某邦企业壳frida检测绕过

最新推荐文章于 2025-04-01 21:26:57 发布
最新推荐文章于 2025-04-01 21:26:57 发布
阅读量827 收藏 29
点赞数 24
分类专栏: 逆向破解 文章标签: 协议 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2503_90751938/article/details/146265892
版权

某企业壳frida检测绕过尝试

遇见个汽车app 是个企业壳 有frida检测,导致无法注入,本文记录下绕过的过程(使用的frida版本葫芦嗒)

通过查壳发现,这是某企业壳 知其特点检测主要是在dexhelp这个so文件中,也就省去了定位检测位置这一步

尝试hook pthread_create 定位线程 通过杀线程方法干掉他

1

2

3

4

5

6

7

8

9

10

11

function hook_pthread_create(){

    var pthread_create_addr = Module.findExportByName("libc.so", "pthread_create");

    console.log("pthread_create_addr: ", pthread_create_addr);

    Interceptor.attach(pthread_create_addr,{

        onEnter:function(args){

            console.log(args[2], Process.findModuleByAddress(args[2]).name);

        },onLeave:function(retval){

        }

    });

}

hook_pthread_create();

发现没啥用 应该是检测到 pthread_create 被hook了 既然pthread_create 被检测了 那么是否还有其他方法定位线程呢,于是乎 我打开了逆向小助手 gpt 首先我去问了下pthread_create 实现原理 gpt 给出了这个回答

然后 我又去问了gpt hook pthread_create 被检测到了 该怎么办 他建议我去hook 其他相关函数 比如pthread_join clone 通过gpt给出的答案 pthread_create 的实现会调用 clone 系统调用来创建新线程

他既然检测 pthread_create 函数头被hook 那clone函数应该没有把 通过hook clone函数 得到线程相关信息然后去nop 干掉线程 是不是 也能一把梭了 说干就干

首先 我去hook dlopen 在打开dexhelp这个so的时候 去hook下jnionload 看看它做手脚的地方是否在init里面 发现不是 那我只需要去hook clone函数 打印出相关线程信息 然后 加载这个so的时候 nop 掉它 测试是否能绕过即可

于是开始写hook 首先 找gpt要了一份 clone实现创建线程的例子

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

#define _GNU_SOURCE

#include <sched.h>

#include <stdio.h>

#include <unistd.h>

#include <stdlib.h>

#define STACK_SIZE 1024*1024  // 分配线程栈空间

// 子线程函数

int thread_func(void *arg) {

    printf("Hello from the new thread!\n");

    return 0;

}

int main() {

    char *stack;  // 存放线程栈的空间

    char *stackTop;

    // 为线程分配栈

    stack = malloc(STACK_SIZE);

    if (stack == NULL) {

        perror("malloc");

        exit(1);

    }

    stackTop = stack + STACK_SIZE;  // 设置栈顶

    // 使用 clone 创建新线程

    int pid = clone(thread_func, stackTop, SIGCHLD, NULL);  // 子进程退出时会发出 SIGCHLD 信号

    if (pid == -1) {

        perror("clone");

        exit(1);

    }

    // 等待线程结束

    printf("Waiting for the thread to finish...\n");

    waitpid(pid, NULL, 0);

    free(stack);  // 释放栈空间

    return 0;

}

传进去第一个参数是 子线程函数 于是乎 嘎嘎嘎hook 并且打印 结果发现全是libc.so 这是咋回事呢 看来还得好好学习 于是乎 我拿了一份libc.so ida打开它 看pthread_create 如何 去调用clone函数创建线程的

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

// Hook clone 系统调用

Interceptor.attach(Module.findExportByName(null, 'clone'), {

    onEnter: function (args) {

        // 获取线程函数的地址(即第一个参数)

        var thread_func = args[0];

        // 打印线程函数地址

        console.log('Thread function address: ' + thread_func);

        // 获取线程函数所在模块(.so 文件)

        var module = Process.findModuleByAddress(thread_func);

        if (module) {

            console.log('Thread function is located in module: ' + module.name);

        } else {

            console.log('Thread function is not in a loaded module or location could not be determined.');

        }

    },

    onLeave: function (retval) {

        // 可以在这里修改 clone 的返回值(如需要)

    }

});

输出

Thread function address: 0x749b4140dc

Thread function is located in module: libc.so

Thread function address: 0x749b4140dc

Thread function is located in module: libc.so

Thread function address: 0x749b4140dc

Thread function is located in module: libc.so

在上诉 clone hook处 我打印了下堆栈 看下哪里调用了 代码和hook 结果如下

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

Interceptor.attach(Module.findExportByName(null, 'clone'), {

    onEnter: function (args) {

        // 获取线程函数地址

        var thread_func = args[0];

        // 尝试获取线程函数所在模块

        var module = Process.findModuleByAddress(thread_func);

        if (module) {

            console.log('Thread function is located in module: ' + module.name);

