Frida-syscall-interceptor

最新推荐文章于 2024-06-15 09:50:13 发布
最新推荐文章于 2024-06-15 09:50:13 发布
阅读量257 收藏
点赞数
文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyun134340/article/details/128621857
版权
本文介绍了如何使用Frida inline Hook针对App通过syscall绕过hook的行为进行响应,通过重写SWI/SVC指令实现系统调用的拦截。详细讲述了备份和恢复指令、创建NativeCallback以及在arm32设备上调试的注意事项。
摘要由CSDN通过智能技术生成

一、目标

现在很多App不讲武德了,为了防止 openat 、read、kill 等等底层函数被hook,干脆就直接通过syscall的方式来做系统调用,导致无法hook。

应对这种情况有两种方案:

  • 刷机重写系统调用表来拦截内核调用

  • inline Hook SWI/SVC指令

我们今天采用第二种方法,用frida来实现

  • 内联汇编SWI/SVC做系统调用, syscall

  • frida inline hook

  • hook syscall

  • frida ArmWriter

  • frida typescript project

二、步骤

inline Hook 原理

. 备份SWI/SVC部分的指令,重写成为跳转指令

. 跳转到我们新的代码空间,把之前备份的指令执行一下。然后执行我们自己的逻辑。 (打印参数之类的)

