Frida常见检测方法

最新推荐文章于 2025-04-01 21:26:57 发布
最新推荐文章于 2025-04-01 21:26:57 发布
阅读量2.4k 收藏 8
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/triplexlove/article/details/130435929
版权
文章详细介绍了多种检测Frida框架的方法,包括ptrace检测、进程和端口监控、D-Bus协议分析、maps文件检查、task目录扫描以及内存特征搜索。同时,提到了针对Frida的反检测手段,如文件特征检测和系统函数扫描,讨论了hook方案的隐蔽性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. Frida检测相关文章:[翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com
  2. ptrace占坑
    ptrace(0, 0 ,0 ,0);
    开启一个子进程附加父进程
    守护进程
    子进程附加父进程 目的是不让别人附加
    普通的多进程
  3. 进程名检测,遍历运行的进程列表,检测frida-server是否运行
  4. 端口检测,检测frida-server默认端口27042是否开放
  5. D-Bus协议通信
    Frida使用D-Bus协议通信,可以遍历/proc/net/tcp文件,或者直接从0-65535
    向每个开放的端口发送D-Bus认证消息,哪个端口回复了REJECT,就是frida-server
  6. 扫描maps文件
    maps文件用于显示当前app中加载的依赖库
    Frida在运行时会先确定路径下是否有re.frida.server文件夹
    若没有则创建该文件夹并存放frida-agent.so等文件,该so会出现在maps文件中
  7. 扫描task目录
    扫描目录下所有/task/pid/status中的Name字段
    寻找是否存在frida注入的特征
    具体线程名为gmain、gdbus、gum-js-loop、pool-frida等
  8. 通过readlink查看/proc/self/fd、/proc/self/task/pid/fd下所有打开的文件,检测是否有Frida相关文件
  9. 常见用于检测的系统函数
    strstr、strcmp、open、read、fread、readlink、fopen、fgets
  10. 扫描内存中是否有Frida库特征出现,例如字符串LIBFRIDA
  11. hluwa的去掉字符串特征的frida-server
    https://github.com/hluwa/strongR-frida-android

