某瓣APP Frida反调试

最新推荐文章于 2025-05-22 01:37:01 发布
原创 最新推荐文章于 2025-05-22 01:37:01 发布 · 603 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反调试 #frida

APP信息

包名:com.douban.frodo
在这里插入图片描述

反调试分析

frida尝试注入,如下图直接就挂掉了,说明我们的frida被检测到了
在这里插入图片描述

定位so文件

我们需要知道在哪个so文件中加载的线程检测到了我们的firda,可以通过frida hook dlopen方法。

function hook_dlopen(){
    //Android8.0之后加载so通过android_dlopen_ext函数
    var android_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");
    console.log("addr_android_dlopen_ext",android_dlopen_ext);
    Interceptor.attach(android_dlopen_ext,{
        onEnter:function(args){
            var pathptr = args[0];
            if(pathptr!=null && pathptr != undefined){
                var path = ptr(pathptr).readCString();
                console.log("android_dlopen_ext:",path);
            }
        },
        onLeave:function(retvel){
            console.log("leave!");
        }
    })
}
hook_dlopen()

hook结果如下,是在libmsaoaidsec.so这个so文件中加载的线程检测到的frida。
在这里插入图片描述

定位检测函数

我们可以hook pthread方法来定位检测函数。

function hook_dlopen(){
    //Android8.0之后加载so通过android_dlopen_ext函数
    var android_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");
    console.log("addr_android_dlopen_ext",android_dlopen_ext);
    Interceptor.attach(android_dlopen_ext,{
        onEnter:function(args){
            var pathptr = args[0];
            if(pathptr!=null && pathptr != undefined){
                var path = ptr(pathptr).readCString();
                if(path.indexOf("libmsaoaidsec.so")!=-1){
                    console.log("android_dlopen_ext:",path);
                    hook_pthread()
                }
            }
        },
        onLeave:function(retvel){
            console.log("leave!");
        }
    })
}

function hook_pthread() {
    var pth_create = Module.findExportByName("libc.so", "pthread_create");
    console.log("[pth_create]", pth_create);
    Interceptor.attach(pth_create, {
        onEnter: function (args) {
            var module = Process.findModuleByAddress(args[2]);
            if (module != null) {
                console.log("address", module.name, args[2].sub(module.base));
            }

        },
        onLeave: function (retval) {}
    });
}

function main(){
    hook_dlopen()
}

main()

hook结果如下,找到三个函数
在这里插入图片描述

替换函数

这里我们把这三个函数函数逻辑替换为空就可以实现绕过。
需要注意的是,我们要找一个合适的时机来替换这三个函数,最好的时机是在dlopen函数加载so的时候的时候,对函数的初始化进行替换。
这里选择hook call_constructors函数。

function hook_dlopen(){
    //Android8.0之后加载so通过android_dlopen_ext函数
    var android_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");
    console.log("addr_android_dlopen_ext",android_dlopen_ext);
    Interceptor.attach(android_dlopen_ext,{
        onEnter:function(args){
            var pathptr = args[0];
            if(pathptr!=null && pathptr != undefined){
                var path = ptr(pathptr).readCString();
                if(path.indexOf("libmsaoaidsec.so")!=-1){
                    console.log("android_dlopen_ext:",path);
                    hook_call_constructors()
                }
            }
        },
        onLeave:function(retvel){
            //console.log("leave!");
        }
    })
}

function hook_call_constructors() {
    var linker64_base_addr = Module.getBaseAddress("linker64")
    var call_constructors_func_off = 0x2C274 //这个地址是从手机上把linker64 pull出来,然后到IDA中找到的,不同的机型,地址可能不一样
    var call_constructors_func_addr = linker64_base_addr.add(call_constructors_func_off)
    var listener = Interceptor.attach(call_constructors_func_addr, {
        onEnter: function (args) {
            console.log("hooked call_constructors")
            var module = Process.findModuleByName("libmsaoaidsec.so")
            if (module != null) {
                Interceptor.replace(module.base.add(0x1c544), new NativeCallback(function () {
                    console.log("0x1c544:替换成功")
                }, "void", []))
                Interceptor.replace(module.base.add(0x1b924), new NativeCallback(function () {
                    console.log("0x1B924:替换成功")
                }, "void", []))
                Interceptor.replace(module.base.add(0x26e5c), new NativeCallback(function () {
                    console.log("0x26e5c:替换成功")
                }, "void", []))
                listener.detach()
            }
        },
    })
}
function main(){
    hook_dlopen()
}

