某瓣APP Frida反调试

最新推荐文章于 2025-09-11 17:33:15 发布
原创 最新推荐文章于 2025-09-11 17:33:15 发布 · 965 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反调试 #frida

APP信息

包名:com.douban.frodo
在这里插入图片描述

反调试分析

frida尝试注入,如下图直接就挂掉了,说明我们的frida被检测到了
在这里插入图片描述

定位so文件

我们需要知道在哪个so文件中加载的线程检测到了我们的firda,可以通过frida hook dlopen方法。

function hook_dlopen(){
   
   
    //Android8.0之后加载so通过android_dlopen_ext函数
    var android_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");
    console.log("addr_android_dlopen_ext",android_dlopen_ext);
    Interceptor.attach(android_dlopen_ext,{
   
   
        onEnter:function(args){
   
   
            var pathptr = args[0];
            if(pathptr!=null && pathptr != undefined){
   
   
                var path = ptr(pathptr).readCString();
                console.log("android_dlopen_ext:",path);
            }
        },
        onLeave:function(retvel){
   
   
            console.log("leave!");
        }
    })
}
hook_dlopen()

hook结果如下,是在libmsaoaidsec.so这个so文件中加载的线程检测到的frida。
在这里插入图片描述

定位检测函数

我们可以hook pthread方法来定位检测函数。

function hook_dlopen(){
   
   
    //Android8.0之后加载so通过android_dlopen_ext函数
    var android_dlopen_ext = Module
最低0.47元/天 解锁文章
frida反调试
qq_32445755的博客
05-19 1562
frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。一般来说,frida检测由如下几个方面:检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。
frida检测和应对
signature=的博客
12-05 2100
检测Frida的SSL Pinning绕过:Frida可以用来绕过应用程序的SSL Pinning机制,使得对网络通信的拦截和劫持变得可能。例如,可以检测Frida使用的提升权限的API调用、Frida运行时注入的代码等。检测Frida的远程调用:Frida可以通过网络进行远程调用,因此可以用于攻击应用程序的远程接口。这些机制可以通过验证函数的哈希值或签名来确保函数的完整性。应对方法:应用程序可以使用更强大的SSL Pinning机制,如使用自定义的根证书和证书链验证工具,以防止Frida的绕过行为。
frida反调试绕过
qq_53761850的博客
12-02 837
这个app是有壳的,防护大概率会是在so层,毕竟java层的反调试已经过时了,我们可以通过hook安卓系统的libdl.so中的android_dlopen_ext来定位问题出现在哪个so,定位到具体so再定位so里面的反调试线程,找出来反调试线程最终把反调试线程替换成空。普遍的就是:使用葫芦娃版本的frida、改frida_server的名称,修改frida_server的端口,文章中的frida_server均已满足以上条件,情况比较严峻。以上hook代码的作用用于定位反调试出现在哪个so文件。
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 3103
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
APP 逆向百例】某当劳 Frida 检测
最新发布
K哥爬虫
09-11 2020
发现并没有 libDexHelper.so 相关的线程,这是什么原因呢?相关 hook 脚本,会分享到知识星球当中,需要的小伙伴自取,仅供学习交流。发现闪退,老样子,按照之前的思路,我们可以先 hook。至此,该 appfrida 检测分析流程就结束了。知道在这个 so 文件加密之后,我们直接 hook。我们主要关注上面 a3 的值,按住 tab 键找到。我们用 ida 打开 libc.so 文件,搜索。是 Linux/Android 系统的一个。
Frida反调试