补充

  1. 通常比较会被检测的文件
    riru的特征文件
    /system/lib/libmemtrack.so
    /system/lib/libmemtrack_real.so
    cmdline 检测进程名,防重打包
    status 检测进程是否被附加
    stat 检测进程是否被附加
    task/xxx/cmdline 检测进程名,防重打包
    task/xxx/stat 检测进程是否被附加
    task/xxx/status 检测线程name是否包含Frida关键字
    fd/xxx 检测app是否打开的Frida相关文件
    maps 检测app是否加载的依赖库里是否有Frida
    net/tcp 检测app打开的端口
  2. huluda-server处理了re.frida.server文件夹以及该文件夹下的文件的名字
  3. 使用这个server,不放在/data/local/tmp目录下,基本可以不用关心fd和maps的检测
  4. frida-gadget [原创]分享一个基本不可能被检测到的hook方案-Android安全-看雪论坛-安全社区|安全招聘|bbs.pediy.com
triplexlove
关注
Frida 常见检测/root检测/vpn检测/持续更新
qq_42423940的博客
01-24 553
Frida 常见检测/root检测/vpn检测/持续更新。
Frida Hook 入门(5)| 绕过 Frida 检测与反调试技术
weixin_65409651的博客
01-07 1048
在 Android 和其他平台的安全研究中,Frida 是不可或缺的动态分析工具。然而,越来越多的应用会主动检测 Frida 的存在,甚至结合反调试技术(Anti-Debugging)来阻止逆向工程或分析。检测 Frida 服务器进程(如检测 Frida 插件注入的迹象(如 Hook 方法)。使用反调试技术绕过调试工具的附加。对于研究人员而言,学会绕过这些防护手段,能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理,并通过 Frida 实现绕过它们的实践。
frida常用检测点及其原理
菜鸡小白的成长记录
03-07 2702
frida常用检测点及其原理
简单的frida检测思路
大数据安全技术学习
10-19 1万+
从inlinehook角度检测frida 总述 frida inline hook写法 检测libart是否使用inlinehook 检测libnative-lib是否使用inlinehook 从java hook 的角度检测frida 总结 从inlinehook角度检测frida 总述 在使用frida的过程中,在我的认知里其实frida只做了2件事情,一件是注入,一件是hook,作为注入的特征我们可以通过ptrace(PTRACE_TRACEME,NULL,0,0),或者从文件里面索引...
Frida检测及其绕过
最新发布
2301_80198695的博客
04-01 528
目录的作用在于提供了一种方便的方式来查看进程的文件描述符信息,这对于调试和监控进程非常有用。协议通信,D-Bus是一种进程间通信(IPC)和远程过程调用(RPC)机制,最初是为Linux开发的,目的是用一个统一的协议替代现有的和竞争的IPC解决方案。是一个特殊的文件,它包含了当前进程的内存映射信息。原理就是通过修改函数的开头,写一个跳板,实现定向跳转,通过检测当前函数的前16个字节来判断是否被hook。下存放的是当前进程下的线程,每个线程内有一个目录,进入线程目录的。文件夹下可以看到当前线程的名字,例如。
Frida检测
热门推荐
Codeooo 博客
09-02 1万+
检查 Frida 的痕迹 一种简易方法检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 fridaserver,它通过 TCP 对外与 frida 通信,此时可以用 Java 遍历运行的进程列表从而检查 fridaserver 是否在运行。 2 3 4 5 6 7 8 9 10 11 12 13 14 15
DetectFrida:检测Android的Frida
05-09
DetectFrida 这个项目有3种方法检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
frida检测 笔记
碎片的博客
08-22 1886
怎么过frida检测???
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 2460
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
frida-js:一些适用于frida的js脚本
05-13
- `method_interceptor.js`:可能用于拦截和修改特定方法的行为。 - `property_hook.js`:可能用于挂钩对象的属性访问,改变其默认行为。 **5. 文档资源** `frida-js`可能包含的文档资料可以帮助初学者快速上手...
常见Frida检测方法+一个小Demo
qq_44885775的博客
04-16 3774
常见Frida检测方法+一个小Demo
适用于Android的反检测版本frida-server。-Android开发
05-26
适用于Android的反检测版本frida-server。 strongR-frida-android用于Android的反检测版本frida-server。 遵循上游自动构建。 Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_server.patch frida-core 0003-pipe_linjector.patch frida-core 0004-io_frida_agent_so.patch frida-core 0005-symbol_frida_agent_main_thread.js补丁frida-core .patch frida-core 0007-thread_gmain.patch frida-core 0008-protocol_unexpected_command.patch下载版本
种特征检测 Frida
键盘的起始页
08-20 1237
Frida 在逆向工程狮中很受欢迎,你基本可以在运行时访问到你能想到的任何东西,内存地址、native 函数、Java 实例对象等。在 OWASP 的移动测试指南里就提到了 Frida。但是啊,每出来个好用的注入工具,都会有反注入、反反注入、反反反注入、反...注入。这篇文章要介绍的是 Android APP 检测 Frida方法。 检查 Frida 的痕迹 一种简易方法检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 f
frida检测
weixin_40306397的博客
05-11 2131
frida检测原理及其对抗
frida检测
qq_62204036的博客
07-11 1126
【代码】frida检测
Frida调试检测
olivia的博客
07-11 892
命令:adb push [刚下载的frida路径] /data/local/tmp将frida-server。若未安装python环境,请到Python官网:https://www.python.org/下载完成后解压,将frida-server文件 push到手机的/data/local/tmp。进入网页:https://github.com/frida/frida/releases。根据查询的CPU架构下载对应的frida-server压缩包。查询到当前机器的CPU架构是arm64-v8a。
frida检测和应对
signature=的博客
12-05 1740
检测Frida的SSL Pinning绕过:Frida可以用来绕过应用程序的SSL Pinning机制,使得对网络通信的拦截和劫持变得可能。例如,可以检测Frida使用的提升权限的API调用、Frida运行时注入的代码等。检测Frida的远程调用:Frida可以通过网络进行远程调用,因此可以用于攻击应用程序的远程接口。这些机制可以通过验证函数的哈希值或签名来确保函数的完整性。应对方法:应用程序可以使用更强大的SSL Pinning机制,如使用自定义的根证书和证书链验证工具,以防止Frida的绕过行为。
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Frida快速定位Android加密算法方法整理
文档提供了使用Frida Hook技术快速确定Android应用程序中常见加密算法的方法,包括但不限于MAC、MD5、RSA和AES等。文档强调了这种方法对于Android爬虫工程师、安全工程师以及在校学生的技术价值。此外,对于不熟悉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值