�Ѷ���Դ���Ƶ�Դ��Ŀ¼
详解Hook框架frida,外源让你在逆向工作中效率成倍提升
一、码移码目码导frida简介
frida是到源一款基于python + javascript的hook框架,支持运行在各种平台如android、录源ios、把额linux、外源win、码移码目码导osx等。到源主要通过动态二进制插桩技术实现代码注入,录源收集运行时信息。
插桩技术分为两种:源代码插桩和二进制插桩。源代码插桩是将额外代码注入到程序源代码中;二进制插桩则是将额外代码注入到二进制可执行文件中。其中,静态二进制插桩在程序执行前插入额外代码和数据,生成永久改变的可执行文件;动态二进制插桩则在程序运行时实时插入额外代码和数据,对可执行文件无永久改变。
二、frida的安装
frida框架包括frida CLI和frida-server两部分。frida CLI是用于系统交互的工具,frida-server则用于目标机器上的代码注入。
1. frida CLI安装要求包括系统环境(Windows、macOS、GNU/Linux)、直播电视源码Python(最新3.x版本)等。通过pip安装frida CLI,frida CLI是frida的主要交互工具。
2. 分别下载frida-server文件(格式为frida-server-(version)-(platform)-(cpu).xz),并根据设备类型选择对应的版本。下载文件后解压,将frida-server文件推送到Android设备,添加执行权限并运行(需要root权限)。
3. frida还提供了其他工具,如frida-ps用于列出进程,frida-trace、frida-discover、frida-ls-devices、frida-kill等。这些工具用于不同场景,具体使用可参考frida官网。
三、frida Hook实战
通过制作类似微信抢红包的插件来演示frida的使用。首先拦截微信信息持久化到本地的接口(com.tencent.wcdb.database.SQLiteDatabase的insert()方法),解析获取每条信息的内容、发送者等信息。
抢红包流程分析:点击打开红包时,执行请求(ad类)发送抢红包的请求。需要的参数包括头像、昵称、发送者信息等,参数主要来自luckyMoneyReceiveUI.kRG类。通过解析解析参数,uwebsocket 源码分析发送com.tencent.mm.plugin.luckymoney.b.ag类请求,并获取timingIdentifier,最后发送com.tencent.mm.plugin.luckymoney.b.ad类请求即可抢到红包。
四、模拟请求
分析微信的请求发送方法,通过frida实现请求发送。主要通过反射获取发送请求的Network,然后调用其a方法发送请求。解析红包信息,发送ag请求并获取timingIdentifier,改造SQL的insert方法,实现抢红包插件。
附录
实验环境包括微信版本6.6.7、frida版本.0.、frida-server版本、Android版本7.0等。ISEC实验室作为网络安全服务提供商,专注于网络安全技术研究,提供全面的网络安全服务和解决方案。
可不可以下载别人的源码修改了再放到网上啊?