TF的博客
08-09 3140
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
Frida进阶——libnesec.so反调试机制绕过
w987333120的博客
07-10 1581
本文介绍了利用Frida工具绕过安卓安全加固库libnesec.so反调试检测的实战方法。主要步骤包括:1)通过Hook android_dlopen_ext函数监控目标库加载时机;2)Hook pthread_create函数捕获反调试线程创建;3)分析线程入口点的偏移地址,将关键反调试函数替换为空函数。文章提供了完整的Frida脚本实现,展示了如何通过早期注入、动态监控和函数替换等技术组合,有效突破libnesec.so的反调试保护机制。该方法适用于安卓应用逆向分析场景,为安全研究人员提供了实用的技术参
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
热门推荐
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Frida Hook 入门(5)| 绕过 Frida 检测与反调试技术
weixin_65409651的博客
01-07 1560
在 Android 和其他平台的安全研究中,Frida 是不可或缺的动态分析工具。然而,越来越多的应用会主动检测 Frida 的存在,甚至结合反调试技术(Anti-Debugging)来阻止逆向工程或分析。检测 Frida 服务器进程(如检测 Frida 插件注入的迹象(如 Hook 方法)。使用反调试技术绕过调试工具的附加。对于研究人员而言,学会绕过这些防护手段,能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理,并通过 Frida 实现绕过它们的实践。
过某交友软件frida反调试
头铁逆向的旅程
06-30 7125
过某交友软件的frida检测
app逆向frida反调试
01-02
### 使用 Frida 实现反调试技术 #### 反调试概述 在逆向工程过程中,目标程序通常会集成各种形式的防调试机制以阻止分析人员深入了解其运行逻辑。这些保护措施可能包括但不限于检测是否附加了调试器、检查进程状态...
实战appfrida检测
m0_45408536的博客
10-04 1168
他的so是加固的,所以要进行so的dump才能继续分析,并修复,末尾我放了修复后的so,通过分析发现,加固的app中so对/proc/self/maps等字符串的保护,如果我们把生成这些字符串的函数给hook掉,并返回一个假路径是不是就可以了。经过对修复后的so分析,hookfunc(0x5BED1, true,false), 0x5BED1就是生成路径的函数在so中的偏移,具体的hook很简单,自己实现一下。下面我们继续分析,如果想过这个frida检测,从上面分析来看,就是要监控这些东西的读写操作,
某书Frida检测绕过记录
P1umH0的博客
04-19 7146
本来想要分析请求参数加密过程,结果发现APP做了Frida检测,于是记录一下绕过姿势(暴力但有用)Frida版本:16.2.1APP版本:8.31.0。
反调试 - 强制更新
dafan0的博客
05-12 543
函数失效即可,首先定位UpdateDialog类,但在UpdateDialog类中没有找到show函数,但也可以尝试hook:让show方法不执行,就不会出现更新弹窗。以上介绍的两种方式,都是在前端进行的绕过,如果后端的API也更新了,那虽然绕过了前端,但前后端会出现不匹配,也会无法使用。打开后提示版本太旧,提示更新,而且更新的弹窗无法取消。在定位弹窗函数时,可以搜索的关键字除了汉字外,还可以搜索。进行hook绕过:寻找版本等关键字,发现更新弹窗的位置。
模拟器改真机后frida-server启动后软件打不开
a927115417的博客
05-22 648
模拟器改真机后frida-server启动后软件打不开,软件一直打不开就卡着,没有改真机前server都能打开。
41.安卓逆向2-frida hook技术-过firda检测(五)-利用ida分析app的so文件中frida检测函数过检测
计算机王的博客
08-03 2198
安卓逆向 安卓协议分析 app协议分析 保姆级攻略 app逆向 Android apk逆向
frida常用检测点及其原理
菜鸡小白的成长记录
03-07 2983
frida常用检测点及其原理
小红书协议最新算法
2403_87731058的博客
11-05 1700
当然初始化native函数initializeNative在引入这个类的时候就调用了,本来想直接引入SO构造Retrofit实现获取sign,但是它上下文太强了,根本无法猜测到它到底是什么类型,传入一模一样的值进去。通过抓包发现,它在so里调用了process方法,根本不会让你在外拿到sign,所以它上下文关联和复杂,相比之前的快手、抖音、最右是最麻烦的。需要注意的是,以上接口仅供参考,具体的实现方式和算法设计需要根据业务需求和用户体验等因素来确定。
绕过bili frida反调试
头铁逆向的旅程
04-29 7211
绕过bilibili frida反调试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值