. 跳回原程序空间,继续往下跑

最低0.47元/天 解锁文章
hyun134340
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
frida替换函数实现mac端微信防撤回
不仅仅是个程序员的博客
01-08 1935
在逆向过程中, 我们经常有这样的需求: hook某个目标函数, 将它的实现过程给屏蔽掉, 以达到想要的效果. frida中提供了Interceptor.replace()来实现此功能. 例如, 我们想在mac上实现微信3.0消息防撤回的功能, 已经判断出撤回消息调用的方法是 -[FFProcessReqsvrZZ FFToNameFavChatZZ:sessionMsgList:] , 那我们只要把这个方法实现屏蔽掉就能达到防撤回的效果, 接下来, 我们用frida实现. 通过lldb对微信调试后发现, m
kernel-module-syscall:拦截系统调用
02-21
系统调用拦截 在Linux上使用可加载的内核模块拦截系统调用的概念证明。 测试于:Linux debian 4.19.0-14-amd64#1 SMP Debian 4.19.171-2(2021-01-30)x86_64 GNU / Linux
探索Android系统调用的魔法门径:frida-syscall-interceptor深度解析
最新发布
gitblog_00023的博客
06-15 430
探索Android系统调用的魔法门径:frida-syscall-interceptor深度解析 frida-syscall-interceptor项目地址:https://gitcode.com/gh_mirrors/fr/frida-syscall-interceptor 在安卓开发和安全研究的世界里,深入系统的内核,理解每一个细小的系统调用(syscall)是至关重要的。今天,我们将揭开一...
Frida成功使用Interceptor.attach hook了so函数却不进入onEnter与onLeave
Air_cat的博客
11-15 427
看看是不是把函数调用优化了。
syscall_intercept:系统调用拦截库
03-11
syscall_intercept 用户空间系统调用拦截库。 依存关系 运行时依赖 libcapstone-引擎盖下使用的拆卸引擎 建立依赖 本地构建依赖项 C99工具链-已在最新版本的GCC和clang中进行了测试 cmake perl-检查编码样式 pandoc-用于生成手册页 Travis CI构建依赖项 travis构建使用一些脚本来生成docker映像,在其中构建/测试syscall_intercept。 这些docker镜像被推送到Dockerhub,以便在以后的travis构建中重用。 脚本期望在travis环境中设置四个环境变量: DOCKERHUB_REPO-将用于构建的docker映像存储在何处,例如为了引用上的Dockerhub存储库,此变量应包含字符串“ pmem / syscall_intercept” DOCKERHUB_USER-用于登录Dockerh
Frida常用API:Java,Interceptor,NativePointer
Hu4
11-23 2248
前言 摘自肉丝老师博客 1.1 Java对象 Java是十分哦不,应该说是极其重要的API,无论是想对so层亦或java层进行拦截,都必须编写Java.perform,在使用上面这些API时,应该都已经发现了吧~这章我们就来详细看看Java对象都有哪些API~ 1.1.1 Java.available 该函数一般用来判断当前进程是否加载了JavaVM,Dalvik或ART虚拟机,咱们来看代码示例! function frida_Java() { Java.perform(functio
frida hook svc调用
babytiger的专栏
10-15 2882
在cpp文件中增加了svc的调用,相当于不通过libc的open函数打开/proc/cpuinfo这样在libc中实现对openat的函数就无效了。见下面代码 ////这个函数更新时要运行一下ndk-build ////app\src\main>ndk-build ////如果增加了函数 ////要用\app\src\main>javah -d jni -classpath ./com.rom.cpptest ////重新生成一下或者将鼠标放在新加的函数上,会有提示自动生成函数 #incl.
Frida 过检测通用思路之一
q2919761440的博客
05-24 1368
结合 IDA 分析的关键分支地址去看,前面我们已经怀疑 pool-frida 的判断逻辑了,这里trace 出来以后,只需要搜索一下 pool-frida 判断逻辑的相关地址有没有被打印出来就定位到了,不用一行行去看trace。没什么新鲜的检测点,但奇怪的是明明我的frida 做过去特征,按理说这些点应该都过掉了才对,结果还是被检测然后程序退出了,又回过头反复确认了就是这个检测点无疑,那到底是。过检测一般可以从退出方式入手。知道问题就好办了,在我们给frida 过检测的脚本里把这个字符串替换掉就可以了。
frida实战】“一行”代码教你获取WeGame平台中所有的lua脚本
kinghzking的专栏
07-04 3495
frida实战 WeGame
一次svc简单绕过
灯、等灯等灯...
02-20 439
一次svc简单绕过
Frida官方手册 - JavaScript API(篇三)
小蓝人敌法的专栏
11-03 4255
JavaScript APIWeakRef WeakRef.bind(value, fn): 监控value对象,当被监控的对象即将被垃圾回收或者脚本即将被卸载的时候,调用回调函数fn,bind返回一个唯一ID,后续可以使用这个ID进行 WeakRef.unbind()调用来取消前面的监控。这个API还是很有用处的,比如你想要在JavaScript的某个对象销毁的时候跟着销毁一些本地资源,这种情况下
5、frida进阶-Android逆向之旅---Hook神器家族的Frida工具使用详解
键盘的起始页
03-07 1万+
本文转载自:https://www.cnblogs.com/qwangxiao/p/9255328.html 一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍和Android中Hook神器SubstrateCydia工具介绍这两篇文章非常重要一个...
Android的so注入( inject)和函数Hook(基于got表) - 支持arm和x86
Fly20141201. 的专栏
01-01 9582
前面深入学习了古河的Libinject注入Android进程,下面来 深入学习一下作者ariesjzj的博文《Android中的so注入(inject)和挂钩(hook) - For both x86 and arm》,注入的思路和古河的是一样的,但是代码的兼容性更好更好理解,适用于arm和x86模式下so注入和函数的Hook,这份代码自己也测试了一下,确实可以Hook目标函数成功,只是被Ho
Hook android系统调用的实践
Fly20141201. 的专栏
05-01 6547
一、环境条件 Ubuntukylin 14.04.5 x64bit Android 4.4.4 Nexus 5 二、Android内核源码的下载 执行下面的命令,获取 Nexus 5手机 设备使用的芯片即获取Nexus 5手机设备内核源码的版本信息。 $ adb shell # 查看移动设备使用的芯片信息 $ ls /dev/block/platfor
关于Android上对so进行函数的hook的完整原理解析,最新测试通过
scjie168的博客
09-07 6892
http://pan.baidu.com/s/1boiw3iJ          共享出来源码吧,里面有远程注入(inject)和下面方法2的源码以及使用libsbustrate的方式,修改got表的百度就知道方法了,源码一大堆,只需要清楚修改got表到底做了什么。      网上关于hook的文章很多,开源代码也很多,但是真心没找到一个可以用(不是说写的人有问题,而是代码都很久了,并
Frida官方手册 - JavaScript API(篇二)
小蓝人敌法的专栏
10-24 1万+
JavaScript APIInt64 new Int64(v): 以v为参数,创建一个Int64对象,v可以是一个数值,也可以是一个字符串形式的数值表示,也可以使用 Int64(v) 这种简单的方式。 add(rhs), sub(rhs), and(rhs), or(rhs), xor(rhs): Int64相关的加减乘除。 shr(n), shl(n): Int64相关的左移、右移操作 comp
基于frida框架Hook native中的函数(1)
热门推荐
Fly20141201. 的专栏
06-24 1万+
0x01 前言关于android的hook以前一直用的xposed来hook java层的函数,对于so层则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值