        } else {

        }

        // 打印调用栈

        console.log('Backtrace:');

        console.log(Thread.backtrace(this.context, Backtracer.ACCURATE)

            .map(DebugSymbol.fromAddress).join('\n'));

    },

    onLeave: function (retval) {

        // 返回值处理(如果需要)

    }

});

结果

Thread function is located in module: libc.so

Backtrace:

0x749b413e40 libc.so!pthread_create+0x27c

然后 IDA跳转到pthread_create+0x27c 此处 调用了函数E6850 于是进去瞧一瞧 发现是DCQ数据

继续使用frida hook 读取下 结果是clone 也就说这里调用了clone函数

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

Interceptor.attach(Module.findExportByName(null, 'clone'), {

    onEnter: function (args) {

        // 获取线程函数地址

        var thread_func = args[0];

        // 尝试获取线程函数所在模块

        var module = Process.findModuleByAddress(thread_func);

        if (module) {

            console.log('Thread function is located in module: ' + module.name);

            const address = module.base.add(0xF06E8);

            const value = Memory.readU64(address);

            const symbol = DebugSymbol.fromAddress(ptr(value));

            console.log("name",symbol.name)

        } else {

        }

        // 打印调用栈

    },

    onLeave: function (retval) {

        // 返回值处理(如果需要)

    }

});

结果 clone

观察 pthread_create 函数的传参走向 也就是 a3

此处的 E6850是clone 而 通过 pthread_create 函数创建线程传递的 线程函数 就是 v50 而clone函数的第四个参数 v27 + 96 是所需要的线程函数 这样 就可以去试试 写一下hook clone代码了

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

var clone = Module.findExportByName('libc.so', 'clone');

Interceptor.attach(clone, {

    onEnter: function(args) {

        // args[3] 子线程的栈地址。如果这个值为 0,可能意味着没有指定栈地址

        if(args[3] != 0){

            var addr = args[3].add(96).readPointer()

            var so_name = Process.findModuleByAddress(addr).name;

            var so_base = Module.getBaseAddress(so_name);

            var offset = (addr - so_base);

            console.log("===============>", so_name, addr,offset, offset.toString(16));

        }

    },

    onLeave: function(retval) {

    }

});

然后运行后发现 非常阔以 打印出来了我们所需要的参数 非常nice

最后 我们 去给他nop掉 即可

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

function hook_dlopen(so_name) {

    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), {

        onEnter: function (args) {

            var pathptr = args[0];

            if (pathptr !== undefined && pathptr != null) {

                var path = ptr(pathptr).readCString();

                // console.log(path)

                if (path.indexOf(so_name) !== -1) {

                    this.match = true

                }

            }

        },

        onLeave: function (retval) {

            if (this.match) {

                console.log(so_name, "加载成功");

                var base = Module.findBaseAddress("libDexHelper.so")

                patch_func_nop(base.add(322008));

                patch_func_nop(base.add(308756));

            }

        }

    });

}

function patch_func_nop(addr) {

    Memory.patchCode(addr, 8, function (code) {

        code.writeByteArray([0xE0, 0x03, 0x00, 0xAA]);

        code.writeByteArray([0xC0, 0x03, 0x5F, 0xD6]);

        console.log("patch code at " + addr)

    });

}

hook_dlopen("libDexHelper.so")

