使用frida来spawn Fork 的子进程

已于 2023-10-11 15:30:22 修改
阅读量753 收藏 1
点赞数
文章标签: frida x64dbg hook子进程
于 2023-10-11 15:26:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qwertyuiop2016/article/details/133763421
版权

索引

需求

最近在学基础的Windows逆向知识,遇到个小问题。一个进程使用CreateProcessW创建的进程该如何在启动时附加,我想调试这个子进程启动时运行的函数。

谷歌搜索都给我翻烂了,最后发现还是得用英文搜。比如x64dbg attach child process就出现了这个结果: How to debug child process?

在测试完这个x64dbg插件之后,我想着frida有没有这样的功能,于是也搜索了一下frida hook muti process,也出现了一个方案,说是frida10就已经有了这个功能: Frida hook multiple processes

下面我简单说一下这两种的使用方法

测试程序

先用C++写一个简单的测试程序,用来创建子进程,代码很简单,直接调用CreateProcessW来启动一个子进程

父进程代码
#include <windows.h>
#include <iostream>
#include <stdio.h>


int main() {
	// 定义进程信息结构体
	PROCESS_INFORMATION pi;
	// 定义启动信息结构体
	STARTUPINFO si;
	// 初始化结构体
	ZeroMemory(&si, sizeof(si));
	si.cb = sizeof(si);
	ZeroMemory(&pi, sizeof(pi));

	// Notepad 可执行文件的路径
	LPCWSTR notepadPath = L"SubProcess.exe";

	// 文件路径作为命令行参数
	LPWSTR cmdLine = NULL;

	DWORD currentProcessId = GetCurrentProcessId();

	// 创建新进程
	if (CreateProcessW(notepadPath, cmdLine, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi)) {
		printf("新进程已成功创建!\n");
		printf("新进程的进程ID:%d, 当前进程id: %d \n", pi.dwProcessId, currentProcessId);

		// 可以等待进程结束,或者继续执行其他操作
		// WaitForSingleObject(pi.hProcess, INFINITE);

		// 关闭进程和线程句柄
		CloseHandle(pi.hProcess);
		CloseHandle(pi.hThread);
	}
	else {
		printf("无法创建新进程。错误代码:%d", GetLastError());
	}
	int i = 0;
	
	while (true) {
		i += 1;
		printf("*************** 父进程id: %d, 第%d次等待 *******************\n", currentProcessId, i);
		Sleep(2000);
	}

	return 0;
}
子进程代码
#include <stdio.h>
#include <windows.h>

int main()
{
	int i = 0;
	DWORD currentProcessId = GetCurrentProcessId();
	while (true) {
		i += 1;
		printf("############### 子进程id: %d, 第%d次等待 ####################\n", currentProcessId, i);
		Sleep(3000);
	}
}

x64dbg

x64dbg是使用插件来附加子进程

插件地址:https://github.com/therealdreg/DbgChild

安装步骤:

  1. 先下载releases下面的文件DbgChild.Beta.10.zip
  2. 解压到x64dbg目录
  3. 打开x64dbg,插件里面就有DbgChild

解压后的目录结构
在这里插入图片描述
复制到x64dbg之后的目录结构
在这里插入图片描述

插件功能

我说一下我用的几个选项的含义
在这里插入图片描述

  1. 主动去触发hook进程创建
  2. 自动hook进程创建,一般选这个就行
  3. 取消hook NTDLL,我看演示的视频在启动子进程的时候都会主动点一次这个,不过下面有个自动取消hook默认是勾选的,我测试的时候不点这个也可以
  4. 启动监听程序,这个是必须的,且要在创建子进程之前启动
开始调试

勾选第二个选项并启动监听程序,使用x64dbg打开ForkProcess.exe,运行程序,这时候会有一个很长的等待,我开始以为是卡住了,后面发现它只是比较慢,要等个一分钟吧。用任务管理搜索其实SubProcess.exe已经启动了,不知道是哪里卡住了。

接着就会弹出一个新的x64dbg窗口,并且已经附加到了SubProcess了,
在这里插入图片描述
这里不清楚为啥子进程没有在入口断点断住,不过影响不大,因为x64dbg会记忆断点位置,我只需要现在打上断点,那么在下次启动的时候就会自动断下,比如这里在SubProcess的x64dbg程序里用Ctrl+G跳转到printf函数并且打上断点。重复上面的操作重新启动ForkProcess的时候,附加到SubProcess的x64dbg就会断在printf

如果在启动ForkProcess之后再想去附加SubProcess,printf的前几次就无法下断点了。

frida

根据上面搜索到的链接显示,frida10就已经支持这个功能了。不过现在已经frida16了,这里面的代码也不能用了,得看github的最新代码:https://github.com/frida/frida-python/blob/main/examples/child_gating.py