main()

hook结果如下,frida检测成功绕过!!
在这里插入图片描述
参考文章:https://mp.weixin.qq.com/s/i_k_QOfgAV33_2u9T4OnxA

so层检测frida绕过
Codeooo 博客
01-31 9341
我们思路是可以frida加载那个so, 然后打印出检测线程的偏移; 如果是在so层里开一个线程检测frida;然后干掉这个线程,完成!
frida反调试
qq_32445755的博客
05-19 1459
frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测frida,不管是attach模式还是spawn模式都附加不上。一般来说,frida检测由如下几个方面:检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。
模拟器改真机后frida-server启动后软件打不开
最新发布
a927115417的博客
05-22 477
模拟器改真机后frida-server启动后软件打不开,软件一直打不开就卡着,没有改真机前server都能打开。
Frida Hook 入门(5)| 绕过 Frida 检测反调试技术
weixin_65409651的博客
01-07 1219
在 Android 和其他平台的安全研究中,Frida 是不可或缺的动态分析工具。然而,越来越多的应用会主动检测 Frida 的存在,甚至结合反调试技术(Anti-Debugging)来阻止逆向工程或分析。检测 Frida 服务器进程(如检测 Frida 插件注入的迹象(如 Hook 方法)。使用反调试技术绕过调试工具的附加。对于研究人员而言,学会绕过这些防护手段,能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理,并通过 Frida 实现绕过它们的实践。
Frida反调试
TF的博客
08-09 2902
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
frida反调试绕过
qq_53761850的博客
12-02 511
这个app是有壳的,防护大概率会是在so层,毕竟java层的反调试已经过时了,我们可以通过hook安卓系统的libdl.so中的android_dlopen_ext来定位问题出现在哪个so,定位到具体so再定位so里面的反调试线程,找出来反调试线程最终把反调试线程替换成空。普遍的就是:使用葫芦娃版本的frida、改frida_server的名称,修改frida_server的端口,文章中的frida_server均已满足以上条件,情况比较严峻。以上hook代码的作用用于定位反调试出现在哪个so文件。
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
热门推荐
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
实战appfrida检测
m0_45408536的博客
10-04 931
他的so是加固的,所以要进行so的dump才能继续分析,并修复,末尾我放了修复后的so,通过分析发现,加固的app中so对/proc/self/maps等字符串的保护,如果我们把生成这些字符串的函数给hook掉,并返回一个假路径是不是就可以了。经过对修复后的so分析,hookfunc(0x5BED1, true,false), 0x5BED1就是生成路径的函数在so中的偏移,具体的hook很简单,自己实现一下。下面我们继续分析,如果想过这个frida检测,从上面分析来看,就是要监控这些东西的读写操作,
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 2627
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
app逆向frida反调试
01-02
### 使用 Frida 实现反调试技术 #### 反调试概述 在逆向工程过程中,目标程序通常会集成各种形式的防调试机制以阻止分析人员深入了解其运行逻辑。这些保护措施可能包括但不限于检测是否附加了调试器、检查进程状态...
Frida反调试, 内核img
08-09
Frida反调试, 内核img
反调试 - 强制更新
dafan0的博客
05-12 397
函数失效即可,首先定位UpdateDialog类,但在UpdateDialog类中没有找到show函数,但也可以尝试hook:让show方法不执行,就不会出现更新弹窗。以上介绍的两种方式,都是在前端进行的绕过,如果后端的API也更新了,那虽然绕过了前端,但前后端会出现不匹配,也会无法使用。打开后提示版本太旧,提示更新,而且更新的弹窗无法取消。在定位弹窗函数时,可以搜索的关键字除了汉字外,还可以搜索。进行hook绕过:寻找版本等关键字,发现更新弹窗的位置。
某书Frida检测绕过记录
P1umH0的博客
04-19 6229
本来想要分析请求参数加密过程,结果发现APP做了Frida检测,于是记录一下绕过姿势(暴力但有用)Frida版本:16.2.1APP版本:8.31.0。
frida常用检测点及其原理
菜鸡小白的成长记录
03-07 2790
frida常用检测点及其原理
绕过bili frida反调试
头铁逆向的旅程
04-29 6766
绕过bilibili frida反调试
Frida使用指南 - Frida 检测绕过
dafan0的博客
05-12 3237
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida反调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
frida检测 笔记
碎片的博客
08-22 1963
怎么过frida检测???
App之Hook反调试解决办法
SC201204的博客
02-03 1687
App之Hook反调试解决办法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值