frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。
一般来说,frida检测由如下几个方面:
检测frida-server文件名
检测27042默认端口
双进程保护
检测D-Bus
检测/proc/pid/maps映射文件
检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status
前三种可以通过改文件名、改端口和以spawn模式启动过掉,检测D-Bus可以通过hook系统库函数,比如strstr、strcmp等等,最后两种检测可以更改frida-server的特征从而达到隐藏的效果
判断app是否对frida有检测
frida -U -f 包名 --no-pause
以spawn模式启动应用,主要是为了过掉双进程保护
spawn模式
该模式下,主进程的参数要通过传参,才可把主进程的参数传入子进程中,子进程拷贝主进程的参数进行使用,不改变主进程参数
检测frida-server文件名绕过
修改文件名