直接拷下来,稍微做点改动,代码比较长,为了方便讲js和Python代码分开

child_gating.py

import threading
import os
import frida
from frida_tools.application import Reactor




class Application:
    def __init__(self):
        self._stop_requested = threading.Event()
        self._reactor = Reactor(run_until_return=lambda reactor: self._stop_requested.wait())

        self._device = frida.get_local_device()
        self._sessions = set()

        self._device.on("child-added", lambda child: self._reactor.schedule(lambda: self._on_child_added(child)))
        self._device.on("child-removed", lambda child: self._reactor.schedule(lambda: self._on_child_removed(child)))
        self._device.on("output", lambda pid, fd, data: self._reactor.schedule(lambda: self._on_output(pid, fd, data)))

    def run(self):
        self._reactor.schedule(lambda: self._start())
        self._reactor.run()

    def _start(self):
        argv = [r"T:\Code\VisualStudio\ForkProcess\x64\Release\ForkProcess.exe"]
        env = {}
        print(f"✔ spawn(argv={argv})")
        pid = self._device.spawn(argv, env=env, stdio="pipe")
        self._instrument(pid)

    def _stop_if_idle(self):
        if len(self._sessions) == 0:
            self._stop_requested.set()

    def _instrument(self, pid):
        print(f"✔ attach(pid={pid})")
        session = self._device.attach(pid)
        session.on("detached", lambda reason: self._reactor.schedule(lambda: self._on_detached(pid, session, reason)))
        print("✔ enable_child_gating()")
        session.enable_child_gating()
        print("✔ create_script()")
        frida_js_code = self.read_jscode()
        script = session.create_script(frida_js_code)
        script.on("message", lambda message, data: self._reactor.schedule(lambda: self._on_message(pid, message)))
        print("✔ load()")
        script.load()
        print(f"✔ resume(pid={pid})")
        self._device.resume(pid)
        self._sessions.add(session)
    
    def read_jscode(self):
        path = os.path.dirname(os.path.abspath(__file__))
        file = os.path.join(path, "child_gating.js")
        with open(file, encoding='utf-8') as f:
            jscode = f.read()
        return jscode

    def _on_child_added(self, child):
        print(f"⚡ child_added: {child}")
        self._instrument(child.pid)

    def _on_child_removed(self, child):
        print(f"⚡ child_removed: {child}")

    def _on_output(self, pid, fd, data):
        pass
        #print(f"⚡ output: pid={pid}, fd={fd}, data={repr(data)}")

    def _on_detached(self, pid, session, reason):
        print(f"⚡ detached: pid={pid}, reason='{reason}'")
        self._sessions.remove(session)
        self._reactor.schedule(self._stop_if_idle, delay=0.5)

    def _on_message(self, pid, message):
        if message["type"] == "send":
            payload = message['payload']
            s = payload["format_str"] % tuple(payload["format_args"])
            print(f"⚡ message: pid={pid}, payload={s}")
        elif message["type"] == "error":
            print(f"⚡ message: pid={pid}, error: description={message['description']} stack={message['stack']}")
        else:
            print(f"⚡ message: pid={pid}, payload={message}")


app = Application()
app.run()

child_gating.js

// 根据%读取printf的参数
function vspritf(format_str, args){
    let printf_args = [];
    if (format_str.indexOf("%") === -1) {
        return printf_args;
    }
    var pos = 0;
    for (let index = 0; index < format_str.length; index++) {
        pos = format_str.indexOf("%", pos);
        if(pos == -1)
            break;
        var format_ch = format_str.substr(pos+1, 1);
        let length = printf_args.length;
        let arg;
        switch (format_ch) {
            case "s":
                arg = args[length+1].readAnsiString()
                break;
            case "d": 
                arg = args[length+1].toInt32()
                break;
            case "p":
                arg = args[length+1].toInt32()
                break;
            case "f":
                arg = args[length+1]
                break;
            default:
                arg = args[length+1]
                break;
        }
        printf_args.push(arg);
        pos += index+2;
    }
    return printf_args;
}

let ProcessModAddress = Process.findModuleByName('ForkProcess.exe');
// Offset是在x64dbg里计算的偏移,
// 本来我想使用Module.findExportByName(null, "printf"),发现得到的偏移不知道是哪里的
let Offset = '0x1070';
// 如果没有获取到ForkProcess,说明是子进程
if(!ProcessModAddress){
    ProcessModAddress = Process.findModuleByName('SubProcess.exe');
    Offset = '0x1010';
}
// 通过偏移计算printf的实际地址
let pvPrintf = ProcessModAddress.base.add(Offset);
// 调用Windows获取进程pid的api
let pvGetCurrentProcessId = Module.findExportByName("kernel32.dll", "GetCurrentProcessId")
var GetCurrentProcessId = new NativeFunction(pvGetCurrentProcessId, 'uint32', []);

console.log(GetCurrentProcessId(), Offset, pvPrintf)
// hook函数
Interceptor.attach(pvPrintf, {
    onEnter: function (args) {
        let format_str = args[0].readAnsiString()
        send({
            "format_str": format_str,
            "format_args": vspritf(format_str, args)
        })
    } 
});

