Frida系列--Stalker原理分析

最新推荐文章于 2024-08-03 00:44:32 发布
最新推荐文章于 2024-08-03 00:44:32 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Hook技术研究 文章标签: frida 逆向分析 android逆向 frida教程 hook教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30135181/article/details/126127549
版权
本文介绍了Frida的Stalker引擎,一个用于代码跟踪的工具,支持AArch64和Intel架构。Stalker利用动态重编译技术,在指令执行前插入监控代码,解决x86指令变长、位置相关等问题。通过信任阈值优化性能,实现内联缓存。使用Stalker只需调用相应API,即可实现对目标线程的跟踪。
摘要由CSDN通过智能技术生成

Stalker原理分析

简介

Stalker 是Frida的代码跟踪引擎。它允许跟踪线程,捕获每个函数、每个块,甚至是执行的每条指令。显然,Stalker底层实现在某种程度上是依赖于架构的,尽管它们之间有很多共同点。Stalker目前支持运行在常见的 AArch64 架构的Android 或iOS的手机和平板电脑上,以及常见的 Intel 64 和 IA-32 架构台式机和笔记本电脑上。对于ARM32位的支持相当有限,会出现一些BUG,建议使用ARM64位进行Trace

原理

核心原理

动态重编译(Dynamic Recompilation)

什么是动态重编译?简单来说,当一个线程即将执行其下一条指令时,通过复制所有指令,并且新增一些自定义指令到一块新的内存地址,然后执行新的内存指令副本。因此,原本的指令没有任何变化,反调试当然也不会起作用。举个例子,在每条指令之前新增一条Call指令,调用log_handler来记录一些即将执行的指令信息,包括寄存器等等(如下图)

