某邦企业壳frida检测绕过

最新推荐文章于 2025-05-18 18:18:37 发布
最新推荐文章于 2025-05-18 18:18:37 发布
阅读量1k 收藏 32
点赞数 25
CC 4.0 BY-SA版权
分类专栏: 逆向破解 文章标签: 协议 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2503_90751938/article/details/146265892

某企业壳frida检测绕过尝试

遇见个汽车app 是个企业壳 有frida检测,导致无法注入,本文记录下绕过的过程(使用的frida版本葫芦嗒)

通过查壳发现,这是某企业壳 知其特点检测主要是在dexhelp这个so文件中,也就省去了定位检测位置这一步

尝试hook pthread_create 定位线程 通过杀线程方法干掉他

1

2

3

4

5

6

7

8

9

10

11

function hook_pthread_create(){

    var pthread_create_addr = Module.findExportByName("libc.so", "pthread_create");

    console.log("pthread_create_addr: ", pthread_create_addr);

    Interceptor.attach(pthread_create_addr,{

        onEnter:function(args){

            console.log(args[2], Process.findModuleByAddress(args[2]).name);

        },onLeave:function(retval){

        }

    });

}

hook_pthread_create();

发现没啥用 应该是检测到 pthread_create 被hook了 既然pthread_create 被检测了 那么是否还有其他方法定位线程呢,于是乎 我打开了逆向小助手 gpt 首先我去问了下pthread_create 实现原理 gpt 给出了这个回答

然后 我又去问了gpt hook pthread_create 被检测到了 该怎么办 他建议我去hook 其他相关函数 比如pthread_join clone 通过gpt给出的答案 pthread_create 的实现会调用 clone 系统调用来创建新线程

他既然检测 pthread_create 函数头被hook 那clone函数应该没有把 通过hook clone函数 得到线程相关信息然后去nop 干掉线程 是不是 也能一把梭了 说干就干

首先 我去hook dlopen 在打开dexhelp这个so的时候 去hook下jnionload 看看它做手脚的地方是否在init里面 发现不是 那我只需要去hook clone函数 打印出相关线程信息 然后 加载这个so的时候 nop 掉它 测试是否能绕过即可

于是开始写hook 首先 找gpt要了一份 clone实现创建线程的例子

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

#define _GNU_SOURCE

#include <sched.h>

#include <stdio.h>

#include <unistd.h>

#include <stdlib.h>

#define STACK_SIZE 1024*1024  // 分配线程栈空间

// 子线程函数

int thread_func(void *arg) {

    printf("Hello from the new thread!\n");

    return 0;

}

int main() {

    char *stack;  // 存放线程栈的空间

    char *stackTop;

    // 为线程分配栈

    stack = malloc(STACK_SIZE);

    if (stack == NULL) {

        perror("malloc");

        exit(1);

    }

    stackTop = stack + STACK_SIZE;  // 设置栈顶

    // 使用 clone 创建新线程

    int pid = clone(thread_func, stackTop, SIGCHLD, NULL);  // 子进程退出时会发出 SIGCHLD 信号

    if (pid == -1) {

        perror("clone");

        exit(1);

    }

    // 等待线程结束

    printf("Waiting for the thread to finish...\n");

    waitpid(pid, NULL, 0);

    free(stack);  // 释放栈空间

    return 0;

}

传进去第一个参数是 子线程函数 于是乎 嘎嘎嘎hook 并且打印 结果发现全是libc.so 这是咋回事呢 看来还得好好学习 于是乎 我拿了一份libc.so ida打开它 看pthread_create 如何 去调用clone函数创建线程的

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

// Hook clone 系统调用

Interceptor.attach(Module.findExportByName(null, 'clone'), {

    onEnter: function (args) {

        // 获取线程函数的地址(即第一个参数)

        var thread_func = args[0];

        // 打印线程函数地址

        console.log('Thread function address: ' + thread_func);

        // 获取线程函数所在模块(.so 文件)

        var module = Process.findModuleByAddress(thread_func);

        if (module) {

            console.log('Thread function is located in module: ' + module.name);

        } else {

            console.log('Thread function is not in a loaded module or location could not be determined.');

        }

    },

    onLeave: function (retval) {

        // 可以在这里修改 clone 的返回值(如需要)

    }

});

输出

Thread function address: 0x749b4140dc

Thread function is located in module: libc.so

Thread function address: 0x749b4140dc

Thread function is located in module: libc.so

Thread function address: 0x749b4140dc

Thread function is located in module: libc.so

在上诉 clone hook处 我打印了下堆栈 看下哪里调用了 代码和hook 结果如下

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

Interceptor.attach(Module.findExportByName(null, 'clone'), {

    onEnter: function (args) {

        // 获取线程函数地址

        var thread_func = args[0];

