Java.perform hook不生效主因是Frida未成功注入或被anti-frida拦截,需先验证Java环境是否就绪;加固App常fork子进程,应spawn模式监听;ClassNotFound多因ClassLoader隔离,须枚举类或hook loadClass捕获动态加载;绕过sign推荐篡改返回值而非重写逻辑;TLS Pinning需覆盖checkServerTrusted与getAcceptedIssuers,并适配Android 12+ networkSecurityConfig限制。
Java.perform 里 hook 不生效?先确认 Frida 脚本是否真正注入成功
很多情况下 hook 看似写了,但 Java.perform 里的逻辑压根没跑——根本原因是目标 App 启动时 Frida agent 没跟上,或者进程被 anti-frida 机制提前干掉。别急着改 hook 逻辑,先验证注入点是否存活。
实操建议:
立即学习“Java免费学习笔记(深入)”;
- 在
Java.perform外层加个console.log("Java env ready"),用frida -U -f com.xxx.app --no-pause -l hook.js启动,看 log 是否打出;没打就说明 Java 层根本没加载成功 - 部分加固 App(如 360、腾讯云加固)会 fork 子进程跑真正业务逻辑,主进程只是壳,此时需 hook
fork或监听spawn后的子进程,用frida -U --spawn --no-pause -l hook.js配合Process.enumerateModules()查模块加载时机 - 如果 App 启动极快,
--no-pause可能错过时机,换成--pause+frida-ps -U找到 pid 后手动frida -U -p PID -l hook.js
hook Sign 类/方法时找不到类?Class not found 是 ClassLoader 隔离导致的
Android 上不同 ClassLoader 加载的类互相不可见,常见于使用 PathClassLoader 或自定义 DelegateClassLoader 的加固方案。直接 Java.use("com.xxx.SignUtil") 报错 java.lang.ClassNotFoundException 很正常。
实操建议:
立即学习“Java免费学习笔记(深入)”;
- 先用
Java.enumerateLoadedClassesSync()全量扫一遍,过滤关键词:console.log(Java.enumerateLoadedClassesSync().filter(c => c.includes("Sign"))) - 若没结果,说明类是运行时动态加载的,得 hook
ClassLoader.loadClass,捕获加载瞬间:Java.use("java.lang.ClassLoader").loadClass.overload("java.lang.String").implementation = function(name) { if (name.includes("Sign")) console.log("[LOAD] " + name); return this.loadClass.apply(this, arguments); } - 找到类名后,仍可能因 ClassLoader 不同而无法
Java.use,此时要用Java.choose按实例找,或通过反射获取 Class 对象再 hook 方法
绕过 sign 验证:hook 返回值篡改比 hook 签名生成逻辑更稳
签名函数常嵌套深、参数多、含时间戳或随机数,直接重写逻辑容易漏条件;而服务端校验往往只看最终 sign 字符串是否匹配白名单或固定值。与其模拟整个签名流程,不如在最后一步“返回前”直接替换。
实操建议:
立即学习“Java免费学习笔记(深入)”;
- 定位到实际拼接并返回 sign 的方法(比如
generateSign(Map)或sign(String, String)),用.implementation拦截,直接return "xxx_fixed_sign" - 注意返回类型:String 类型直接 return 字符串;byte[] 或 ByteBuffer 要用
Java.array("byte", [...])构造;若方法有异常抛出逻辑,保留 try/catch 结构避免 crash - 有些 App 会在 sign 后立即做本地校验(比如再 hash 一次),此时要连带 hook 校验函数,否则篡改 sign 会导致本地拦截失败
抓包被阻断(OkHttp/TLS Pinning)?Frida 做 TLS 解除比 Xposed 更轻量但有兼容坑
Frida 绕过 OkHttp 的 certificatePinner 或系统级 TrustManager 是主流做法,但 Android 10+ 和某些定制 ROM 会拦截 X509TrustManager 的 set 方法,导致 hook 失效。
实操建议:
立即学习“Java免费学习笔记(深入)”;
- 优先用社区成熟脚本如
frida-android-helper的android-unpinning.js,它同时覆盖 OkHttp 3.x/4.x、Apache HTTPClient、Conscrypt 等多种实现 - 若自己写,别只 hook
checkServerTrusted,还要 patchgetAcceptedIssuers(部分 OkHttp 版本会调用它触发 pinning 校验) - Android 12+ 强制启用
networkSecurityConfig,即使 Frida 解除了 TrustManager,App 仍可能走系统证书锁定逻辑——此时需配合修改 APK 的res/xml/network_security_config.xml或用 Magisk 模块全局禁用
真正麻烦的从来不是 hook 语法,而是每个 App 对类加载、签名链路、TLS 校验的定制组合。一个加固包里可能同时混用自定义 ClassLoader、JNI 签名、OkHttp + Conscrypt + 自研 TLS stack —— 别指望一段通用脚本能通杀,得一层层剥开看它到底在哪一刻做了哪件事。
