一、目标
frida越来越流行,针对他的检测也越来越多了,什么特征串检测,TracerPid检测,双进程保护。搞的我们茶饭不思,啤酒都不香了。
今天的目标是数字壳的调试,双进程保护。
二、步骤
侦测下火力
-f spawn模式启动App, 提示:
frida -U -f com.asiainfo.app -l test.js --no-pause
Process crashed: Illegal instruction
卒…
先启动App,再attach上去,提示
frida -U -l test.js com.asiainfo.app
Failed to spawn: ambiguous name; it matches: com.asiainfo.app (pid: 18486), com.asiainfo.app (pid: 18632)
搞事情呢,一个App启动两个进程干嘛?
不怕,我们有雕牌超白。
frida -U -l test.js -p 18486
Attaching...
Failed to attach: unable to access process with pid 18632 due to system restrictions; try `sudo sysctl kernel.yama.ptrace_scope=0`, or run Frida as root
歇了,为啥指定了进程id还是挂不上?
cat /proc/18486/status | grep TracerPid
TracerPid: 18634
原来 18486 已经被子进程 18634 给挂上了,后来的frida就挂不上了。
咋办。
原贴 https://bbs.pediy.com/thread-263701.htm 提供了一个方案,大家可以尝试下。
XcubeBase
https://github.com/svengong/xcubebase 提供了基于Xposed的frida脚本持久化方案。简单的说可以脱离pc,直接类似跑Xposed插件一样来跑Frida脚本。
但是无意中(也许是有意的)提供了反反调试的能力。
. 安装Xcubebase.apk, 从Xposed中启用该程序,然后重启。
. 启动Xcubebase, 点击初始化按钮,需要赋予su权限
. 在 /data/local/tmp/xcube/xcube.yaml 文件中,增加一行
com.asiainfo.app: /data/local/tmp/test.js
. 把脚本塞进去
adb push test.js /data/local/tmp
TIP: test.js就是简单hook一下 StringBuilder.toString
跑起来,从哪看结果呀?
// js里打印的时候增加一个 TAG
let TAG = "ffasiainfo: ";
console.log(TAG+" start 01");
// 然后adb 看log
adb logcat | grep ffasiainfo
06-23 09:36:09.201 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: zh-Hans-CN
06-23 09:36:09.203 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: (W)-TbsCommonConfig-TBS:TbsCommonConfig constructing...
06-23 09:36:09.205 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: /storage/emulated/0/
06-23 09:36:09.206 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: zh-Hans-CN
06-23 09:36:09.206 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: /storage/emulated/0/tencent/tbs/com.asiainfo.app
06-23 09:36:09.207 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: (E)-TbsCommonConfig-TBS:Config file is null, default values will be applied
06-23 09:36:09.208 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: android.content.res.ResourcesKey#mResDir
06-23 09:36:09.208 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: android.app.ActivityThread#mBoundApplication
06-23 09:36:09.209 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: android.app.ActivityThread$AppBindData#appInfo
......
木问题,结果出来了。
目前唯一的缺点就是:脚本更新之后,功能不会动态更新,需要把App杀掉重启下App。 最好是从 设置->应用 里面去杀进程。
三、总结
挂万漏一,攻防都有自己的优势,找到一个被忽略的点,金身就破了。
云在青天水在瓶