android frida检测绕过

已于 2023-06-08 20:15:36 修改
阅读量7.1k 收藏 25
点赞数 7
分类专栏: Android逆向 文章标签: android frida hook
于 2023-06-08 20:15:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37431937/article/details/131114434
版权

Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:

  1. 使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。

  2. 使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。

  3. 使用Frida Gadget:Frida Gadget是一个用于Frida检测的小型应用程序,可以帮助您绕过检测。将其与Frida一起使用,可以帮助您实现高级的安卓逆向技术。

 apk案例分析

在使用frida 附加时候发现进程退出,我们首先查看是在哪里结束进程的

function hook_dlopen() {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    console.log("load " + path);
                }
            }
        }
    );
}

 通过 dlopen可以发现在模块libnative-lib.so 执行处进程结束

 分析模块libnative-lib.so,找关键位置

 有两处位退出进程位置函数 check_loop通过maps 内存中的关键字符串查找检测frida.

void __fastcall __noreturn check_loop(void *a1)
{
    for ( i = 0; ; ++i )
    {
        fd = open("/proc/self/maps", 0);
        if ( fd >= 1 )
        {
            while ( read(fd, buf, 0x200u) >= 1 )
            {
                v11 = buf;
                v10 = "frida";
                haystack = buf;
                needle = "frida";
                if ( strstr(buf, "frida") )
                {
                    v1 = getpid();
                    kill(v1, 9);
                }
                if ( sscanf(buf, "%x-%lx %4s %lx %*s %*s %s", &buf[516], &buf[512], &v5, &v4, s) == 5
            && v5 == 114
            && v6 == 112
            && !v4 )
                {
                    strlen(s);
                }
            }
        }
        close(fd);
        sleep(1u);
    }
}

 通过断点标记这两处进程退出位置方便后续返回查看

修改位置有两处,直接IDA keypath nop掉重打包,或这利用frida hook.下面用frida hook方式nop掉结束进程的两处关键点  

1.nop 掉0x9498处exit调用

 2.nop 掉0x92C2处kill

 实现代码如下

//指令输出
function dis(address, number) {
    for (var i = 0; i < number; i++) {
        var ins = Instruction.parse(address);
        console.log("address:" + address + "--dis:" + ins.toString());
        address = ins.next;
    }
}
/*call_function
 static void call_function(const char* function_name __unused,
                           linker_ctor_function_t function,
                           const char* realpath __unused       //加载的当前模块路径
) 
  }*/

function hook() {
    //call_function("DT_INIT", init_func_, get_realpath());
    var linkermodule = Process.getModuleByName("linker");
    var call_function_addr = null;
    var symbols = linkermodule.enumerateSymbols();
    for (var i = 0; i < symbols.length; i++) {
        var symbol = symbols[i];
        if (symbol.name.indexOf("__dl__ZL13call_functionPKcPFviPPcS2_ES0_") != -1) {
            call_function_addr = symbol.address;
        }
    }
    Interceptor.attach(call_function_addr, {
        onEnter: function (args) {
            var type = ptr(args[0]).readUtf8String();
            var address = args[1];
            var sopath = ptr(args[2]).readUtf8String();
            console.log("loadso:" + sopath + "--addr:" + address + "--type:" + type);
            if (sopath.indexOf("libnative-lib.so") != -1) {
                var libnativemodule = Process.getModuleByName("libnative-lib.so");
                var base = libnativemodule.base;

                //nop kill
                //    .text:000092BA                 B               loc_92BC
                //    .text:000092BC ; ---------------------------------------------------------------------------
                //    .text:000092BC
                //    .text:000092BC loc_92BC                                ; CODE XREF: check_loop(void *)+5E↑j
                //    .text:000092BC                 BLX             getpid
                //    .text:000092C0                 MOVS            R1, #9  ; sig
                //    .text:000092C2                 BLX             kill
                console.log("---------------- nop kill begin -------------")
                dis(base.add(0x92BA).add(1), 10);
               //方式一修改内存
               // Memory.protect(base.add(0x92C2), 4, 'rwx');
               // base.add(0x92C2).writeByteArray([0x00, 0xbf, 0x00, 0xbf]);
                //方式二修改内存
                var patchaddr=base.add(0x92C2);
                Memory.patchCode(patchaddr, 4, patchaddr => {
                    var cw = new ThumbWriter(patchaddr);
                    cw.putNop();
                    var cw = new ThumbWriter(patchaddr.add(0x2));
                    cw.putNop();
                    cw.flush();
                  });
                console.log("++++++++++++ nop kill end   +++++++++++++")
                dis(base.add(0x92BA).add(1), 10);
                // nop exit
                //   .text:0000948E                 CMP             R0, #0
                //   .text:00009490                 BEQ             loc_949C
                //   .text:00009492                 B               loc_9494
                //   .text:00009494 ; ---------------------------------------------------------------------------
                //   .text:00009494
                //   .text:00009494 loc_9494                          ; CODE XREF: anti_frida_loop(void)+26↑j
                //   .text:00009494                 MOV.W           R0, #0xFFFFFFFF ; status
                //   .text:00009498                 BLX             exit
                console.log("--------------- nop exit begin -------------")
                dis(base.add(0x948E).add(1), 10);  //keystone
                Memory.protect(base.add(0x9498), 4, 'rwx');
                base.add(0x9498).writeByteArray([0x00, 0xbf, 0x00, 0xbf]);
                console.log("+++++++++++++++ nop exit end   +++++++++++++")
                dis(base.add(0x948E).add(1), 10);
            }
        }
    })
}
function main(){
  hook();
}
setImmediate(main);