首先,现在很多企业和软件公司都是这样做的。所以在实践上可以操作。
但是,从法律上来说,要分几种情况。如果别人的代码只是教学使用,不允许你进行商业用途,那么你就不能公开使用;如果别人允许你使用,loong完整源码但是不允许你修改,那么你就不能修改;如果别人允许你使用,但是要求你必须保留原版权声明,那么你在使用的时候就必须在显著位置保留原版权声明……等等。
如果要获得额外的许可,需要和原制造商或个人联系,通常你需要付费,价格取决于源程序的复杂度、创新性,以及你需要的许可类型。
在网上找人做了一个网站,担心被骗,客服说源码这些都给你,他们拿着也没用,是真的吗
说法有一定的道理
但是这说明另一个问题,那就是他们如果习惯这么做,一般都会服务不好
除非收费很高
你要明白这里面的道理和关系
网站,服务,本身和源码归谁没多大关系。
但价格和管理模式,才是一个网站能不能稳定运营的关键。
我们做了十三年的企业网站运营,策划。见过太多太多的企业用户,其实网站很多时候本身没有问题,但是误操作却产生了巨大的影响。
比如有些时候,明明改一个就可以了,ck棋牌源码但是企业呢?自己并没有专业的网站技术人员,只是一个小客服,小秘书在打理网站。或许自己有点小经验于是就动手改代码,但是经验尚浅又没有备份习惯,改错一行代码,全站瘫痪。。。又不得不找技术公司售后服务,而这些,都是没有必要的,额外的售后成本付出。
小公司的网络公司客户少,可能无所谓,但是我们动辄都是几百上千个客户的时候,这种无谓的成本就显得很重要,不可能总去因为这些不必要的事,影响其他正常客户的服务。
所以并不是不给源码,也不是不给网站代码权限,而是在可以做到的时候没有必要拥有太高权限,权力越大,责任越大,如果没能力,尽量不要去过多干涉网站技术运作。
还有一点大家心里都明白的,如果说,你拿到代码就能为所欲为的情况,那你根本没必要要源码。。。既然你有那能力做代码方面的工作,那就有能力自己做网站了。。。对不对?无非是慢点,但是很多都是自己既没能力,又觉得略知一二。。。以为拿了源码就能代表什么。
其实你是不知道,对于一般的企业而言,我们有经验的网络公司,稍微加点技术,代码就算给你,你也不可能做其他用处。。。所以不要认为拿到代码能有什么额外的用处。
这也是一个正规的公司或团队必备的管理方案
如果一个公司不论价钱不论协议,随便谁都可以给源码
那就意味着,这个公司的业务是任人复制的,也就意味着你的网站,明天就有另一个副本,另一个公司跟你的一模一样。。。因为他们可以给你,就可以给别人。。。没原则可言。
对于服务而言,源码在哪是很重要的,像我们的客户,都会源码和服务器统一管理
服务器什么环境,代码什么状态,谁改了哪里,都一一记录在案。这样某天出现问题,可以最短时间内排查故障,恢复企业网络的运营。
但是你拿走了呢?
网站我们做好的,服务器你们自己去找,代码自己维护,突然出现问题了,问谁都说没动过。。。服务器环境,权限都不是我们的,代码哪里改过都不熟悉,本来一小时就解决的问题,甚至三五天都搞不定,还要各个不同公司,不同的人去协调,去配合。
这段时间的直接损失,间接业务影响,其实是企业的。
说了这么多,明白人可以看的出来其实最重要的不是代码,而是服务,所以对于企业要接入网络的时候,选择的并不是你拥有什么权限,而是你能够得到什么样的服务,服务好,无论代码,服务器在哪,网站都会稳定的运转,花钱再多都是值得的。
但是!!!如果没能力,代码在哪,出了问题没人管,花钱再少也是最大的损失。
而且很多时候,并不是代码能够解决的问题。需要的是经验。
我们现在为企业做的网站,实现的都是智能四维系统,一个网站实现电脑网站+手机网站+企业微信公众平台+APP,全方位的网络支持。这样才能更好的接触 互联网+
而这些,不是说代码给你,你拿走了你就能维护的起来。。。需要很多运维经验和管理精力。
而对于企业而言,我们做好一切后备支持,企业只需管理信息数据即可。
用合适的成本,找合适的人,去做合适的事,这叫良性循环
不需要自己费心,才叫服务。。。什么都想要,什么都拿走,啥都得自己去干。。。那叫负担。
您说呢。
给我开发了一个软件,向他要源码不给还要收费,合理吗
1. 在开发软件时,通常应该明确是否提供源代码,并在合同或报价单中注明。
2. 若客户需求包含源代码,而开发方未能在前期确认此点,可能导致后续的误解和争议。
3. 报价时,若未特别指明包含源代码,则默认不提供。若客户希望获得源代码,应额外支付相关费用或需要在合同中明确约定。
4. 在双方对源代码提供与否没有明确约定的情况下,要求开发方提供源代码可能会引起纠纷。
5. 为了避免此类问题,客户在提出需求时应详细说明是否需要源代码,而开发方在报价时也应明确是否包含源代码,以及相关的费用情况。
2024-11-23 12:03
2024-11-23 11:57
2024-11-23 11:28
2024-11-23 11:22
2024-11-23 09:24