return 0;
}

可以看到永远不会运行到right分支

IDA的伪代码也不会显示

int __fastcall main(int argc, const char **argv, const char **envp)
{_main();printf("fake");return 0;
}

但实际上汇编是有的

可以看到如果ZF标志位是否为1，为1就跳转左边，为0就跳转右边

我们可以把JZ,改为JNZ，这样就是ZF为0跳左边，为1跳右边

模板

Memory.patchCode(addr, x, code => {//你的逻辑
});

x是要修改的指令的多少，addr是地址

根据上面的图片我们可以得知，jz的偏移地址是0x1487

我们只要修改一位即可，所以X为1，JNZ的汇编代码为0x75，所以我们要把那个字节改为0x75

以下是脚本

var a_base = Process.getModuleByName("ab.exe");
var offset = 0x1487;
var a = a_base.base.add(offset);Memory.patchCode(a, 1, code => {var original = code.readU8();console.log("original: 0x" + original.toString(16));code.writeU8(0x75);
});

运行：

Spawning `ab.exe`...
original: 0x74
Spawned `ab.exe`. Resuming main thread!
right[Local::ab.exeProcess terminated
[Local::ab.exe ]->                                                                                                                  Thank you for using Frida!

成功输出right

三，函数总结

以下是AI总结这里面出现的函数，仅供参考

1. Process.getModuleByName

• 参数：字符串（模块名，如 "a.exe"）
• 输出：Module 对象（包含模块信息）
• 作用：根据模块名获取模块对象，用于后续计算基地址

2. NativePointer.add

• 参数：数值（偏移地址）
• 输出：新的 NativePointer（绝对地址）
• 作用：通过基地址 + 偏移量计算目标函数的绝对地址

3. Interceptor.attach

• 参数：

• 目标地址（NativePointer）
• 包含回调的对象：{ onEnter: function, onLeave: function }

• 输出：无
• 作用：挂钩目标函数，在函数进入/退出时执行自定义逻辑

4. NativePointer.toInt32

• 参数：无
• 输出：32 位有符号整数
• 作用：将指针值转换为十进制整数（用于参数/返回值解析）

5. ptr

• 参数：数值
• 输出：NativePointer 对象
• 作用：将数值转换为指针对象（用于修改函数参数）

6. NativePointer.replace

• 参数：数值（新返回值）
• 输出：无
• 作用：修改函数的返回值

7. new NativeFunction

• 参数：

• 函数地址（NativePointer）
• 返回类型（字符串，如 "void"）
• 参数类型数组（如 []）

• 输出：可调用的函数对象
• 作用：创建本地函数的 JS 代理，用于主动调用未执行的函数

8. Interceptor.replace

• 参数：

• 目标地址（NativePointer）
• NativeCallback 对象

• 输出：无
• 作用：完全替换原函数的逻辑

9. new NativeCallback

• 参数：

• 替换函数（function）
• 返回类型（字符串）
• 参数类型数组

• 输出：NativeCallback 对象
• 作用：创建用于函数替换的回调对象

10. Memory.patchCode

• 参数：

• 目标地址（NativePointer）
• 修改长度（数值）
• 修改回调（function）

• 输出：无
• 作用：安全修改内存中的机器码（用于汇编级修改）

11. Memory.writeCallback.readU8

• 参数：无
• 输出：无符号 8 位整数
• 作用：读取当前地址的 1 字节值（在 patchCode 回调中使用）

12. Memory.writeCallback.writeU8

• 参数：无符号 8 位整数
• 输出：无
• 作用：向当前地址写入 1 字节值（用于修改单字节指令）