 总结:

绕过Frida检测的方法有很多种,以下是一些可能的方法:

1. 使用Frida Bypass插件:这是一款Frida插件,可以自动绕过Frida检测,并让Frida无法对应用程序进行监控。

2. 使用Frida Gadget库:这是一个动态Frida库,可以在运行时注入Frida,以避免被检测到。

3. 修改应用程序代码:通过修改应用程序代码,可以让Frida无法监控应用程序。

4. 使用防检测框架:有些防检测框架可以绕过Frida的检测,例如Xposed框架、VirtualXposed、Magisk等。

5. 使用其他工具:除了Frida,还有其他工具可以用来监控应用程序,例如Xposed、Cydia Substrate等。如果使用这些工具,Frida将无法监控应用程序。

PwnGuo
关注
  • 7
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
安卓逆向之frida检测必备攻略
云霄IT的博客
04-24 2183
frida检测大全
frida检测
05-24
hluda版frida 抹掉frida特征 过检测必备 过frida检测
安卓逆向 - Frida反调试绕过
weixin_42840266的博客
09-03 4340
1、使用Frida的魔改版本 Hluda来隐藏Frida特征,其介绍:跟随 FRIDA 上游自动修补程序,并为 Android 构建反检测版本的 frida-server。使用方式跟官方Frida没有区别。Frida是非常优秀的一款 Hook框架,人红是非多,市面上很多app都有相应的检测方案。针对以上的检测方式,我们可以尝试改文件名,改端口,spawn启动,隐藏frida特征等方式来绕过检测。6、检测/proc/pid/task/tip/status。5、检测/proc/pid/maps映射文件。
frida常用检测点及其原理
菜鸡小白的成长记录
03-07 1095
frida常用检测点及其原理
DetectFrida:检测AndroidFrida
05-09
DetectFrida 这个项目有3种方法来检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
Android逆向——过frida检测+so层算法逆向
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
Frida常见检测方法
triplexlove的博客
04-28 1558
Frida检测相关文章:[翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com ptrace占坑 ptrace(0, 0 ,0 ,0); 开启一个子进程附加父进程 守护进程 子进程附加父进程 目的是不让别人附加 普通的多进程 进程名检测,遍历运行的进程列表,检测frida-server是否运行 端口检测检测frida-server默认端口27042是否开放 D-Bus协议通信 Frida使用D-Bus协议通信,可以遍历/proc/net/t
免root使用frida-gadget去除autojs主流应用限制
qq_42805977的博客
01-05 4670
最近在研究frida-gadget,意识到安卓里,当可以在进程内运行代码时,实际上就拥有了与开发者同等的对进程的控制权。利用fridahook能力,可以在autojs,AIDE达到类似xposed的功能。恰好之前研究过autojs去除主流应用限制的方法,于是使用frida重写并分享出来。 获取并配置frida-gadget 首先在github下载合适的frida-gadget 这里主要是选择合适的架构。 下载后解压并重命名获得frida-gadget.so(名字可以随便取,但必须和配置文件名保持一致)
绕过bili frida反调试
头铁逆向的旅程
04-29 4386
绕过bilibili frida反调试
简单的frida检测思路
热门推荐
大数据安全技术学习
10-19 1万+
从inlinehook角度检测frida 总述 frida inline hook写法 检测libart是否使用inlinehook 检测libnative-lib是否使用inlinehook 从java hook 的角度检测frida 总结 从inlinehook角度检测frida 总述 在使用frida的过程中,在我的认知里其实frida只做了2件事情,一件是注入,一件是hook,作为注入的特征我们可以通过ptrace(PTRACE_TRACEME,NULL,0,0),或者从文件里面索引...
基于Android9的非root环境下frida-gadget持久化
Qiled的博客
02-27 5342
基于aosp9的frida-gadget持久化方案.
Androidfrida注入检测的demo
08-14
Androidfrida注入检测的demo,端口检测,libc检测
apkpatcher:此脚本自动执行使用 frida-gadget 修补 apk 的任务
05-29
