Frida Stalker Trace 实战:指令级跟踪与寄存器变化监控全解析

原创 于 2025-09-18 15:09:41 发布 · 780 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #逆向 #安卓逆向 #移动安全 #c++

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

Frida Stalker

Frida Stalker 是 Frida 提供的一个强大的指令级追踪引擎,它能够在目标进程运行时,动态捕获每一条指令的执行情况。与传统的函数级 hook 不同,Stalker 可以深入到 原生汇编层面 ,追踪寄存器变化、内存访问、函数调用关系等底层细节。

相关链接:

相关文章:

Frida Stalker Trace 流程

在 Frida Stalker 中,通过将这几个 API 组合起来,我们就能构建一个完整的 trace 流程:

  • Stalker.follow:负责启动跟踪,它会附加到指定的线程上,对该线程的指令执行流进行捕获和分析。

  • transform:提供了对指令流的加工入口。通过 transform(iterator),我们可以在指令生成阶段插入自定义逻辑。

  • iterator:是指令迭代器,用来逐条访问被捕获的指令。

  • putCallout:它允许在某条指令执行时触发回调,把当时的 CPU 上下文(寄存器状态、内存地址等)传递给我们的 JavaScript 脚本。

Stalker.follow 启动跟踪 → transform 接管指令流 → iterator 遍历每条指令 → 在关键位置用 putCallout 输出寄存器或上下文信息 ,从而实现细粒度的指令跟踪与寄存器变化监控。

指令跟踪(transform 和 iterator)

在 Stalker.follow 的 transform 回调函数中,处理目标线程执行的每一条汇编指令。

word/media/image1.png

iterator 是一个 指令迭代器对象,它让你能够 逐条处理目标线程将要执行的原始机器指令。

iterator 支持的方法

方法 作用
next() 获取下一条指令
keep() 保留指令(否则会被跳过)
putCallout(fn) 插入 JS 回调(运行在主线程)

通过实现 transform 回调,trace 指定函数,打印地址、指令、模块信息。

function getModuleByAddressSafe(address) {
    try {
        // 尝试获取模块
        var module = Process.getModuleByAddress(address);

        // 如果模块存在,返回模块
        if (module) {
            return module;
        } else {
            // 如果没有找到模块,返回 null
            return null;
        }
    } catch (e) {
        // 捕获异常,返回 null
        return null;
    }
}

/**
 * 指令跟踪
 *
 * @param targetModuleName 目标模块名
 * @param targetSymbol 函数偏移(或导出名)
 */
function trace(targetModuleName, targetSymbol) {

    // 获取模块基地址
    const base = Module.findBaseAddress(targetModuleName);
    if (base === null) {
        console.error("模块未加载:" + targetModuleName);
        return;
    }

    let targetFuncAddr;

    if (typeof targetSymbol === "string") {
        targetFuncAddr = Module.findExportByName(targetModuleName, targetSymbol);
    } else {
        targetFuncAddr = base.add(ptr(targetSymbol));
    }