        // 尝试获取线程函数所在模块

        var module = Process.findModuleByAddress(thread_func);

        if (module) {

            console.log('Thread function is located in module: ' + module.name);

        } else {

        }

        // 打印调用栈

        console.log('Backtrace:');

        console.log(Thread.backtrace(this.context, Backtracer.ACCURATE)

            .map(DebugSymbol.fromAddress).join('\n'));

    },

    onLeave: function (retval) {

        // 返回值处理(如果需要)

    }

});

结果

Thread function is located in module: libc.so

Backtrace:

0x749b413e40 libc.so!pthread_create+0x27c

然后 IDA跳转到pthread_create+0x27c 此处 调用了函数E6850 于是进去瞧一瞧 发现是DCQ数据

继续使用frida hook 读取下 结果是clone 也就说这里调用了clone函数

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

Interceptor.attach(Module.findExportByName(null, 'clone'), {

    onEnter: function (args) {

        // 获取线程函数地址

        var thread_func = args[0];

        // 尝试获取线程函数所在模块

        var module = Process.findModuleByAddress(thread_func);

        if (module) {

            console.log('Thread function is located in module: ' + module.name);

            const address = module.base.add(0xF06E8);

            const value = Memory.readU64(address);

            const symbol = DebugSymbol.fromAddress(ptr(value));

            console.log("name",symbol.name)

        } else {

        }

        // 打印调用栈

    },

    onLeave: function (retval) {

        // 返回值处理(如果需要)

    }

});

结果 clone

观察 pthread_create 函数的传参走向 也就是 a3

此处的 E6850是clone 而 通过 pthread_create 函数创建线程传递的 线程函数 就是 v50 而clone函数的第四个参数 v27 + 96 是所需要的线程函数 这样 就可以去试试 写一下hook clone代码了

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

var clone = Module.findExportByName('libc.so', 'clone');

Interceptor.attach(clone, {

    onEnter: function(args) {

        // args[3] 子线程的栈地址。如果这个值为 0,可能意味着没有指定栈地址

        if(args[3] != 0){

            var addr = args[3].add(96).readPointer()

            var so_name = Process.findModuleByAddress(addr).name;

            var so_base = Module.getBaseAddress(so_name);

            var offset = (addr - so_base);

            console.log("===============>", so_name, addr,offset, offset.toString(16));

        }

    },

    onLeave: function(retval) {

    }

});

然后运行后发现 非常阔以 打印出来了我们所需要的参数 非常nice

最后 我们 去给他nop掉 即可

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

function hook_dlopen(so_name) {

    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), {

        onEnter: function (args) {

            var pathptr = args[0];

            if (pathptr !== undefined && pathptr != null) {

                var path = ptr(pathptr).readCString();

                // console.log(path)

                if (path.indexOf(so_name) !== -1) {

                    this.match = true

                }

            }

        },

        onLeave: function (retval) {

            if (this.match) {

                console.log(so_name, "加载成功");

                var base = Module.findBaseAddress("libDexHelper.so")

                patch_func_nop(base.add(322008));

                patch_func_nop(base.add(308756));

            }

        }

    });

}

function patch_func_nop(addr) {

    Memory.patchCode(addr, 8, function (code) {

        code.writeByteArray([0xE0, 0x03, 0x00, 0xAA]);

        code.writeByteArray([0xC0, 0x03, 0x5F, 0xD6]);

        console.log("patch code at " + addr)

    });

}

hook_dlopen("libDexHelper.so")