运行结果如下:
在这里插入图片描述
这里我只测试了Windows,Linux和安卓应该也可以,官网给的例子是Linux的,安卓的话自行测试

运行环境

  • python==3.8.17
  • frida==16.1.2
  • frida-tools==12.1.3
  • vs2017
用到的文件和代码

https://github.com/kanadeblisst00/frida_child_gating

Python成长路
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
frida - 4.hook结合python调用
测试开发架构师
12-03 714
在USB模式下,您可以通过Frida与正在运行的应用程序进行交互,并且可以在不影响应用程序状态的情 况下对其进行动态分析、修改和调试。因此,使用USB模式进行Frida注入时,不会触发目标应用程序的重启行为。同时,在使用Frida注入 时,需要确保目标设备已经安装了Frida,并且Frida Server已经运行。Attach 模式:在目标设备上附加到已经运行的应用程序进程,并在该进程中运行Frida脚本。Spawn 模式:在目标设备上启动一个新的应用程序进程,并在该进程中运行Frida脚本。
技术分享 | Frida 实现 Hook 功能的强大能力
hogwarts_beibei的博客
05-09 413
Frida 通过 C 语言将 QuickJS 注入到目标进程中,获取完整的内存操作权限,达到在程序运行时实时地插入额外代码和数据的目的。官方将调用代码封装为 python 库,当然你也可以直接通过其他的语言调用 Frida 中的 C 语言代码进行操作。
Frida基础
最新发布
SXXYNHHXX的博客
04-29 701
在Android逆向过程中,Frida存在两种操作模式:一种是通过命令行直接将JavaScript脚本注入进程中,对进程进行操作,称为CLI(命令行)模式;另一种是使用Python进行JavaScript脚本的注 入工作,实际对进程进行操作的还是JavaScript脚本,这种操作模式 称为RPC模式。两种模式本质上是一样的,最终执行Hook工作的都是JavaScript脚本,而且核心执行注入工作的还是Frida本身,只是RPC模式在对复杂数据的处理上可以通过RPC传输给Python脚本来。
Frida spawn 启动app
小龙在线
12-25 7921
有一些方法在系统启动时被调用,如获取系统参数配置System.getProperty、环境变量System.getenv。为了尽早Hook到函数,需要用spawn模式启动app。 启动方法是-f参数,如frida -U --no-pause -f com.xx.messenger -l hook.js。 function hook_java() { Java.perform(function () { var System = Java.use("java.lang.System")
frida spawn hook 静态变量/属性
问题很多的小明
11-18 3236
spawn hook : app执行onCreate方法前完成脚本的启动,这时候就能hook住onCreate中执行的一些方法 分析: 定位调用showTipDialog的地方,发现有设备信息判断,且在onCreate内,则需要spawn hook 看一下IS_HUAWEI_DEVICE的值 一个简单的脚本: function main() { if (Java.available) { console.log("*********** hook st.
Frida使用 hook
ShenZ的博客
09-05 980
js hook不需要开监听
解决Frida hook某些App,明明包名写对了,却找不到进程
zhengkanzhuang6120的博客
08-23 6161
这是因为,有些时候,hook的包名可能就是app的名字,比如最典型的,口碑App 解决这个问题的关键就是要知道所有进程是什么名字 可以用下面这个命令打印一下看看 #process = frida.get_usb_device().enumerate_processes() #print(process) 像我最近分析的口碑app就是这样,直接填app名字才能Hook到 process = frida.get_usb_device().attach(“口碑”) 坑啊,找了好久才知道原因! ...
使用Frida抓包okhttp请求的dex文件
07-19
使用Frida抓包okhttp请求的dex文件,目前测试该文件能正常实现抓包,配合frida可以实现所有http请求的拦截。具体可以参考github地址完成抓包。前提是手机需要root。
自用存档 打印frida使用过程中出现的复杂类型
02-25
自用存档 打印frida使用过程中出现的复杂类型
使用Frida来hack安卓APP(二)-crackme.pdf
08-19
在第一篇介绍了Frida之后,我们现在打算来介绍如何使用Frida来解决简单的crackme。由于我们已经学习了关于 Frida的一些知识,所以说,这一部分应该是简单的(理论上)。
安卓逆向学习笔记之使用frida改进FART.docx
03-29
安卓逆向学习笔记之使用frida改进FART.docx
