App之Hook反调试解决办法

已于 2023-08-16 11:09:15 修改
阅读量1.6k 收藏 6
点赞数 2
CC 4.0 BY-SA版权
分类专栏: App逆向 文章标签: android-studio
于 2023-02-03 11:02:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XBXX_java/article/details/128862922
文章讲述了在Android环境中使用frida进行Hook时遇到的反调试问题,以及解决方法,包括删除特定SO文件和使用strongR-frida-android工具。此外,还介绍了如何使用frida-dexdump进行app脱壳,以及处理ptrace占坑问题的两种策略:快速附加frida或修改系统源码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Hook报错(反调试)

Ⅰ:可能反调试是由于so文件引起(真机):

import frida
import sys

rdev = frida.get_remote_device()
pid = rdev.spawn(["包名"])
session = rdev.attach(pid)

scr = """
Java.perform(function () {
    
    var dlopen = Module.findExportByName(null, "dlopen");
    var android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext");
    
    Interceptor.attach(dlopen, {
        onEnter: function (args) {
            var path_ptr = args[0];
            var path = ptr(path_ptr).readCString();
            console.log("[dlopen:]", path);
        },
        onLeave: function (retval) {
    
        }
    });
    
    Interceptor.attach(android_dlopen_ext, {
        onEnter: function (args) {
            var path_ptr = args[0];
            var path = ptr(path_ptr).readCString();
            console.log("[dlopen_ext:]", path);
        },
        onLeave: function (retval) {
    
        }
    });
    

});
"""
script = session.create_script(scr)


def on_message(message, data):
    print(message, data)


script.on("message", on_message)
script.load()
rdev.resume(pid)
sys.stdin.read()

删除 libmsaoaidsec.so 文件

在这里插入图片描述

2、监测到之后就会直接闪退

尝试使用strongR-frida-android来绕过监测。

https://github.com/hzzheyang/strongR-frida-android/releases

3、app脱壳

安装模块

pip install frida-dexdump

想要使用frida-dexdump来进行脱壳,必须做如下两个步骤:

  • 手机端,启动frida-server

  • 电脑端

    • 端口转发

    • 执行脱壳命令

frida-dexdump  -U -f 包名称

脱壳后,会生成相应的dex文件

4、ptrace占坑

标志:

unable to access process with pid 17124 due to system restrictions; 
try `sudo sysctl kernel.yama.ptrace_scope=0`, or run Frida as root
  • 方法1:速度快点让frida先附加。
frida -U -f cmt.chinaway.com.lite -l hook.js
  • 方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
iOS动态防护:【Dynamic protection】反调试、反反调试、反注入、hook检测、完整性校验
专注于计算机研发知识和资讯分享
11-29 1万+
reloadData [self.viewModel.dataArray removeObject:sender.models]; ``` [tableView reloadData]; // 更新约束 [self.tableView mas_makeConstraints:^(MASConstraintMa...
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 2526
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
180313 逆向-反调试技术(6)Hook和AntiHook
whklhhhh的博客
04-03 1320
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. Hook和AntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
热门推荐
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
app进行HOOK基础
m0_72199724的博客
05-11 366
本文介绍了如何配置和使用Frida进行Android应用的Hook操作。首先,需要在PC端安装Frida及其工具,确保设备已Root。接着,在Android设备上安装Frida服务端,并确认设备架构后推送对应版本的Frida服务端到设备中。通过ADB命令进行端口转发,并使用Frida列出设备进程。最后,通过编写JavaScript脚本实现Hook操作,监控和调试目标应用的行为。整个过程包括抓包、反编译APK、寻找关键词和执行Hook脚本等步骤。
python爬虫hook定位技巧、反调试技巧、常用辅助工具
局外人LZ的博客
11-10 5140
Hook 是一种钩子技术,在系统没有调用函数之前,钩子程序就先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,也可以强制结束消息的传递。简单来说,修改原有的 JS 代码就是 Hook。客户端拥有JS的最高解释权,可以决定在任何时候注入JS,而服务器无法阻止或干预。服务端只能通过检测和混淆的手段,另 Hook 难度加大,但是无法直接阻止。JS 是一种弱类型语言,同一个变量可以多次定义、根据需要进行不同的赋值,而这种情况如果在其他强类型语言中则可能会报错,导致代码无法执行。
[反调试&进程保护] 使用 hook 的方式保护自身进程
墨鱼菜鸡
04-16 394
以下 HOOK 需要 全局: 函数名作用Hook 后NtOpenThread创建内核线程防止调试器在内部创建线程NtOpenProcess打开进程防止OD等调试工具在调试列表中看到kiAttachProcess附加调试进...
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
Frida Hook 入门(5)| 绕过 Frida 检测与反调试技术
weixin_65409651的博客
01-07 1118
Android 和其他平台的安全研究中,Frida 是不可或缺的动态分析工具。然而,越来越多的应用会主动检测 Frida 的存在,甚至结合反调试技术(Anti-Debugging)来阻止逆向工程或分析。检测 Frida 服务器进程(如检测 Frida 插件注入的迹象(如 Hook 方法)。使用反调试技术绕过调试工具的附加。对于研究人员而言,学会绕过这些防护手段,能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理,并通过 Frida 实现绕过它们的实践。
【移动应用逆向工程】识货App逆向分析与接口破解:绕过更新、反调试及代理检测的技术实现
最新发布
05-27
内容概要:本文详细介绍了识货App的逆向工程流程与技术细节,主要涵盖五个方面:绕过App更新、绕过Frida反调试、绕过App代理检测、编写各种Hook脚本以及抓包分析。首先,文章讲解了如何通过反编译找到强制更新弹窗的...
Android逆向 AppHook入门
Ben_boba的博客
05-19 997
千牛聊天机器人v9.2.7一款营销店家必备工具.rar
03-03
本软件是面向淘宝卖家推出的一款聊天机器人自动回复顾客 避免漏单的软件,管理自己淘宝后台非常方便的。   首先打开千牛软件,登录自己的淘宝账户,随便选择一个好友,进入到聊天界面上。   在图示的位置上找到机器人,开启自动回复功能点击。   点击上面的配置回复,我们可以在里面设置买家的问题的回复方式。   快来学习学习千牛设置聊天机器人的操作流程吧,一定会帮到大家的。
android反调试方法,Android平台融合多特征的APP反调试方法与流程
weixin_39851809的博客
05-26 184
本发明涉及Android平台融合多特征的APP反调试方法,属于计算机与信息科学技术领域。背景技术:应用程序本身并不具备反调试的功能,但是动态调试是动态分析应用逻辑、动态脱壳等攻击方式所采取的必要手段。为了防止攻击者使用调试工具调试应用程序,进而动态分析程序逻辑、实现进程注入、修改寄存器,需要对APP加以反调试的保护,为了防止攻击者利用反反调试方法绕过反调试,需要对APP加以反调试的自我保护。因此,...
企业壳的反调试Hook检测分析
omnispace的博客
02-03 2016
1.写在开始 最近在学习梆梆壳,在调试的过程中遇到了反调试,很是苦恼,而且每次调试都会被中断,朋友发了篇帖子【1】介绍了其中的一个反调,学习后收获颇多,给我指明了方向,接下来再对其他反调试进行补充,若有疏漏之处请各位大佬批评指正。 2.反调试之时间线程检测 启动调试后是对帖子【1】的验证,过程大致如下: 运行brpt.py后一路F9, ... #下断点 # 内存中获取
App逆向Frida--hook
zjl10110916的博客
05-14 2623
说到逆向APP,很多人首先想到的都是反编译,但是单看反编译出来的代码很难得知某个函数在被调用时所传入的参数和它返回的值,极大地增加了逆向时的复杂度,有没有什么办法可以方便地知道被传入的参数和返回值呢?
Android反调试与反反调试
09-19 1977
TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。在输出中,ptrace_stop 表示进程 17305 当前正在被调试器暂停,等待调试器发出的命令。通过head /proc/[pid]/status 可以查看详细的进程状态。
i茅台app逆向分析frida反调试
zxc979647835的专栏
05-15 4855
frida的作用在逆向中尤其重要,一攻一防的frida反调试定位带你一探究竟。文章仅供思路参考,请勿用作非法攻击
android 反调试 方案,【木马分析】使用高级反调试与反HOOK的安卓恶意ROOT软件的深度分析(一):NATIVE层的调试...
weixin_39804059的博客
05-26 658
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言最近,我们发现了一个新的Android rootnik恶意软件,它使用开源的Android root 利用工具和来自dashi root工具的MTK root方案来在Android设备上获得root权限。这个恶意软件伪装成一个文件助手,还使用了非常先进的反调试和反HOOK技术,用于防止其被逆向 。它还使用...
APP攻防--安卓逆向&JEB动态调试&LSPosed模块&算法提取&Hook技术
weixin_74985952的博客
11-07 3195
在算法助手功能中有一项功能可以添加自定义hook所谓hook技术,通俗来讲就是可以改变程序得执行逻辑,类似与bp抓包得时候修改数据包再将数据包放出,hook可以将程序中得变量或者返回值进行修改。在添加hook时,需要将关键程序得执行逻辑搞清楚,将关键变量或者返回值进行修改。例如在之前案例中得某小说APP中,通过关键字定位到关键逻辑,进行反编译后分析程序执行逻辑if语句是否执行根据y5得返回值来判断,如果y5得返回值为true,即可成功进入if语句。
android hook 第三方app
09-27
这种技术可以用于安全测试、应用程序性能优化、反编译等方面。但是,使用Android Hook技术需要谨慎,因为它可能会违反应用程序的使用协议或法律法规。 ### 回答2: Android Hook 是一种技术,用于修改和扩展第三方...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值