App之Hook反调试解决办法

文章讲述了在Android环境中使用frida进行Hook时遇到的反调试问题,以及解决方法,包括删除特定SO文件和使用strongR-frida-android工具。此外,还介绍了如何使用frida-dexdump进行app脱壳,以及处理ptrace占坑问题的两种策略:快速附加frida或修改系统源码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Hook报错(反调试)

Ⅰ:可能反调试是由于so文件引起(真机):

import frida
import sys

rdev = frida.get_remote_device()
pid = rdev.spawn(["包名"])
session = rdev.attach(pid)

scr = """
Java.perform(function () {
    
    var dlopen = Module.findExportByName(null, "dlopen");
    var android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext");
    
    Interceptor.attach(dlopen, {
        onEnter: function (args) {
            var path_ptr = args[0];
            var path = ptr(path_ptr).readCString();
            console.log("[dlopen:]", path);
        },
        onLeave: function (retval) {
    
        }
    });
    
    Interceptor.attach(android_dlopen_ext, {
        onEnter: function (args) {
            var path_ptr = args[0];
            var path = ptr(path_ptr).readCString();
            console.log("[dlopen_ext:]", path);
        },
        onLeave: function (retval) {
    
        }
    });
    

});
"""
script = session.create_script(scr)


def on_message(message, data):
    print(message, data)


script.on("message", on_message)
script.load()
rdev.resume(pid)
sys.stdin.read()

删除 libmsaoaidsec.so 文件

在这里插入图片描述

2、监测到之后就会直接闪退

尝试使用strongR-frida-android来绕过监测。

https://github.com/hzzheyang/strongR-frida-android/releases

3、app脱壳

安装模块

pip install frida-dexdump

想要使用frida-dexdump来进行脱壳,必须做如下两个步骤:

  • 手机端,启动frida-server

  • 电脑端

    • 端口转发

    • 执行脱壳命令

frida-dexdump  -U -f 包名称

脱壳后,会生成相应的dex文件

4、ptrace占坑

标志:

unable to access process with pid 17124 due to system restrictions; 
try `sudo sysctl kernel.yama.ptrace_scope=0`, or run Frida as root
  • 方法1:速度快点让frida先附加。
frida -U -f cmt.chinaway.com.lite -l hook.js
  • 方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值