patch某哩frida检测

已于 2024-02-21 19:09:46 修改
阅读量566 收藏 6
点赞数 3
文章标签: android
于 2023-09-22 17:32:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CrazyTracer/article/details/133178537
版权

文章仅限于个人学习使用

样本

YmlsYmlsaSAgNy4zOS4w

工具=>ida frida(未去任何特征) so文件arm64-v8a

1.数据加密

bb76b8dc6b4d1d6e1c7759eadbd2b917.png

看看是哪个so文件有检测

function hook_dlopen1(soName = 'libmsaoaidsec.so') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    console.log(path)
                }
            }
        }
    );
}
/data/app/~~BSX3pQx54amgGap_bJlDRg==/tv.danmaku.bili-gpokD3YitZKGKPiflQDaDQ==/oat/arm64/base.odex
libframework-connectivity-jni.so
libforcedarkimpl.so
/data/app/~~BSX3pQx54amgGap_bJlDRg==/tv.danmaku.bili-gpokD3YitZKGKPiflQDaDQ==/lib/arm64/libblkv.so
/data/app/~~BSX3pQx54amgGap_bJlDRg==/tv.danmaku.bili-gpokD3YitZKGKPiflQDaDQ==/lib/arm64/libbili_core.so
/data/app/~~BSX3pQx54amgGap_bJlDRg==/tv.danmaku.bili-gpokD3YitZKGKPiflQDaDQ==/lib/arm64/libmsaoaidsec.so
Process terminated

在加载完成libmsaoaidsec.so后闪退

2.检测点

按照检测思路,一般会用pthread_create起线程

https://github.com/darvincisec/DetectFrida

function hook_pthread_createx() {
    var libcModule = Process.findModuleByName('libc.so');
    if (libcModule) {
        var pthread_create = new NativeFunction(
            libcModule.findExportByName('pthread_create'),
            'int', ['pointer', 'pointer', 'pointer', 'pointer']
        );
        Interceptor.attach(pthread_create, {
            onEnter: function (args) {
                var libmsaoaidsecModule = Process.findModuleByName('libmsaoaidsec.so');
                if (libmsaoaidsecModule) {
                    // 在进入 pthread_create 之前
                    console.log("pthread_create called with arguments:");
                    console.log("attr:", args[0]);
                    console.log("attr:", (args[0] - libmsaoaidsecModule.base).toString(16));
                    console.log("start_routine:", args[1]);
                    console.log("arg:", args[2]);
                    console.log("function at=>0x"+(args[2] - libmsaoaidsecModule.base).toString(16));
                    console.log("pid:", args[3]);
                    console.log('----------------------------------------\n')
                }
            },
            onLeave: function (retval) {
                // 在离开 pthread_create 之后
                console.log("pthread_create returned:", retval);
                if (retval.toInt32() === 0) {
                    console.log("Thread created successfully!");
                } else {
                    console.log("Thread creation failed!");
                }
            }
        });
    }
}

