某瓣APP Frida反调试

最新推荐文章于 2025-08-03 19:30:00 发布

原创

最新推荐文章于 2025-08-03 19:30:00 发布 · 965 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#反调试 #frida

APP信息

包名：com.douban.frodo
在这里插入图片描述

反调试分析

frida尝试注入，如下图直接就挂掉了，说明我们的frida被检测到了
在这里插入图片描述

定位so文件

我们需要知道在哪个so文件中加载的线程检测到了我们的firda，可以通过frida hook dlopen方法。

function hook_dlopen(){
   
   
    //Android8.0之后加载so通过android_dlopen_ext函数
    var android_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");
    console.log("addr_android_dlopen_ext",android_dlopen_ext);
    Interceptor.attach(android_dlopen_ext,{
   
   
        onEnter:function(args){
   
   
            var pathptr = args[0];
            if(pathptr!=null && pathptr != undefined){
   
   
                var path = ptr(pathptr).readCString();
                console.log("android_dlopen_ext:",path);
            }
        },
        onLeave:function(retvel){
   
   
            console.log("leave!");
        }
    })
}
hook_dlopen()

hook结果如下，是在libmsaoaidsec.so这个so文件中加载的线程检测到的frida。
在这里插入图片描述

定位检测函数

我们可以hook pthread方法来定位检测函数。

function hook_dlopen(){
   
   
    //Android8.0之后加载so通过android_dlopen_ext函数
    var android_dlopen_ext = Module

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Bileton

关注关注

11
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

frida反调试

qq_32445755的博客

05-19

1562

frida是逆向人员的神器，有了它就事半功倍，但正是因为frida太有名了，因此出现了很多检测方案，这个软件就检测了frida，不管是attach模式还是spawn模式都附加不上。一般来说，frida检测由如下几个方面：检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。

frida检测和应对

signature=的博客

12-05

2100

检测Frida的SSL Pinning绕过：Frida可以用来绕过应用程序的SSL Pinning机制，使得对网络通信的拦截和劫持变得可能。例如，可以检测Frida使用的提升权限的API调用、Frida运行时注入的代码等。检测Frida的远程调用：Frida可以通过网络进行远程调用，因此可以用于攻击应用程序的远程接口。这些机制可以通过验证函数的哈希值或签名来确保函数的完整性。应对方法：应用程序可以使用更强大的SSL Pinning机制，如使用自定义的根证书和证书链验证工具，以防止Frida的绕过行为。

参与评论您还未登录，请先登录后发表或查看评论

1 条评论

吃苹果的牛顿顿 2025.05.14
大佬，0x1b924 是从哪来的呢？

frida反调试绕过

qq_53761850的博客

12-02

837

这个app是有壳的，防护大概率会是在so层，毕竟java层的反调试已经过时了，我们可以通过hook安卓系统的libdl.so中的android_dlopen_ext来定位问题出现在哪个so，定位到具体so再定位so里面的反调试线程，找出来反调试线程最终把反调试线程替换成空。普遍的就是：使用葫芦娃版本的frida、改frida_server的名称，修改frida_server的端口，文章中的frida_server均已满足以上条件，情况比较严峻。以上hook代码的作用用于定位反调试出现在哪个so文件。

Frida 反反调试

TF的博客

08-09

3140

2. 指定端口启动： ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。

2021-05-08记录一次最新版小红书逆向细节

05-08

5931

预备工具： ida7.5， piexl 手机，jadx，jeb 某书是有TracerPid反调试，先过反调试，这有两个方法 1.Frida hook fopen 过滤 2.修改安卓源码去掉TracerPid 1.Frida hook脚本 function anti_fgets() { var fgetsPtr = Module.findExportByName(“libc.so”, “fgets”); var fgets = new NativeFunction(fgetsPtr, ‘pointer’,

3.frida Native层Hook

高新园养鸡场

03-12

3007

测试用例本次的hook代码都用 frida-tools方式书写。首先写一个简单的程序用来测试。后续的测试就在这个程序上小修小改，不做赘述。 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xml

