App之Hook反调试解决办法

原创 已于 2023-08-16 11:09:15 修改 · 1.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android-studio

于 2023-02-03 11:02:12 首次发布
文章讲述了在Android环境中使用frida进行Hook时遇到的反调试问题,以及解决方法,包括删除特定SO文件和使用strongR-frida-android工具。此外,还介绍了如何使用frida-dexdump进行app脱壳,以及处理ptrace占坑问题的两种策略:快速附加frida或修改系统源码。

1、Hook报错(反调试)

Ⅰ:可能反调试是由于so文件引起(真机):

import frida
import sys

rdev = frida.get_remote_device()
pid = rdev.spawn(["包名"])
session = rdev.attach(pid)

scr = """
Java.perform(function
最低0.47元/天 解锁文章
iOS动态防护:【Dynamic protection】反调试、反反调试、反注入、hook检测、完整性校验
专注于计算机研发知识和资讯分享
11-29 1万+
reloadData [self.viewModel.dataArray removeObject:sender.models]; ``` [tableView reloadData]; // 更新约束 [self.tableView mas_makeConstraints:^(MASConstraintMa...
一文搞懂如何使用 Frida Hook Android App
09-29 2702
根据自己的 android 版本,降级或升级 frida、frida-tool、frida-server的版本即可,比如 android10 实测可用的版本如下。创建 frida-server-upload.bat,实现拖入 frida-server 直接推送到设备并添加执行权限。在安装 frida 时候提示找不到 frida-14.2.18-py3.8-win-amd64.egg。创建 frida-server-start.bat,实现一键启动 frida-server 并转发端口。
Frida进阶——libmsaoaidsec.so反调试机制绕过
最新发布
w987333120的博客
07-11 2449
摘要:本文分析了基于libmsaoaidsec.so反调试机制及其绕过方法。该库通过动态加载时执行.init_proc和.init_array函数检测Frida的进程、端口和内存特征。研究发现反调试在JNI_OnLoad前触发,通过hook android_dlopen_ext和call_constructors函数定位检测点,并利用dlsym追踪到两个关键函数(偏移地址0x1B924和0x2701C)。最终方案使用Interceptor.replace将这两个函数替换为空操作,成功绕过了反调试机制。
绕过bili frida反调试
头铁逆向的旅程
04-29 7147
绕过bilibili frida反调试
frida检测绕过-libmsaoaidsec.so
你的对手是.神圣兽国.游尾郡窝窝乡.独行族妖侠 蛮吉^-^...
09-08 2035
【代码】frida检测绕过-libmsaoaidsec.so
anti-frida检测-某壳
weixin_43985113的博客
03-20 1633
anti frida检测案例
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
热门推荐
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
python爬虫hook定位技巧、反调试技巧、常用辅助工具
局外人LZ的博客
11-10 5623
Hook 是一种钩子技术,在系统没有调用函数之前,钩子程序就先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,也可以强制结束消息的传递。简单来说,修改原有的 JS 代码就是 Hook。客户端拥有JS的最高解释权,可以决定在任何时候注入JS,而服务器无法阻止或干预。服务端只能通过检测和混淆的手段,另 Hook 难度加大,但是无法直接阻止。JS 是一种弱类型语言,同一个变量可以多次定义、根据需要进行不同的赋值,而这种情况如果在其他强类型语言中则可能会报错,导致代码无法执行。
基于Frida实现App爬虫的运行时Hook调试技术解析
.pdf"这篇文档主要探讨了如何使用Frida这一强大的动态插桩工具来实现App爬虫在运行时的Hook调试,从而帮助开发者绕过App中常见的反爬虫机制。文档内容结构清晰,从基础概念介绍到环境搭建,再到Frida脚本编写与调试...
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 3032
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
[反调试&进程保护] 使用 hook 的方式保护自身进程
墨鱼菜鸡
04-16 480
以下 HOOK 需要 全局: 函数名作用Hook 后NtOpenThread创建内核线程防止调试器在内部创建线程NtOpenProcess打开进程防止OD等调试工具在调试列表中看到kiAttachProcess附加调试进...
180313 逆向-反调试技术(6)Hook和AntiHook
whklhhhh的博客
04-03 1341
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. Hook和AntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
android反调试方法,Android平台融合多特征的APP反调试方法与流程
weixin_39851809的博客
05-26 209
本发明涉及Android平台融合多特征的APP反调试方法,属于计算机与信息科学技术领域。背景技术:应用程序本身并不具备反调试的功能,但是动态调试是动态分析应用逻辑、动态脱壳等攻击方式所采取的必要手段。为了防止攻击者使用调试工具调试应用程序,进而动态分析程序逻辑、实现进程注入、修改寄存器,需要对APP加以反调试的保护,为了防止攻击者利用反反调试方法绕过反调试,需要对APP加以反调试的自我保护。因此,...
企业壳的反调试Hook检测分析
omnispace的博客
02-03 2093
1.写在开始 最近在学习梆梆壳,在调试的过程中遇到了反调试,很是苦恼,而且每次调试都会被中断,朋友发了篇帖子【1】介绍了其中的一个反调,学习后收获颇多,给我指明了方向,接下来再对其他反调试进行补充,若有疏漏之处请各位大佬批评指正。 2.反调试之时间线程检测 启动调试后是对帖子【1】的验证,过程大致如下: 运行brpt.py后一路F9, ... #下断点 # 内存中获取
App逆向Frida--hook
zjl10110916的博客
05-14 2813
说到逆向APP,很多人首先想到的都是反编译,但是单看反编译出来的代码很难得知某个函数在被调用时所传入的参数和它返回的值,极大地增加了逆向时的复杂度,有没有什么办法可以方便地知道被传入的参数和返回值呢?
Android反调试与反反调试
09-19 2156
TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。在输出中,ptrace_stop 表示进程 17305 当前正在被调试器暂停,等待调试器发出的命令。通过head /proc/[pid]/status 可以查看详细的进程状态。
Android安全防护:App加固与反调试
2501_92487499的博客
06-18 524
App加固与反调试Android应用安全防护的重要组成部分。通过加固和反调试,可以有效地保护应用的知识产权,防止应用被破解和篡改。然而,这些技术并非万能,开发者需要根据实际情况,选择合适的防护策略。在未来,随着技术的发展,我们期待有更多更有效的安全防护手段出现,为Android应用的安全保驾护航。
i茅台app逆向分析frida反调试
zxc979647835的专栏
05-15 5319
frida的作用在逆向中尤其重要,一攻一防的frida反调试定位带你一探究竟。文章仅供思路参考,请勿用作非法攻击
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值