9283d18e3cf4f6aad7a3ba90dd2854d9.png

结果是在0x1aee4和0x1a574

3.nop检测点

0x1aee4

5d326201394eba0f28ab7ffc7a81621a.png

590c33a88805de23dc372ec0ccfb5692.png

0x1a574

56ac2f73cbc09eefd9804817a7282726.png

192ec2994b1c640c5f7cb395d6209002.png

两个函数往上翻找都会有个getpid

cd2400eb9e86a72b81a7ea9e75f0991b.png

然后可以用两种方式去patch地址

3-1.ida patch

直接nop掉0x1A858和0x1B8B4,apply patch后push到手机即可

6cb020a45e4b5cb3b1b7a11a880a9efd.png

3-2 frida patch

frida patch后效果如下

7b2d98452b0ebcdb17ddc5e39f7f3684.png

function hook_RegisterNatives() {
    var symbols = Module.enumerateSymbolsSync("libart.so");
    var addrRegisterNatives = null;
    for (var i = 0; i < symbols.length; i++) {
        var symbol = symbols[i];
        if (symbol.name.indexOf("art") >= 0 &&
            symbol.name.indexOf("JNI") >= 0 &&
            symbol.name.indexOf("RegisterNatives") >= 0 &&
            symbol.name.indexOf("CheckJNI") < 0) {
            addrRegisterNatives = symbol.address;
            console.log("RegisterNatives is at ", symbol.address, symbol.name);
            if (addrRegisterNatives != null) {
                Interceptor.attach(addrRegisterNatives, {
                    onEnter: function (args) {
                        var env = args[0];
                        var java_class = args[1];
                        var class_name = Java.vm.tryGetEnv().getClassName(java_class);
                        console.log("\n[RegisterNatives] method_count:", args[3]);
                        var methods_ptr = ptr(args[2]);
                        var method_count = parseInt(args[3]);
                        for (var i = 0; i < method_count; i++) {
                            var name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
                            var sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
                            var fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));
​
                            var name = Memory.readCString(name_ptr);
                            var sig = Memory.readCString(sig_ptr);
                            var find_module = Process.findModuleByAddress(fnPtr_ptr);
                            console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr, "module_name:", find_module.name, "module_base:", find_module.base, "offset:", ptr(fnPtr_ptr).sub(find_module.base));
                            // }
                        }
                    }
                });
            }
        }
    }
​
}
function print_arg(addr) {
    try {
        var module = Process.findRangeByAddress(addr);
        if (module != null) return "\n" + hexdump(addr) + "\n";
        return ptr(addr) + "\n";
    } catch (e) {
        return addr + "\n";
    }
}
​
​
function hook_native_addr() {
    var funcPtr = Module.findBaseAddress("libbili.so").add(0x8d14);
    var paramsNum = 0x3;
    var module = Process.findModuleByAddress(funcPtr);
    try {
        Interceptor.attach(funcPtr, {
            onEnter: function (args) {
                this.logs = "";
                this.params = [];
                // @ts-ignore
                this.logs = this.logs.concat("So: " + module.name + "  Method: sub_8D14 offset: " + ptr(funcPtr).sub(module.base) + "\n");
                for (let i = 0; i < paramsNum; i++) {
                    this.params.push(args[i]);
                    this.logs = this.logs.concat("this.args" + i + " onEnter: " + print_arg(args[i]));
                }
            }, onLeave: function (retval) {
                this.logs = this.logs.concat("retval onLeave: " + print_arg(retval) + "\n");
                console.log(this.logs);
            }
        });
    } catch (e) {
        console.log(e);
    }
}
function hook_dlopen1(soName = 'libmsaoaidsec.so') {
    // hook_RegisterNatives()
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) >= 0) {
                        // hook_pthread_createx()
                        hook_libc_getpid()
                    }
                }
            }
        }
    );
}
​
function enumerateLoadedModules() {
    // 使用 Process.enumerateModules() 方法来获取当前加载的所有模块(包括共享库)
    var modules = Process.enumerateModules();
​
    // 遍历所有模块并打印它们的信息
    for (var i = 0; i < modules.length; i++) {
        var module = modules[i];
        console.log('Module Name:', module.name);
        console.log('Base Address:', module.base);
        console.log('Size:', module.size);
    }
}
​
function hook_pthread_createx() {
    var libcModule = Process.findModuleByName('libc.so');
    if (libcModule) {
        var pthread_create = new NativeFunction(
            libcModule.findExportByName('pthread_create'),
            'int', ['pointer', 'pointer', 'pointer', 'pointer']
        );
        Interceptor.attach(pthread_create, {
            onEnter: function (args) {
                var libmsaoaidsecModule = Process.findModuleByName('libmsaoaidsec.so');
                if (libmsaoaidsecModule) {
                    // 在进入 pthread_create 之前
                    console.log("pthread_create called with arguments:");
                    console.log("attr:", args[0]);
                    console.log("attr:", (args[0] - libmsaoaidsecModule.base).toString(16));
                    console.log("start_routine:", args[1]);
                    console.log("arg:", args[2]);
                    console.log("function at=>0x"+(args[2] - libmsaoaidsecModule.base).toString(16));
                    console.log("pid:", args[3]);
                    console.log('----------------------------------------\n')
                }
            },
            onLeave: function (retval) {
                // 在离开 pthread_create 之后
                console.log("pthread_create returned:", retval);
                if (retval.toInt32() === 0) {
                    console.log("Thread created successfully!");
                } else {
                    console.log("Thread creation failed!");
                }
            }
        });
    }
}
function nop(targetModule, addr) {
    // 定义要 NOP 的函数地址和指令长度
    var targetFunctionAddress = targetModule.base.add(addr); // 0x1A858 是函数的偏移地址
    var instructionLength = 4; // 假设函数中的指令长度为 4 字节
​
    // 在目标函数地址写入 NOP 指令
    Memory.protect(targetFunctionAddress, instructionLength, 'rwx');
    for (var i = 0; i < instructionLength; i++) {
        Memory.writeU8(targetFunctionAddress.add(i), 0x90); // 0x90 是 NOP 指令
    }
    console.log('NOPed function at address 0x', (addr).toString(16));
}
function hook_libc_getpid() {
    // 寻找并 hook 目标库
    var f = false
    var libcModule = Process.findModuleByName('libc.so');
    if (libcModule) {
        var getpid = libcModule.findExportByName('getpid');
        Interceptor.attach(getpid, {
            onEnter: function (args) {
                var targetModule = Process.getModuleByName('libmsaoaidsec.so');
                if (targetModule && !f) {
                    nop(targetModule, 0x1A858)
                    nop(targetModule, 0x1B8B4)
                    f = true
                }
            },
            onLeave: function (retval) {
            }
        });
    }
}
​
​
setImmediate(hook_dlopen1, "libmsaoaidsec.so")

提示

ARMv7-A ARMv7-R:大多数指令仍然是4个字节长,但ARMv7-A引入了Thumb-2指令集,其中包括16位和32位指令。Thumb-2指令集的指令可以是2或4个字节长。
ARMv8-A:ARMv8-A引入了64位的A64指令集,其中指令通常是4个字节长。此外,ARMv8-A还支持A32和T32指令集,其中A32指令通常是4个字节长,而T32指令可以是2或4个字节长。