Frida进阶——libnesec.so反调试机制绕过

w987333120的博客

07-10

1581

本文介绍了利用Frida工具绕过安卓安全加固库libnesec.so反调试检测的实战方法。主要步骤包括：1）通过Hook android_dlopen_ext函数监控目标库加载时机；2）Hook pthread_create函数捕获反调试线程创建；3）分析线程入口点的偏移地址，将关键反调试函数替换为空函数。文章提供了完整的Frida脚本实现，展示了如何通过早期注入、动态监控和函数替换等技术组合，有效突破libnesec.so的反调试保护机制。该方法适用于安卓应用逆向分析场景，为安全研究人员提供了实用的技术参

安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点和绕过策略

热门推荐

arr的博客

01-06

1万+

属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种闪退弹窗卡启动页实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .

绕过某书frida反调试检测获取某宝支付参数

一个自学不成材的程序员

03-05

3103

在移动应用安全测试和研究过程中，我们经常需要使用Frida等工具对应用进行动态分析。然而，很多应用都实现了反调试和反注入机制，用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用（以下简称"某书"，本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数）的反调试检测机制。简单优于复杂：最初我们尝试通过Interceptor.replace复杂地替换目标函数，但这种方法容易导致应用崩溃。最后发现，直接阻止库加载是最简单有效的方法。分层防御。

过某交友软件frida反调试

头铁逆向的旅程

06-30

7125

过某交友软件的frida检测

app逆向frida反调试

01-02

### 使用 Frida 实现反调试技术 #### 反调试概述在逆向工程过程中，目标程序通常会集成各种形式的防调试机制以阻止分析人员深入了解其运行逻辑。这些保护措施可能包括但不限于检测是否附加了调试器、检查进程状态...

Frida Hook 入门（5）| 绕过 Frida 检测与反调试技术

weixin_65409651的博客

01-07

1560

在 Android 和其他平台的安全研究中，Frida 是不可或缺的动态分析工具。然而，越来越多的应用会主动检测 Frida 的存在，甚至结合反调试技术（Anti-Debugging）来阻止逆向工程或分析。检测 Frida 服务器进程（如检测 Frida 插件注入的迹象（如 Hook 方法）。使用反调试技术绕过调试工具的附加。对于研究人员而言，学会绕过这些防护手段，能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理，并通过 Frida 实现绕过它们的实践。

实战app过frida检测

m0_45408536的博客

10-04

1168

他的so是加固的，所以要进行so的dump才能继续分析，并修复，末尾我放了修复后的so，通过分析发现，加固的app中so对/proc/self/maps等字符串的保护，如果我们把生成这些字符串的函数给hook掉，并返回一个假路径是不是就可以了。经过对修复后的so分析，hookfunc(0x5BED1, true,false)， 0x5BED1就是生成路径的函数在so中的偏移，具体的hook很简单，自己实现一下。下面我们继续分析，如果想过这个frida检测，从上面分析来看，就是要监控这些东西的读写操作，

某书Frida检测绕过记录

P1umH0的博客

04-19

7146

本来想要分析请求参数加密过程，结果发现APP做了Frida检测，于是记录一下绕过姿势(暴力但有用)Frida版本：16.2.1APP版本：8.31.0。

反调试 - 强制更新

dafan0的博客

05-12

543

函数失效即可，首先定位UpdateDialog类，但在UpdateDialog类中没有找到show函数，但也可以尝试hook：让show方法不执行，就不会出现更新弹窗。以上介绍的两种方式，都是在前端进行的绕过，如果后端的API也更新了，那虽然绕过了前端，但前后端会出现不匹配，也会无法使用。打开后提示版本太旧，提示更新，而且更新的弹窗无法取消。在定位弹窗函数时，可以搜索的关键字除了汉字外，还可以搜索。进行hook绕过：寻找版本等关键字，发现更新弹窗的位置。

模拟器改真机后frida-server启动后软件打不开

a927115417的博客

05-22

648

模拟器改真机后frida-server启动后软件打不开，软件一直打不开就卡着，没有改真机前server都能打开。

41.安卓逆向2-frida hook技术-过firda检测（五）-利用ida分析app的so文件中frida检测函数过检测