APK修补程序 开发该工具的主要目的是自动将Frida Gadget插入APK中,但在反转Android应用程序的同时,也可以帮助完成其他常见任务。 Frida网站: : 弗里达(Frida Github): : 特征 自动在APK中插入Frida小工具库,因此您可以在没有root的情况下使用Frida- 配置Frida小工具以自动加载挂钩javascript文件,而无需使用frida客户端 在 APK 中插入允许应用程序使用用户证书颁发机构的网络配置 - 在繁琐的反编译,修改代码,重新打包,辞职和zipalign任务中提供帮助 如何安装 依存关系 唯一的 Python 依赖项是requests ,用于解析 Github API 以下载 Frida Gadgets。 但是为了使脚本正常工作,还需要其他一些工具。 确保在PATH环境变量中安装并正确配置了以下工具: fri
hluda,绕过frida检测
11-17
去掉frida检测绕过frida检测,各个各个版本都有。
Frida-Scripts:iOS越狱检测绕过Frida脚本
05-19
弗里达脚本iOS越狱检测绕过Frida脚本脚本名称脚本说明跳过_ * isJailbroken.js 枚举绕过_isJailbroken.js 定义
Android --- 英文单引号用&apos;替换报错:does not contain a valid string resource
梁同学与Android
04-23 254
Android --- 英文单引号用&apos;替换报错:does not contain a valid string resource
Android 14 transtion 动画流程
u012627628的博客
04-24 1035
implements Transitions.TransitionHandler 的对象都会调用到startAnimation。根据上步计算出来的sortedTargets计算要做的动画TransitionInfo。此列表在开始做动画时候会判断里面的key,value是否满足做动画的条件。将符合条件的changeInfo添加到targets 返回。计算所有的到mChanges。
如何使用PHP进行图片处理?
最新发布
Xs_layla的博客
04-26 474
如何使用PHP进行图片处理?使用PHP进行图片处理是一项强大的功能,它可以让你在服务器端对图像进行各种操作,如裁剪、缩放、添加水印、调整颜色等。这通常通过使用GD库或Imagick扩展来实现。下面将详细介绍如何使用PHP和这两个工具进行图片处理。
安卓aab文件生成apk文件
ma15991375491的博客
04-24 431
比如我们在手机上经常下载的的各种APP,其实一个Android应用程序的代码想要在Android设备上运行,必须先进行编译,然后被打包成为一个被Android系统所能识别的文件才可以被运行,而这种能被Android系统识别并运行的文件格式便是“APK”。一个APK文件内包含被编译的代码文件(.dex 文件),文件资源(resources), 原生资源文件(assets),证书(certificates),和清单文件(manifest file)严格来说,两者没有什么区别,后者是前者的一种升级版格式文件。
frida 过端口检测
12-01
Frida是一款功能强大的开源工具,用于动态分析、调试和修改应用程序。它可以在不修改应用程序源代码的情况下,以细粒度的方式对应用程序进行调试和修改。Frida支持多种操作系统和架构,并且可以通过不同的传输协议与目标应用程序进行通信。 在Frida中,过端口检测是一种用于确定目标应用程序正在监听哪些端口的技术。通过过端口检测,我们可以查找应用程序正在使用的网络接口和服务,了解应用程序正在与哪些主机进行通信。 Frida使用了一种被称为“frida-trace”的命令行工具来实现端口检测功能。在使用该工具时,我们可以指定目标应用程序的名称或进程ID,并且可以过滤出我们感兴趣的特定端口。 通过以下步骤可以进行frida的过端口检测: 1. 安装Frida框架并设置环境变量。 2. 打开终端或命令提示符,输入命令“frida-trace -R <应用程序名称或进程ID>”并按下回车键。这将启动Frida-trace工具,并将其连接到目标应用程序。 3. 输入命令“<函数名称>@@<库名称>”来指定要追踪的函数和库。例如,如果我们要追踪应用程序中的“connect”函数,可以输入命令“connect@@libc.so”。 4. 按下回车键后,Frida-trace将开始追踪指定的函数,并显示与该函数相关的网络连接信息,包括本地IP地址、本地端口、远程IP地址和远程端口。 通过frida进行端口检测可以帮助我们深入了解应用程序的网络行为,发现可能存在的安全风险或潜在的漏洞。同时,它还可以用于调试网络通信问题和分析应用程序与服务器之间的通信协议。 需要注意的是,在进行端口检测时,我们应该遵守相关的法律法规,并且只在合法授权的范围内使用Frida工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值