最后 看结果

绕过App某加密企业版加固Frida检测
墨痕诉清风的博客
01-10 649
可以发现dlsym函数加载了两次pthread_create,可以认为这两个进程(或某一个进程)是和Frida检测有关的,于是为了绕过检测,我们可以让它加载一个虚假的pthread_create函数,得到一个空结果绕过检测。成功绕过了libnllvm1717052779924.so的检测,又到了libface_nllvm.so的检测,使用同样的方法去绕过libface_nllvm.so的检测,代码我这里就不上了,大家可以自己修改以下。dlsym()函数的作用是在已经加载的动态链接库中查找指定符号的地址。
Frida使用指南 - Frida 检测绕过
dafan0的博客
05-12 3004
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida反调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
APP逆向 day22某仙网逆向
一起进步
07-27 1888
今天和大家讲的酒仙网特别简单,主要是后面的frida加强版和脱是新东西,脱没有通用的,但是后边慢慢学,大家肯定会很牛逼,毕竟这个只是基础嘛。
梆梆&爱加密java反调试绕过
zhangmiaoping23的专栏
06-23 3230
各位道友有没有在越过重重native反调试脱掉之后想要调试smali的过程中突然发现在使用AndroidStdio动态调试smali的时候只要一挂载APP就会崩溃,本篇主要整理一下在调试梆梆&爱加密过程中遇到的java层反调试以及绕过的方式 在将梆梆&爱加密脱之后通过AS调试APP遇到反调试挂载失败,只要debug便会杀掉APP进程 Dalvik虚拟机下的反调试绕过 虽然Dalvik已经在逐步退出市场,但是这里还是由他开始,大家都知道Dalvik的核心库是libdv..
Frida检测及其绕过
最新发布
2301_80198695的博客
04-01 608
目录的作用在于提供了一种方便的方式来查看进程的文件描述符信息,这对于调试和监控进程非常有用。协议通信,D-Bus是一种进程间通信(IPC)和远程过程调用(RPC)机制,最初是为Linux开发的,目的是用一个统一的协议替代现有的和竞争的IPC解决方案。是一个特殊的文件,它包含了当前进程的内存映射信息。原理就是通过修改函数的开头,写一个跳板,实现定向跳转,通过检测当前函数的前16个字节来判断是否被hook。下存放的是当前进程下的线程,每个线程内有一个目录,进入线程目录的。文件夹下可以看到当前线程的名字,例如。
bangbang加固某银行APP,Frida检测
jdksjdkasd的博客
02-26 1598
Frida 检测是指目标应用通过特定的技术手段,检查自身是否被 Frida 工具附加(attached)或注入了脚本。这种检测通常出现在需要保护知识产权、防止作弊或避免敏感数据泄露的应用中,例如:游戏防作弊、移动支付应用的安全防护、银行或金融类应用的安全保障。如果检测Frida 的存在,应用可能会采取以下措施:终止运行、上报异常行为、屏蔽某些功能。
android frida检测绕过
PwnGuo的博客
06-08 1万+
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
绕过台州银行App Frida检测的过程分析笔记
m0_75266682的博客
02-20 2164
Frida是一款强大的动态 instrumentation 工具,常用于分析和hook native函数或JavaScript代码。然而,许多App开发者会在应用中集成反Frida检测机制,阻止攻击者使用Frida进行分析或注入。台州银行App正是采用了类似的机制,以防止用户分析或篡改其内部逻辑。初期方法的局限性:单纯地使用Frida的基础功能(如杀线程)可能会触发目标App的反检测机制。这种方法虽然简单,但在面对复杂的反调试机制时往往难以奏效。深入分析的重要性。
Frida检测
热门推荐
Codeooo 博客
09-02 1万+
检查 Frida 的痕迹 一种简易方法是检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 fridaserver,它通过 TCP 对外与 frida 通信,此时可以用 Java 遍历运行的进程列表从而检查 fridaserver 是否在运行。 2 3 4 5 6 7 8 9 10 11 12 13 14 15
绕过bili frida反调试
头铁逆向的旅程
04-29 6556
绕过bilibili frida反调试
DetectFrida:检测Android的Frida
05-09
DetectFrida 这个项目有3种方法来检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
适用于Android的反检测版本frida-server。-Android开发
05-26
适用于Android的反检测版本frida-server。 strongR-frida-android用于Android的反检测版本frida-server。 遵循上游自动构建。 Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_server.patch frida-core 0003-pipe_linjector.patch frida-core 0004-io_frida_agent_so.patch frida-core 0005-symbol_frida_agent_main_thread.js补丁frida-core .patch frida-core 0007-thread_gmain.patch frida-core 0008-protocol_unexpected_command.patch下载版本
简单的frida检测思路
大数据安全技术学习
10-19 1万+
从inlinehook角度检测frida 总述 frida inline hook写法 检测libart是否使用inlinehook 检测libnative-lib是否使用inlinehook 从java hook 的角度检测frida 总结 从inlinehook角度检测frida 总述 在使用frida的过程中,在我的认知里其实frida只做了2件事情,一件是注入,一件是hook,作为注入的特征我们可以通过ptrace(PTRACE_TRACEME,NULL,0,0),或者从文件里面索引...
frida检测 笔记
碎片的博客
08-22 1903
怎么过frida检测???
frida检测
weixin_40306397的博客
05-11 2173
frida检测原理及其对抗
android frida 检测_android逆向__超级好用的使用frida追踪方法
weixin_39707597的博客
12-21 868
前提是你的电脑和手机都已经安装了frida并运行正常。 如果你还没安装frida,请参考文章 Android逆向_使用frida 安装frida环境。这里使用国外大佬写的js脚本,来追踪app的方法调用,首先看一下效果:*** entered com.test.flyer.MainActivity.testarg[0]: Jack*** entered com.test.flyer.MainAct...
Frida常见检测方法
triplexlove的博客
04-28 2445
Frida检测相关文章:[翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com ptrace占坑 ptrace(0, 0 ,0 ,0); 开启一个子进程附加父进程 守护进程 子进程附加父进程 目的是不让别人附加 普通的多进程 进程名检测,遍历运行的进程列表,检测frida-server是否运行 端口检测检测frida-server默认端口27042是否开放 D-Bus协议通信 Frida使用D-Bus协议通信,可以遍历/proc/net/t
frida常用检测点及其原理
菜鸡小白的成长记录
03-07 2722
frida常用检测点及其原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值