Frida Hook Android App 点击事件实战指南：从进程识别到成功注入

一、背景与目标

在逆向分析和自动化测试中，Hook Android 的点击事件是调试 UI 交互逻辑的重要手段之一。本文将以实际案例讲解如何通过 Frida Hook public void onClick(View view) 方法，并解决常见的 Hook 失败问题，最终实现对登录按钮的监听与响应。

步骤一

通过Jadx去反编译APK,然后我们全局搜索app页面上显示的关键字，比如“立即登录”，通常可以搜索到res/layout/login.xml文件。我们双击打开布局文件。
进入可以看到对应的按钮定义

 <Buttonandroid:textSize="15sp"android:textColor="@color/white"android:gravity="center"android:id="@+id/btn_login"android:background="@drawable/btn_login"android:layout_width="290dp"android:layout_height="50dp"android:layout_marginTop="80dp"android:layout_marginBottom="15dp"android:text="立即登录"/>

在这里插入图片描述
根据按钮ID我们去找对应的Activity逻辑实现，全局搜索btn_login可以定位到具体的实现逻辑。
并且可以通过resources.arsc去拿到btn_login对应的ID,可以根据ID去hook特定的按钮事件

    <public type="layout" name="im_login" id="0x7f0a00c8" />

步骤二

编写hook代码

1.Py脚本

import frida
import sys
import subprocessdef load_js_file(js_file):try:with open(js_file, 'r', encoding='utf-8') as f:return f.read()except FileNotFoundError:print(f"[-] 错误: 找不到 {js_file} 文件")sys.exit(1)except Exception as e:print(f"[-] 读取 {js_file} 文件时出错: {str(e)}")sys.exit(1)def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)def get_pid_by_adb(package_name):try:# 执行 adb shell pidof 命令cmd = f"adb shell pidof {package_name}"result = subprocess.run(cmd, shell=True, capture_output=True, text=True)if result.returncode != 0:print(f"[-] 错误: 无法获取 {package_name} 的 PID (ADB 命令失败)")print(f"[-] ADB 错误输出: {result.stderr.strip()}")sys.exit(1)pid = result.stdout.strip()if not pid:print(f"[-] 错误: 找不到 {package_name} 的进程 (可能未运行)")sys.exit(1)return int(pid)  # 返回整数 PIDexcept Exception as e:print(f"[-] 获取 PID 时出错: {str(e)}")sys.exit(1)if __name__ == '__main__':# Frida JS Hook 脚本内容js_code = load_js_file('fridaCode.js')print('[*] 正在连接设备...')device = frida.get_remote_device()# 替换为你的目标包名package_name = "com.aaaa"target_pid = get_pid_by_adb(package_name)print(f'[*] 找到 {package_name} 的 PID: {target_pid}')print(f'[*] 正在附加到 PID: {target_pid}')session = device.attach(target_pid)print('[*] 创建 Frida 脚本')script = session.create_script(js_code)script.on('message', on_message)print('[*] 加载脚本...')script.load()print('[*] 成功注入 Frida 脚本，开始监听点击事件...')sys.stdin.read()

注意：
1.这里我使用的是PID的方式去附加进程，因为我的App通过frida-ps -U指令查出来的只有子进程，但是UI类逻辑一般是在主进程的，所以直接通过PID附加
2.PID查看命令
adb shell pidof 包名
输出：6472 这个就是进程ID
3.子进程一半命名是：主进程包名:子进程如：com.android.flysilkworm:filedownloader
4.如果进程注入不正确是无法hook的

这里也贴出包名注入的方法：

import frida
import sysdef load_js_file(js_file):try:with open(js_file, 'r', encoding='utf-8') as f:return f.read()except FileNotFoundError:print(f"[-] 错误: 找不到 {js_file} 文件")sys.exit(1)except Exception as e:print(f"[-] 读取 {js_file} 文件时出错: {str(e)}")sys.exit(1)def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)if __name__ == '__main__':jscode = load_js_file("fridaCode.js")# 获取远程设备并 attach 到主进程device = frida.get_remote_device()process_name = "包名"  # 替换为你应用的主进程名try:session = device.attach(process_name)except Exception as e:print(f"[-] 无法 attach 到进程 {process_name}: {e}")sys.exit(1)script = session.create_script(jscode)script.on('message', on_message)print('[*] Hook Start Running')script.load()sys.stdin.read()

JS脚本：

Java.perform(function () {console.log("[*] 正在 Hook IMNewLoginActivity.onClick...");var IMNewLoginActivity = Java.use("robot.app.acys.ims.IMNewLoginActivity");IMNewLoginActivity.onClick.implementation = function (view) {console.log("[*] IMNewLoginActivity.onClick() 被调用");// 获取 View IDvar viewId = view.getId();console.log("[+] 点击的 View ID: 0x" + viewId.toString(16));// 尝试获取资源名称try {var resources = this.getResources();var resourceName = resources.getResourceEntryName(viewId);console.log("[+] 对应资源名称: " + resourceName);} catch (e) {console.log("[-] 获取资源名称失败");}// 如果是登录按钮（替换为你的 btn_login ID）if (viewId === 0x7f080084) {console.log("[!] 登录按钮被点击！");}return this.onClick(view);};
});

