frida反调试

已于 2023-05-19 17:39:40 修改
阅读量1.1k 收藏 4
点赞数
分类专栏: 渗透测试技巧 文章标签: javascript 前端 服务器
于 2023-05-19 17:07:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32445755/article/details/130770249
版权
本文介绍了如何应对针对frida的反调试检测,包括文件名检测、默认端口检测、双进程保护等。提出了改文件名、改端口、使用spawn模式以及hook系统库函数等绕过方法,并详细阐述了spawn模式的工作原理和如何伪造/proc/pid/maps文件以避免内存泄漏信息暴露。
摘要由CSDN通过智能技术生成

frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。

一般来说,frida检测由如下几个方面:

检测frida-server文件名
检测27042默认端口
双进程保护
检测D-Bus
检测/proc/pid/maps映射文件
检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status
前三种可以通过改文件名、改端口和以spawn模式启动过掉,检测D-Bus可以通过hook系统库函数,比如strstr、strcmp等等,最后两种检测可以更改frida-server的特征从而达到隐藏的效果
 

判断app是否对frida有检测

 frida -U -f 包名 --no-pause

以spawn模式启动应用,主要是为了过掉双进程保护 

spawn模式 

该模式下,主进程的参数要通过传参,才可把主进程的参数传入子进程中,子进程拷贝主进程的参数进行使用,不改变主进程参数 

检测frida-server文件名绕过

修改文件名 

了解本专栏 订阅专栏 解锁全文 超级会员免费看
qq_1136014935
关注
专栏目录
订阅专栏
[车联网安全自学篇] ATTACK安全之Frida调试检测
橙留香Park的博客
11-25 1244
[车联网安全自学篇] ATTACK安全之Frida调试检测;在开始正式讲调试之前,我们先来了解一些基础知识逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全的渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握编译已编译的APK应用程序的能力、应用程序
Frida 反反调试, 内核img
08-09
Frida 反反调试, 内核img
安卓逆向环境检测--frida
weixin_44348983的博客
06-26 2309
安卓、逆向、检测
学习笔记-Frida调试思路和hook native
人饭子的博客
11-11 2179
用户代码 native hook Frida调试反反调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 调试 17种的so的调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
Frida 反反调试
TF的博客
08-09 1830
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
过某交友软件frida调试
头铁逆向的旅程
06-30 6502
过某交友软件的frida检测
阶段一 - Frida 检测绕过
dafan0的博客
05-12 1761
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
常见Frida检测方法+一个小Demo
qq_44885775的博客
04-16 2984
常见Frida检测方法+一个小Demo
360加固逆向脱壳之过调试-附件资源
03-02
360加固逆向脱壳之过调试-附件资源
Androidfrida注入检测的demo
08-14
Frida是一种动态代码插桩工具,开发者和逆向工程师常常用它来对运行中的应用程序进行调试和分析。然而,这种工具也可能被恶意攻击者用于非法目的,如窃取数据或操控应用行为。因此,了解并实施AndroidFrida注入...
9种android安卓调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android的调试并有详细的代码实现。包括动态和静态调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试,Android逆向必备
FriDA_HOOK调试工具V1.6.zip
12-15
- **逆向工程**:在编译软件的基础上,利用FriDA Hook关键函数,了解软件工作原理。 FriDA的灵活性和强大功能使其在安全研究人员、逆向工程师和软件开发者中广受欢迎,通过学习和熟练使用,可以提升对复杂软件...
Android逆向——过frida检测+so层算法逆向
热门推荐
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
Frida常见检测方法
triplexlove的博客
04-28 1900
Frida检测相关文章:[翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com ptrace占坑 ptrace(0, 0 ,0 ,0); 开启一个子进程附加父进程 守护进程 子进程附加父进程 目的是不让别人附加 普通的多进程 进程名检测,遍历运行的进程列表,检测frida-server是否运行 端口检测,检测frida-server默认端口27042是否开放 D-Bus协议通信 Frida使用D-Bus协议通信,可以遍历/proc/net/t
i茅台app逆向分析frida调试
zxc979647835的专栏
05-15 3722
frida的作用在逆向中尤其重要,一攻一防的frida调试定位带你一探究竟。文章仅供思路参考,请勿用作非法攻击
绕过bili frida调试
头铁逆向的旅程
04-29 5214
绕过bilibili frida调试
使用frida来spawn Fork 的子进程
Qwertyuiop2016的博客
10-11 1011
这里不清楚为啥子进程没有在入口断点断住,不过影响不大,因为x64dbg会记忆断点位置,我只需要现在打上断点,那么在下次启动的时候就会自动断下,比如这里在SubProcess的x64dbg程序里用Ctrl+G跳转到printf函数并且打上断点。不过现在已经frida16了,这里面的代码也不能用了,得看github的最新代码:https://github.com/frida/frida-python/blob/main/examples/child_gating.py。已经启动了,不知道是哪里卡住了。
js中【Worker】相关知识点详细解读
最新发布
2301_79858914的博客
09-11 871
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
frida调试hook 知乎
06-21
Frida如何实现调试hook: 1. **Hooking API**:Frida提供了一个低级别的API,可以让你在特定的内存地址或函数上调用前或调用后插入自己的JavaScript代码。 2. **动态加载**:Frida不会在系统启动时就被加载,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_1136014935

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值