在这里插入图片描述

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Tasfa
关注
专栏目录
订阅专栏
Frida高级篇-Stalker(1)
helloworlddm的博客
01-14 2242
快捷键的区别 三者的区别 Ctrl+C :强制中断程序,程序无论运行哪里都停止。 Ctrl+D :发送一个 exit 的信号,退出当前的用户或者是客户端。 Ctrl+Z :暂停程序,在进程中维持挂起状态。 引用别人的说法: 1、Ctrl+C比较暴力,就是发送Terminal到当前的程序,比如你正在运行一个查找功能,文件正在查找中,Ctrl+C就会强制结束当前的这个进程。 2、Ctrl+Z 是把当前的程序挂起,暂停执行这个程序,比如你正在mysql终端中,需要出来搞点其他的文件操作,又不想退出mysql终端(
Frida系列--Stalker Trace使用
Tasfa的博客
04-06 4687
Frida Stalker Trace 算法、指令、函数等,解密算法运算过程
Frida Stalker 是什么?
fenfei331的博客
06-17 2782
李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。奋飞:看小说呀,量大管饱。我们今天的目标就是某小说App v2021_09_53App请求小说内容的时候没有加签名,但是返回的数据是加密的。那么我们先去jadx搜索一下这个url(novel-content),看看有没有发现。结果是没有收获。那么很有可能这个url不是在apk中写死的,而是某个请求返回的。Charles可以搜索数据包,我们从返回包里面找到了这个url。那就好办了,看看是哪块代码去解析了这个 content_url ,我们在jadx中搜索“co
Frida Hook Java层代码与协议分析
最新发布
LittleFishC的博客
08-03 402
在本文中,我们继续以某嘟牛应用为例,在用户点击登录按钮后,哪个方法会被调用。我们在上一篇文章中提到,搜索关键词 “Encrypt” 后,发现两个包含该字符串的 Java 方法。接下来,我们通过 Frida 分别 Hook 这两个方法,以测试点击登录后会调用哪个方法。执行结果如下所示:通过结果我们可以看出,点击登录后最终执行的方法为 addRequestMap。
frida-stalker-中文翻译版---阶段一
weixin_40563850的博客
03-01 646
Stalker 原理简介
Frida工作原理
helloworlddm的博客
01-13 3632
在调试和验证FridaStalker功能的时候,需要频繁暂停程序查看效果。因此这里是首先介绍下Linux下的暂停。 在用Linux的时候,都比较熟悉下面这几中暂停方式。 三种暂停的区别 三者的区别 Ctrl+C :强制中断程序,程序无论运行哪里都停止。 Ctrl+D :发送一个 exit 的信号,退出当前的用户或者是客户端。 Ctrl+Z :暂停程序,在进程中维持挂起状态。 引用别人的说法: 1、Ctrl+C比较暴力,就是发送Terminal到当前的程序,比如你正在运行一个查找功能,文件正在查找中,Ctr
strongR-frida-android:适用于Android的反检测版本的frida-server
03-18
strongR-frida-android 按照上游进行自动修补,并为Android构建反检测版本的frida-server。 跟随FRIDA上游自动修补程序,并为Android构建反检测版本的frida-server。 提示:不要分叉该存储库 补丁 模块 姓名 frida-...
frida-server-15.2.2-android-x86.xz
08-04
frida-server手机版安装压缩包,x86 32位架构
frida-server-16.0.13-android-arm64
04-18
标题中的"frida-server-16.0.13-android-arm64"指的是Frida Server的一个特定版本,这是用于Android设备的动态代码插桩工具。Frida是由 Ole André Vadla Rønning 开发的一款强大的开源软件,它允许开发者在运行时...
Frida工作原理学习
u013347872的博客
05-21 605
frida是一款便携的,自由的,支持全平台的,hook框架,可以通过编写JavaScript,Python代码来和frida_server端进行交互,还记得当年用xposed时那种写了一大堆代码每次修改都要重新打包安装重启手机,那种调试调到头皮发麻的痛苦百分之30的时间都是在那里安装重启安装重启直到有一天遇到了小甜甜。
frida-stalker-中文翻译版---阶段二
weixin_40563850的博客
03-02 353
frida-stalker
Frida Stalker支持的覆盖率指导的二进制模糊测试-C/C++开发
05-27
在AFL仓库中可以找到有关覆盖指导的模糊概念的很好的介绍。 可以在此处找到有关Frida Stalker的详细信息(请注意,这些示例在JavaScript中,而它使用的C API几乎没有文档。)hotwax由Frida Stalker支持的Coverage-guided二进制模糊测试Coverage-guided模糊测试的概念很好的介绍可以在AFL仓库中找到。 可以在此处找到有关Frida Stalker的详细信息(请注意,这些示例在JavaScript中,而它使用的C API几乎没有文档。)这是如何工作的? 模糊二进制文件的主要困扰在于缺乏工具。 在传统的覆盖指导的模糊测试场景中,目标二进制文件会提前进行检测(A
frida-profiler:基于Frida的代码分析
03-12
基于Frida的代码分析器 该存储库包含用于使用Frida剖析LIEF功能的代码。 开始使用 确保下载与您的系统/体系结构相关的正确版本的 。 在Linux上,它将是frida-gum-devkit-14.2.13-linux-x86_64.tar.xz 。 您还需要下载(或编译)LIEF的SDK(有关最新版本,请参见: ://lief.quarkslab.com/packages/sdk/)。 然后,您可以按如下方式编译探查器: $ mkdir -p build && cd build $ cmake .. \ -DLIEF_DIR= < PATH> /LIEF-0.12.0-Linux-x86_64/share/LIEF/cmake \ -DFRIDA_LIBS= < PATH> /frida-gum/libfrida-gum.a \ -DFRIDA
hotwax:Frida Stalker支持的覆盖率指导的二进制模糊测试
04-12
热蜡 Frida Stalker支持的覆盖率指导的二进制模糊测试 在仓库中可以找到有关覆盖指导的模糊概念的很好的介绍。 可以在找到有关Frida Stalker的详细信息(请注意,这些示例在JavaScript中,而它使用的C API几乎没有文档。) 这是如何运作的? 模糊二进制文件的主要困扰在于缺乏工具。 在传统的覆盖率指导的模糊测试场景中,使用例如编译器插件预先检测目标二进制文件(AOT),该插件在基本块边缘插入函数调用以报告二进制文件的覆盖率。 这为生成算法提供了一种反馈机制,该算法决定了突变输入是否有用。 有用性基于多种因素,主要因素是特定输入可以达到多少个基本块。 此随机过程的目标是最大程度地提高基本块覆盖率。 您获得的代码越多,您可能会遇到的错误就越多。 但是,在我们的封闭盒示例中,我们没有AOT仪器二进制文件的功能,因为我们没有完善的控制流程来运行。 这就是Frida的用
Frida使用资料,移动安全
03-23
Frida、移动安全、反编译Hook, android, iOS, Linux, PC通用Hook框架
Frida07 - dexdump核心源码分析
a5right的博客
12-22 1021
文件头里面有一个 map_off 字段,它的值是 map_list 段在dex文件内的偏移。可以看到,逆向的重心,除了api用的熟之外,还需要对app本身的相关知识要有足够的了解才行。作者设置的比较宽泛,中间的两个字节表示的是 dex 的版本号,会搜索所有版本号的 dex。,coalesce 的值表示是否需要合并相同权限的内存段,默认是 false。这里也储存了自身的一个偏移,那么根据这两个东西,就可以认为这个是dex文件。比如,0x3c位置的字节必定是 0x70,因为文件头后面跟着的就是字符串。
jnitrace、frida-trace、Stalker、sktrace、Frida Native Trace、r0tracer、strace、IDA trace、Unidbg Trace
freeking101的博客
03-19 5635
一个基于 frida 的工具,用来追踪安卓应用的 JNI API。jnitrace 是一个动态分析追踪工具,类似与 frida-trace 和 strace,但是jnitrace 只针对 JNI。
frida stalker追踪jni函数调用案例
学习记录
09-10 444
frida stalker简单实用。使用这个工具来追踪jin函数的调用。
frida --version
04-17
根据提供的引用内容,你可以通过以下步骤来获取frida的版本号: 1. 下载相应版本的frida-service包到手机上。 2. 使用命令`frida --version`查看frida的版本号。 3. 使用命令`adb shell getprop ro.product.cpu.abi`查看手机的位数。 4. 前往Frida的GitHub页面(Releases · frida/frida · GitHub)下载与手机位数相符的frida-server压缩包,确保不要下载错误的版本。 请注意,这些步骤是根据提供的引用内容进行推断的,具体操作可能会有所不同。[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值