🧩 Frida JS 注入通用模板

✅ 基本结构：Hook 某个类的某个方法

Java.perform(function () {// 替换为你想 Hook 的完整类名var targetClass = Java.use("com.example.target.ClassName");// 替换为你想 Hook 的方法名targetClass.methodName.overload('参数类型1', '参数类型2').implementation = function (param1, param2) {console.log("[*] 方法被调用！");// 打印参数console.log("[+] 参数 1: " + param1);console.log("[+] 参数 2: " + param2);// 调用原始方法（可选）var result = this.methodName(param1, param2);// 打印返回值（如果有的话）console.log("[+] 返回值: " + result);// 可以修改返回值或参数return result;};
});

🎯 示例 1：Hook void onClick(View view)

Java.perform(function () {var LoginActivity = Java.use("robot.app.acys.im.LoginActivity");LoginActivity.onClick.implementation = function (view) {console.log("[*] onClick 被点击");console.log("[+] View ID: 0x" + view.getId().toString(16));return this.onClick(view);};
});

🎯 示例 2：Hook String login(String username, String password)

Java.perform(function () {var LoginManager = Java.use("com.example.LoginManager");LoginManager.login.overload('java.lang.String', 'java.lang.String').implementation = function (user, pass) {console.log("[*] 登录方法被调用");console.log("[+] 用户名: " + user);console.log("[+] 密码: " + pass);// 修改密码为 test123pass = "test123";var result = this.login(user, pass);console.log("[+] 登录结果: " + result);return result;};
});

🎯 示例 3：Hook 构造函数 new Person(String name, int age)

Java.perform(function () {var Person = Java.use("com.example.Person");Person.$init.overload('java.lang.String', 'int').implementation = function (name, age) {console.log("[*] 构造函数被调用");console.log("[+] 创建对象 - 名字: " + name + ", 年龄: " + age);// 调用原构造函数return this.$init(name, age);};
});

🎯 示例 4：Hook 静态方法 static void initConfig()

Java.perform(function () {var Config = Java.use("com.example.Config");Config.initConfig.overload().implementation = function () {console.log("[*] 静态方法 initConfig 被调用");return this.initConfig();};
});

🎯 示例 5：Hook 多个重载方法（overload）

Java.perform(function () {var Utils = Java.use("com.example.Utils");// Hook Utils.load(int)Utils.load.overload('int').implementation = function (id) {console.log("[*] load(int) 被调用，ID: " + id);return this.load(id);};// Hook Utils.load(String)Utils.load.overload('java.lang.String').implementation = function (name) {console.log("[*] load(String) 被调用，名称: " + name);return this.load(name);};
});

📌 注意事项
类名必须是完整的类路径，如：java.lang.String、com.example.MyClass
方法名直接写方法名即可，如 .login
参数类型必须使用 Java 完整类型名，如：java.lang.String, int, boolean 等
this 在 implementation 中代表当前对象实例
$init 是构造函数的特殊标识符
overload(…) 如果方法有多个重载版本，必须指定参数类型来区分

✅ 最后：一个“万能”Hook 模板（自动打印所有参数）

function hookMethod(className, methodName, paramTypes) {Java.perform(function () {var clazz = Java.use(className);var method = clazz[methodName];if (paramTypes) {method = method.overload.apply(this, paramTypes);}method.implementation = function () {console.log(`[*] Hooked: ${className}.${methodName}()`);for (var i = 0; i < arguments.length; i++) {console.log(`[+] 参数[${i}]: ${arguments[i]}`);}var ret = this[methodName].apply(this, arguments);console.log(`[+] 返回值: ${ret}`);return ret;};});
}// 使用示例：
hookMethod("com.example.LoginManager", "login", ["java.lang.String", "java.lang.String"]);

ADB指令启动frida

在这里插入图片描述
其中启动命令是 ./frida-server &
端口转发adb forward tcp:27042 tcp:27042
27042

命令：
查看包：frida-ps -U
adb常用：

adb shell
gracelte:/ $ su root
gracelte:/ # chmod 777 frida-server
chmod: frida-server: No such file or directory
1|gracelte:/ # cd /data/local/tmp/
gracelte:/data/local/tmp # chmod 777 frida-server
gracelte:/data/local/tmp # ./frida-server  &
[1] 4081
gracelte:/data/local/tmp # netstat -tulnp | grep frida
tcp        0      0 127.0.0.1:27042         0.0.0.0:*               LISTEN      4081/frida-server
gracelte:/data/local/tmp #