frida反调试

已于 2023-05-19 17:39:40 修改
阅读量1k 收藏 4
点赞数
分类专栏: 渗透测试技巧 文章标签: javascript 前端 服务器
于 2023-05-19 17:07:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32445755/article/details/130770249
版权

frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。

一般来说,frida检测由如下几个方面:

检测frida-server文件名
检测27042默认端口
双进程保护
检测D-Bus
检测/proc/pid/maps映射文件
检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status
前三种可以通过改文件名、改端口和以spawn模式启动过掉,检测D-Bus可以通过hook系统库函数,比如strstr、strcmp等等,最后两种检测可以更改frida-server的特征从而达到隐藏的效果
 

判断app是否对frida有检测

 frida -U -f 包名 --no-pause

以spawn模式启动应用,主要是为了过掉双进程保护 

spawn模式 

该模式下,主进程的参数要通过传参,才可把主进程的参数传入子进程中,子进程拷贝主进程的参数进行使用,不改变主进程参数 

检测frida-server文件名绕过

修改文件名 

  • 检测27042默认端口绕过

 修改frida转发端口

frida-server -l 127.0.0.1:8080

  • 双进程保护

 spawn模式启动

  • 检测/proc/pid/maps映射文件绕过

了解本专栏 订阅专栏 解锁全文 超级会员免费看
qq_1136014935
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
[车联网安全自学篇] ATTACK安全之Frida调试检测
橙留香Park的博客
11-25 1159
[车联网安全自学篇] ATTACK安全之Frida调试检测;在开始正式讲调试之前,我们先来了解一些基础知识逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全的渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握编译已编译的APK应用程序的能力、应用程序
360加固逆向脱壳之过调试-附件资源
03-02
360加固逆向脱壳之过调试-附件资源
Frida 反反调试, 内核img
08-09
Frida 反反调试, 内核img
Androidfrida注入检测的demo
08-14
Androidfrida注入检测的demo,端口检测,libc检测。
安卓 调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 7400
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app调试映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
游戏调试方案解析与frida/IDA框架分析
FairGuard手游加固(企业官方博客)
07-07 592
随着游戏安全对抗强度的提升,黑灰产的破解手段也进化为静态分析与动态调试相结合的形式。
Frida 反反调试
TF的博客
08-09 1326
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
学习笔记-Frida调试思路和hook native
人饭子的博客
11-11 2059
用户代码 native hook Frida调试反反调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 调试 17种的so的调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
Frida检测
Codeoooo 博客
06-15 1434
本例中针对的对象是 fridaserver,它通过 TCP 对外与 frida 通信,此时可以用 Java 遍历运行的进程列表从而检查 fridaserver 是否在运行。注意 `my_openat()` 等函数,它们并非平常的 libc 库函数,是自定义实现的,但是功能和 libc 中的一样,设置了系统调用的参数,执行了软中断。Frida 的各个模式都是用来注入的,我们可以利用的点就是 frida 运行时映射到内存的库。到这里总算是有效的方法了,只用 frida 的话也不容易绕过,加了混淆更难。
9种android安卓调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android的调试并有详细的代码实现。包括动态和静态调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试,Android逆向必备
AntiDebugandMemoryDump:Android的调试内存转储
03-04
调试和内存转储Android的调试内存转储此项目中使用了一些已知的调试内存转储技术。 重点是在不依赖Java API的情况下以隐身方式使用这些技术。 以下是使用的技术Java的调试JDWP在/ proc / self / ...
i茅台app逆向分析frida调试
zxc979647835的专栏
05-15 3149
frida的作用在逆向中尤其重要,一攻一防的frida调试定位带你一探究竟。文章仅供思路参考,请勿用作非法攻击
常见Frida检测方法+一个小Demo
qq_44885775的博客
04-16 2612
常见Frida检测方法+一个小Demo
Android逆向调试 - Frida 检测绕过
dafan0的博客
05-12 759
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
安卓逆向 - Frida调试绕过
weixin_42840266的博客
09-03 4984
1、使用Frida的魔改版本 Hluda来隐藏Frida特征,其介绍:跟随 FRIDA 上游自动修补程序,并为 Android 构建检测版本的 frida-server。使用方式跟官方Frida没有区别。Frida是非常优秀的一款 Hook框架,人红是非多,市面上很多app都有相应的检测方案。针对以上的检测方式,我们可以尝试改文件名,改端口,spawn启动,隐藏frida特征等方式来绕过检测。6、检测/proc/pid/task/tip/status。5、检测/proc/pid/maps映射文件。
过某交友软件frida调试
头铁逆向的旅程
06-30 6098
过某交友软件的frida检测
Android逆向——过frida检测+so层算法逆向
热门推荐
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
前端性能优化:提升网站加载速度的终极指南
最新发布
喔的嘛呀的博客
06-07 501
综上所述,通过以上优化方案和具体措施,我们可以有效地提升网站的加载速度,改善用户体验,提高转化率,从而在激烈的市场竞争中脱颖而出,取得更好的业绩和口碑。作为前端工程师,我们应该不断学习和探索,不断优化和提升网站性能,为用户创造更好的上网体验。
frida 伪造maps文件
07-28
伪造maps文件是一种绕过Frida检测的方法。通过修改FridaJavaScript脚本,可以使用Frida的API来伪造maps文件。引用\[3\]中的代码示例展示了如何使用Frida来伪造maps文件。 在这个示例中,通过替换libc.so中的open函数,当检测到pathname中包含"maps"时,会将读取到的maps文件内容写入到一个自定义的文件中,然后将该自定义文件的路径作为参数传递给open函数,从而达到伪造maps文件的目的。 这种方法可以绕过一些基于maps文件的Frida检测机制,因为伪造的maps文件中不会包含Frida相关的路径信息。但需要注意的是,这只是一种绕过检测的方法,并不能完全保证不被检测到。因为Frida的检测机制可能会不断更新,对于新的检测方法可能仍然会被检测到。 总之,伪造maps文件是一种绕过Frida检测的方法,但并不是绝对可靠的方法,使用时需要谨慎。 #### 引用[.reference_title] - *1* [过某交友软件frida调试](https://blog.csdn.net/weixin_56039202/article/details/125550281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [frida调试](https://blog.csdn.net/qq_32445755/article/details/130770249)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_1136014935

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值