    if (!targetFuncAddr) {
        console.error("找不到函数地址");
        return;
    }

    console.lo
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
Frida系列--Stalker Trace使用
Tasfa的博客
04-06 5180
Frida Stalker Trace 算法、指令、函数等,解密算法运算过程
Frida高级篇-Stalker(1)
helloworlddm的博客
01-14 2582
快捷键的区别 三者的区别 Ctrl+C :强制中断程序,程序无论运行哪里都停止。 Ctrl+D :发送一个 exit 的信号,退出当前的用户或者是客户端。 Ctrl+Z :暂停程序,在进程中维持挂起状态。 引用别人的说法: 1、Ctrl+C比较暴力,就是发送Terminal到当前的程序,比如你正在运行一个查找功能,文件正在查找中,Ctrl+C就会强制结束当前的这个进程。 2、Ctrl+Z 是把当前的程序挂起,暂停执行这个程序,比如你正在mysql终端中,需要出来搞点其他的文件操作,又不想退出mysql终端(
Frida Stalker Trace 指令跟踪&寄存器变化监控
04-07 1330
putCallout 会在你指定的位置插入一个“钩子”,在那一刻调用你指定的 JS 函数,提供当前上下文(CPU 寄存器状态)。在 Stalker.follow 的 transform 回调函数中 处理目标线程执行的每一条汇编指令。你无法在那时访问寄存器、调用栈等。iterator 是一个 指令迭代器对象,它让你能够 逐条处理目标线程将要执行的原始机器指令。指令级跟踪Stalker 可精确到指令级别,对应用的原生代码进行实时监控。对比当前和上一次的寄存器值,返回发生变化寄存器(不包括 pc 寄存器)。
一文搞懂 Frida Stalker:对抗 OLLVM 的算法还原利器
最新发布
09-18 1292
移动应用的安全加固中,是一种常见的代码混淆保护手段。它通过控制流平坦化、虚假控制流、指令替换等方式,使逆向分析者很难直接还原出原始算法逻辑。然而,通过 Frida 提供的Stalker模块去动态分析让我们有机会对 OLLVM 的“黑盒逻辑”进行还原。通过 Stalker指令级追踪能力,我们不仅能捕获函数调用、记录调用参数,还可以打印调用堆栈,最终逐步揭开 OLLVM 加固算法的真实运行流程。比如,分析某个 so 中偏移为 0x23AD0 的加密函数。
jnitracefrida-traceStalker、sktraceFrida Native Trace、r0tracer、strace、IDA trace、Unidbg Trace
freeking101的博客
03-19 8684
一个基于 frida 的工具,用来追踪安卓应用的 JNI API。jnitrace 是一个动态分析追踪工具,类似 frida-trace 和 strace,但是jnitrace 只针对 JNI。
frida-stalker-中文翻译版---阶段二
weixin_40563850的博客
03-02 623
frida-stalker
frida stalker追踪jni函数调用案例
学习记录
09-10 691
frida stalker简单实用。使用这个工具来追踪jin函数的调用。
安卓逆向学习笔记之Frida Stalker Trace算法.docx
03-19
### 安卓逆向学习笔记之Frida Stalker Trace算法 #### 一、引言 在安卓逆向工程领域,动态分析工具如Frida因其灵活性和强大的功能备受推崇。其中,Frida Stalker作为Frida的一个重要插件,能够帮助开发者和安全...
Frida Stalker 是什么?
fenfei331的博客
06-17 3479
李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。奋飞:看小说呀,量大管饱。我们今天的目标就是某小说App v2021_09_53App请求小说内容的时候没有加签名,但是返回的数据是加密的。那么我们先去jadx搜索一下这个url(novel-content),看看有没有发现。结果是没有收获。那么很有可能这个url不是在apk中写死的,而是某个请求返回的。Charles可以搜索数据包,我们从返回包里面找到了这个url。那就好办了,看看是哪块代码去解析了这个 content_url ,我们在jadx中搜索“co
Frida系列--Stalker原理分析
Tasfa的博客
08-02 1787
StalkerFrida的代码跟踪引擎。它允许跟踪线程,捕获每个函数、每个块,甚至是执行的每条指令。显然,Stalker底层实现在某种程度上是依赖于架构的,尽管它们之间有很多共同点。Stalker目前支持运行在常见的 AArch64 架构的Android 或iOS的手机和平板电脑上,以及常见的 Intel 64 和 IA-32 架构台式机和笔记本电脑上。对于ARM32位的支持相当有限,会出现一些BUG,建议使用ARM64位进行Trace。...
Frida Stalker支持的覆盖率指导的二进制模糊测试-C/C++开发
05-27
在AFL仓库中可以找到有关覆盖指导的模糊概念的很好的介绍。 可以在此处找到有关Frida Stalker的详细信息(请注意,这些示例在JavaScript中,而它使用的C API几乎没有文档。)hotwax由Frida Stalker支持的Coverage-guided二进制模糊测试Coverage-guided模糊测试的概念很好的介绍可以在AFL仓库中找到。 可以在此处找到有关Frida Stalker的详细信息(请注意,这些示例在JavaScript中,而它使用的C API几乎没有文档。)这是如何工作的? 模糊二进制文件的主要困扰在于缺乏工具。 在传统的覆盖指导的模糊测试场景中,目标二进制文件会提前进行检测(A
hotwax:Frida Stalker支持的覆盖率指导的二进制模糊测试
04-12
热蜡 Frida Stalker支持的覆盖率指导的二进制模糊测试 在仓库中可以找到有关覆盖指导的模糊概念的很好的介绍。 可以在找到有关Frida Stalker的详细信息(请注意,这些示例在JavaScript中,而它使用的C API几乎没有文档。) 这是如何运作的? 模糊二进制文件的主要困扰在于缺乏工具。 在传统的覆盖率指导的模糊测试场景中,使用例如编译器插件预先检测目标二进制文件(AOT),该插件在基本块边缘插入函数调用以报告二进制文件的覆盖率。 这为生成算法提供了一种反馈机制,该算法决定了突变输入是否有用。 有用性基于多种因素,主要因素是特定输入可以达到多少个基本块。 此随机过程的目标是最大程度地提高基本块覆盖率。 您获得的代码越多,您可能会遇到的错误就越多。 但是,在我们的封闭盒示例中,我们没有AOT仪器二进制文件的功能,因为我们没有完善的控制流程来运行。 这就是Frida的用
frida监听内存读写
头铁逆向的旅程
09-25 4397
frida监听内存读写
frida-stalker-中文翻译版---阶段一
weixin_40563850的博客
03-01 964
Stalker 原理简介
Frida-实战】EA游戏平台的文件监控(PsExec.exe提权)
kinghzking的专栏
05-06 1238
PsExec.exe 利用这个组件启动一个新的服务,该服务的权限可以被设置为 LocalSystem,这是 Windows 系统中最高的权限级别之一。一旦服务被启动,PsExec.exe 就可以在该服务的上下文中启动进程,从而获得了更高的权限。EA平台使用了很多技术,如protobuf、rpc、各种加密等,有需要分析的,可以一起探讨。,这次看清楚了,支持Android、ios、mac,唯独不支持windows!,代码下好,编译好了,结果发现,只是个文件操作的库。
使用Frida-Trace进行移动端开发
QwwyEmacs_Lisp的博客
09-22 895
上面的示例只是Frida-Trace的基本用法,你可以根据自己的需求进行更复杂的跟踪和调试操作。Frida-Trace提供了丰富的API,包括动态修改函数参数、返回值等功能,可以帮助你更好地理解和调试移动应用程序。上面的示例只是Frida-Trace的基本用法,你可以根据自己的需求进行更复杂的跟踪和调试操作。Frida-Trace提供了丰富的API,包括动态修改函数参数、返回值等功能,可以帮助你更好地理解和调试移动应用程序。安装完成后,我们可以使用Frida-Trace跟踪移动应用程序中的函数调用。
使用 Frida Stalker 反 OLLVM 算法还原
03-30 1234
Stalker.follow() 使用 onCallSummary 时,不会实时回调,而是在合适的时间点返回已汇总的调用信息。通过 onRecive 解析可以知道 调用的是 libaes.so 偏移 0x25f60 的函数。使用 CyberChef 的 AES CBC 算法加密得到结果和 app 的是一样的。因此,你会在目标函数执行完毕后,看到 onCallSummary 输出的调用信息。用 IDA 打开 libaes.so 并调整到对应的地址,可以找到调用的函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值