参考

https://bbs.kanxue.com/thread-277034.htm

 

mdredev
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hluda,绕过frida检测
11-17
去掉frida检测,绕过frida检测,各个各个版本都有。
DetectFrida:检测AndroidFrida
05-09
DetectFrida 这个项目有3种方法来检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
frida常用检测点及其原理
最新发布
菜鸡小白的成长记录
03-07 1220
frida常用检测点及其原理
超详细的mac环境下编译魔改frida-server
qq_33530663的博客
11-13 3074
对于frida的编译和魔改想必大家都已经不陌生了,看雪上一搜一大堆,但是大神们基本都是基于ubuntu环境搞的,今天就记录下我在mac环境下编译的详细步骤,其实大体上一致,区别就在于编译环境搭建和负责去特征的anti-anti-frida.py脚本有些差异。
实战|记一次APP多限制绕过
键盘的起始页
07-20 447
最开始使用某混淆过的frida发现还是会被检测到,先使用frida hook dlopen查看加载的so,dlopen主要用于加载一些系统的库,可以看到打开了libc.so库,基于libc.so的检测一般分为两种一种是文件读写类,如maps和状态等,另一种就是线程类,通过dlopen_ext也可以知道libexec和libexecmain很有可能就是检测frida的so。看样子是还存在双进程保护,测试几次最终通过先执行spawn模式启动,程序卡死,弹出是继续等待还是退出,点击退出。
Frida的相关API学习记录
weixin_44589776的博客
12-20 599
Frida的相关Api学习记录
Android逆向——过frida检测+so层算法逆向
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
Frida使用NativeFunction主动调用so中的函数
someby的博客
05-24 2432
function printJavaStack(name) { Java.perform(function () { var Exception = Java.use("java.lang.Exception"); var ins = Exception.$new("Exception"); var straces = ins.getStackTrace(); if (straces != undefined && s.
App之Hook反调试解决办法
SC201204的博客
02-03 848
App之Hook反调试解决办法
绕过bili frida反调试
头铁逆向的旅程
04-29 4485
绕过bilibili frida反调试
frida检测
05-24
hluda版frida 抹掉frida特征 过检测必备 过frida检测
检测frida的工具app
02-22
检测当前环境是否存在frida调试
Androidfrida注入检测的demo
08-14
Androidfrida注入检测的demo,端口检测,libc检测
frida的基本操作
Tesi1a的充电桩
03-21 1万+
1、在Mac上安装Frida Mac系统的frida版本要与Android中的版本号保持一致。 升级Mac系统中的frida为最新版本的命令: sudo pip install --upgrade frida 或者安装指定版本的frida,这里安装frida的12.1.2版本: pip install frida==12.1.2 2、为Android手机安装Frida 我的root设备是Andro...
利用FRIDA攻击Android应用程序(三)
weixin_34032792的博客
05-02 1296
利用FRIDA攻击Android应用程序(三) 前言 在我的有关frida的第二篇博客发布不久之后,@muellerberndt决定发布另一个OWASP Android crackme,我很想知道是否可以再次用frida解决。如果你想跟着我做一遍,你需要下面的工具。 OWASP Uncrackable Level2 APK Android ...
frida编译 hluda编译 问题记录
头铁逆向的旅程
08-01 3145
frida编译 hluda编译 问题记录
Frida用法详解【附用例】
热门推荐
weixin_35016347的博客
01-16 2万+
文章目录0x01 工具安装0x02 设备环境配置(Android)0x03 命令行运行0x04 Python脚本运行0x05 基本使用0x06 开发用例 Frida,是一个类似 Xposed/Substrate 的跨平台、动态、插装工具,借助 python 和 javascript,可以非常快速便捷地操作目标进程、修改函数参数返回值等,支持 Android/iOS/Macos/Linux/Wind...
闲聊阿里加固(一)
weixin_34272308的博客
11-21 306
闲聊阿里加固(一) 0x00 闲扯 1.为什么要写这些? 折腾了一段时间的Android加固,看了很多大牛的文章,收获还是蛮大的,不过好像大部分的文章都是直接写在哪里下断点如何修复之类的,写出如何找到这个脱壳点的文章还是比较少,所以我准备整理一下这部分的知识,讲讲如何找到脱壳点,希望能和大家多交流 2.需要什么样的基础? 用过JEB,ID...
frida map检测
07-28
Frida的map检测是指一些应用程序通过检测Frida在内存中的映射信息(maps)来判断是否被Frida注入。引用\[1\]中提到,一些应用程序会检测maps中是否存在包含"/data/local/tmp/"的路径,因为这个路径对于安卓逆向工作来说是比较敏感的。当应用程序检测到加载了该路径下的任何文件时,会直接终止运行。为了绕过这种检测,可以使用hluda-server来修改运行端口,并以spawn方式注入Frida。hluda-server生成的so库名字去掉了Frida等特征字段,可以很好地绕过maps的检测。\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [Android逆向——过frida检测+so层算法逆向](https://blog.csdn.net/weixin_43889136/article/details/127713563)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值