最后 看结果

绕过App某加密企业版加固Frida检测
墨痕诉清风的博客
01-10 799
可以发现dlsym函数加载了两次pthread_create,可以认为这两个进程(或某一个进程)是和Frida检测有关的,于是为了绕过检测,我们可以让它加载一个虚假的pthread_create函数,得到一个空结果绕过检测。成功绕过了libnllvm1717052779924.so的检测,又到了libface_nllvm.so的检测,使用同样的方法去绕过libface_nllvm.so的检测,代码我这里就不上了,大家可以自己修改以下。dlsym()函数的作用是在已经加载的动态链接库中查找指定符号的地址。
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 2636
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
浅谈Frida 检测绕过
最新发布
AALoveTouch的博客
05-18 1372
浅谈frida
Frida使用指南 - Frida 检测绕过
dafan0的博客
05-12 3241
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida反调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
Frida检测及其绕过
2301_80198695的博客
04-01 919
目录的作用在于提供了一种方便的方式来查看进程的文件描述符信息,这对于调试和监控进程非常有用。协议通信,D-Bus是一种进程间通信(IPC)和远程过程调用(RPC)机制,最初是为Linux开发的,目的是用一个统一的协议替代现有的和竞争的IPC解决方案。是一个特殊的文件,它包含了当前进程的内存映射信息。原理就是通过修改函数的开头,写一个跳板,实现定向跳转,通过检测当前函数的前16个字节来判断是否被hook。下存放的是当前进程下的线程,每个线程内有一个目录,进入线程目录的。文件夹下可以看到当前线程的名字,例如。
android frida检测绕过
PwnGuo的博客
06-08 1万+
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
绕过台州银行App Frida检测的过程分析笔记
m0_75266682的博客
02-20 2337
Frida是一款强大的动态 instrumentation 工具,常用于分析和hook native函数或JavaScript代码。然而,许多App开发者会在应用中集成反Frida检测机制,阻止攻击者使用Frida进行分析或注入。台州银行App正是采用了类似的机制,以防止用户分析或篡改其内部逻辑。初期方法的局限性:单纯地使用Frida的基础功能(如杀线程)可能会触发目标App的反检测机制。这种方法虽然简单,但在面对复杂的反调试机制时往往难以奏效。深入分析的重要性。
Frida检测
热门推荐
Codeooo 博客
09-02 1万+
检查 Frida 的痕迹 一种简易方法是检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 fridaserver,它通过 TCP 对外与 frida 通信,此时可以用 Java 遍历运行的进程列表从而检查 fridaserver 是否在运行。 2 3 4 5 6 7 8 9 10 11 12 13 14 15
frida检测
05-24
hluda版frida 抹掉frida特征 过检测必备 过frida检测
Frida Hook 入门(5)| 绕过 Frida 检测与反调试技术
weixin_65409651的博客
01-07 1222
在 Android 和其他平台的安全研究中,Frida 是不可或缺的动态分析工具。然而,越来越多的应用会主动检测 Frida 的存在,甚至结合反调试技术(Anti-Debugging)来阻止逆向工程或分析。检测 Frida 服务器进程(如检测 Frida 插件注入的迹象(如 Hook 方法)。使用反调试技术绕过调试工具的附加。对于研究人员而言,学会绕过这些防护手段,能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理,并通过 Frida 实现绕过它们的实践。
使用 Frida 绕过 iOS 应用程序中的越狱检测
技术超强的网络安全平台
04-26 1474
Frida 是一个动态代码检测工具包,允许您挂接到应用程序中,注入您自己的 JavaScript,同时完全访问内存和功能。该工具由 Ole André V. Ravnås ( @oleavr)编写,并且拥有一个非常活跃的 IRC 频道,您可以在这里与其他志同道合、参与过 Frida 开发的朋友们讨论想法、问题和新功能。您可以加入 irc.freenode.net 上的 IRC 频道 #frida。挂钩特定函数并更改返回值分析自定义协议并动态嗅探/解密流量执行您自己的应用程序的调试。
DetectFrida:检测Android的Frida
05-09
DetectFrida 这个项目有3种方法来检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
适用于Android的反检测版本frida-server。-Android开发
05-26
适用于Android的反检测版本frida-server。 strongR-frida-android用于Android的反检测版本frida-server。 遵循上游自动构建。 Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_server.patch frida-core 0003-pipe_linjector.patch frida-core 0004-io_frida_agent_so.patch frida-core 0005-symbol_frida_agent_main_thread.js补丁frida-core .patch frida-core 0007-thread_gmain.patch frida-core 0008-protocol_unexpected_command.patch下载版本
绕过bili frida反调试
头铁逆向的旅程
04-29 6772
绕过bilibili frida反调试
简单的frida检测思路
大数据安全技术学习
10-19 1万+
从inlinehook角度检测frida 总述 frida inline hook写法 检测libart是否使用inlinehook 检测libnative-lib是否使用inlinehook 从java hook 的角度检测frida 总结 从inlinehook角度检测frida 总述 在使用frida的过程中,在我的认知里其实frida只做了2件事情,一件是注入,一件是hook,作为注入的特征我们可以通过ptrace(PTRACE_TRACEME,NULL,0,0),或者从文件里面索引...
frida检测 笔记
碎片的博客
08-22 1965
怎么过frida检测???
bangbang加固某银行APP,Frida检测
jdksjdkasd的博客
02-26 2057
Frida 检测是指目标应用通过特定的技术手段,检查自身是否被 Frida 工具附加(attached)或注入了脚本。这种检测通常出现在需要保护知识产权、防止作弊或避免敏感数据泄露的应用中,例如:游戏防作弊、移动支付应用的安全防护、银行或金融类应用的安全保障。如果检测Frida 的存在,应用可能会采取以下措施:终止运行、上报异常行为、屏蔽某些功能。
frida检测
weixin_40306397的博客
05-11 2369
frida检测原理及其对抗
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值