原文地址：https://github.com/wa1ki0g/Script-For-FridaHook

Frida hook

之前收集到本地的一些frida下常用的hook脚本，如自吐算法，脱壳，过root、frida检测等等，收集的js中有些是自己写的，有些是收集用过的，还有些是收集了还没用的，后续有空将逐个去测试并去删掉一些不好用的

感谢所有分享的大佬们，侵权可提issue，这里会立马删掉的，欢迎对安卓sec感兴趣的大佬们来提交PR一起维护这个项目

下面是一个使用案例

一个通杀md5，sha，mac，des，3des，aes，rsa，数字签名 算法的hook脚本。

原理呢其实就是hook监控了一些加密库会调用到的底层函数。

例子：

这里还是以嘟嘟牛来举例子。登陆的数据包：

这里可以看到登陆的请求数据包的内容的密文：

{"Encrypt":"NIszaqFPos1vd0pFqKlB42Np5itPxaNH//FDsRnlBfgL4lcVxjXii/UNcdXYMk0EYvcSRbr1TuoBnsJgXGX8PVraEsOG990ViYRnY0aMqHtUpvZZdJeIQ/OmD6Watu53ljmELISj4T8OaC3okf13vqPmzn8+81YuNEjE+5eajFCE+9NtXfzsgPdNmS6+F14e0EgDIzPcjbCT0Bo900PH8nuvLecYmphBQpn"}

我们看一下我们hook脚本监控到的内容，直接找到了明文密文与加密方式：

明文内容：

{"equtype":"ANDROID","loginImei":"Androidnull","sign":"7623B263EB072D0182BD6B7C93470C0D","timeStamp":"1675347372942","userPwd":"gghhhhh","username":"15149029981"}

但是可以看到我们的sign字段是同样经过加密过的，密文为

7623B263EB072D0182BD6B7C93470C0D

同样，我们去我们hook脚本监控到的内容中去找这段东西，也是找到了签名sign的明文和密文以及加密方式：

这里使用了好几组登陆数据进行抓包，发现hook到的sign的中的key的字段的值是一个常量。接下来就可以去对数据进行伪造了。

app逆向好文，打算在darbra师傅收集的文章项目上把自己的也添加下去，再去修改下师傅文章md中的图床地址，把用的微信公众号的地址改成本地的 darbra师傅的项目原址：https://github.com/darbra/sperm 感谢darbra师傅

原文始发于微信公众号（黑熊安全）：Frida hook常用脚本合集