抖音 3.0.0使用Frida反编译总结 .pdf
04-08
抖音 3.0.0使用Frida反编译总结
frida 坑点,多进程Java.perform不起作用
JackBoy的博客
06-17 1781
Android 9 主进程 Java.perform有用 子进程 Java.perform不起作用 yu
180209 逆向-Frida-python on win多进程BUG(曲线救国)
whklhhhh的博客
02-11 1076
1625-5 王子昂 总结《2018年2月9日》 【连续第497天总结】 A. Frida-python on windows问题排查 B. 昨天脚本跑了二十遍以后就会内存读取错误而崩溃今天继续研究了一下这个问题首先精简脚本发现import frida for i in range(20): frida.attach('notepad.exe')也会报错,说明跟注入的js脚本无关,
Frida入门介绍
我还可以
02-22 2922
Frida 是一款功能强大的动态分析工具,主要用于对操作系统、桌面应用、移动应用和浏览器进行逆向工程和安全测试;提供了比较灵活的 js api,可以在运行时通过注入代码来修改程序的逻辑;因为本人研究的是Android方向,所以后面都会以Android例子为主;
Frida两种操作模式和操作APP的两种方式
小龙在线
09-01 2362
Frida两种操作模式 操作模式 说明 CLI命令行 Javascript脚本注入进程 RPC Python进行Javascript脚本注入 Frida操作APP的两种方式 方式名称 方式说明 CLI下启动方式 spwan 将启动APP的权利交由Frida来控制。不管APP是否启动,都会重新启动APP。 -f参数指定包名 attach 建立在目标APP已经启动的情况下,Frida通过ptrace注入程序从而执行Hook的操作 不加-f参数 ...
frida-trace改源码解决双进程保护
arr的博客
04-25 1460
改源码前和改源码后 修改点如下
frida双进程守护
signature=的博客
06-06 1047
frida双进程守护
Frida基础-1.1-Frida基础介绍
小小白哈喽的博客
11-26 531
在CLI模式下,Frida可以直接通过命令行将JavaScript脚本注入进程,并对进程进行操作。另外,Frida还提供了RPC模式,使用Python脚本来完成JavaScript脚本的注入,实际操作仍由JavaScript脚本完成。spawn模式下,Frida控制启动App,并在注入时重新启动并注入App。需要注意的是,由于Frida使用attach模式注入应用时利用了ptrace原理,无法在IDA调试目标应用程序时以attach模式注入进程。Hook方案中,时机非常重要,必须在函数执行前进行Hook
使用Frida如何检测App进程在运行时,可使用frida-dump工具dump内存。
06-09
使用Frida来检测App进程在运行时,可使用frida-dump工具dump内存,可以按照以下步骤进行操作: 1. 首先,你需要下载并安装Frida工具,并打开它。 2. 然后,你需要在Android设备上安装Frida-Server,并启动Frida-Server。可以使用以下命令来启动Frida-Server: ``` frida-server -D ``` 3. 接着,你需要使用Frida来注入一个Javascript脚本到App进程中。可以使用以下命令来注入脚本: ``` frida -U -f com.example.app -l script.js --no-pause ``` 其中,com.example.app是要注入的App包名,script.js是要注入的Javascript脚本。 4. 在Javascript脚本中,你可以使用Frida提供的API来检测App进程是否可被frida-dump工具dump内存。例如,你可以使用以下代码来检测是否有进程调用了frida-dump工具: ``` Interceptor.attach(Module.findExportByName("libc.so", "open"), { onEnter: function(args) { var path = Memory.readUtf8String(args[0]); if (path.indexOf("frida-dump") != -1) { console.log("frida-dump detected!"); } } }); ``` 这段代码会在打开文件时被执行,并检测文件名中是否包含“frida-dump”字符串。如果包含,则会输出提示信息。 需要注意的是,Frida可以被用于攻击,因为它可以用于修改应用程序的行为。因此,在开发过程中,开发人员应该采取一些防范措施,例如使用内存加密技术、禁用日志输出等,来保护敏感数据。另外,定期进行安全评估和测试也是必要的,以确保App中不存在安全漏洞。 总之,使用Frida来检测App进程在运行时,可使用frida-dump工具dump内存是一种有效的方法。开发人员可以采取多种防范措施,来保护App的内存数据安全。同时,定期进行安全评估和测试也是必要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值