Frida和调试器共存的问题

最新推荐文章于 2023-11-30 17:01:38 发布
最新推荐文章于 2023-11-30 17:01:38 发布
阅读量4.1k 收藏 3
点赞数 8
分类专栏: FRIDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38851536/article/details/105087447
版权

当我们希望同时使用调试器与Frida时,这个问题就会出现——似乎无法同时使用调试器(诸如IDA,GDB)和Frida。这会带来一些不便,先说一下两者一同使用的好处:

IDA调试时,我们往往需要对App进行下拉、刷新、点击等操作从而触发需要调试的函数,很难保证每次情景都能复现(因为入参不同),也可能业务逻辑跑了好几圈才到我们的目标函数,很麻烦,调试时App还有失联的问题(手机以为App卡了,傻不拉几的提醒你要不要把这个App关了)。如果使用Frida主动调用我们想要调试的函数,那就完全不一样了。主动调用目标函数,既可以保证每一次重新调试时环境完全一样,数据流稳定,又不用担心App崩溃,稳定的一批。

为什么会出问题呢?这是因为大名鼎鼎的ptrace。Ptrace提供对进程追踪的功能,能在一个进程里观察与控制另一个进程的运行状态,Ptrace有许多用法,如下。

  • 编写调试器,如GDB
  • 反调试,一个进程只能被一个进程追踪,若此进程已被追踪,其他基于ptrace的追踪器将无法再追踪此进程,更进一步可以实现子母进程双线执行动态解密代码等更高级的反分析技术
  • 代码注入,往其他进程里注入代码。
    引自:https://blog.betamao.me/2019/02/02/Linux%E6%B2%99%E7%AE%B1%E4%B9%8Bptrace/

诸如GDB等调试器都重度依赖ptrace,而Frida恰巧也要用ptrace,一个进程不能被两个进程同时追踪,因此就会导致占用和堵塞,鱼和熊掌只能选其一。

调试器会使用ptrace是铁定的事实,Frida是啥时候使用ptrace的?我们测试一下,首先我们启动手机上的frida server,我的server习惯根据版本命名,你呢?
在这里插入图片描述
接下来选择测试App,我这边测试app为myend,读者也可以下载这个App试试,因为随便挑选商用App测试,很可能有反调试啥的,没有效果。(心累,现在App防护措施真是五花八门。)
启动myend这个app,先看一下进程ID,我这里是21554。

#Windows
frida-ps -U | findstr myend
#Linux/Mac
frida-ps -U | grep myend

在这里插入图片描述
然后查看这个进程的信息
在这里插入图片描述

cat /proc/{pid}/status

ptrace 为0,即意味着这个进程现在还没有被ptrace,接下来我们frida attach这个进程试一下。
在这里插入图片描述
再来看一下进程状况,你会发现TracerId依然为0,这是怎么回事呢?
Frida没用到ptrace?当然不是。Frida作者大胡子一句话就说的很清楚了——“Our injector needs to ptrace() the target briefly while attaching on Linux/Android.”,即attach app时只是短暂的使用了ptrace,就用了那么一下下,用完就detach分离掉了。

既然这样,是不是能先运行Frida,attach App,运行脚本,再用IDA/GDB调试即可?

我们使用Strace来测试一下,Strace 是Linux下的调试利器,它可以跟踪所有的系统调用,打印系统调用的参数和返回值,还可以指定跟踪子线程/子进程,andriod 使用了Linux操作系统,因此也可以使用strace。(ps.strace其实也是基于ptrace搞的。)

并不是所有的手机都自带strace,我们下载一下strace,根据自己的架构选择对应的文件,我这里选择arm64。

adb push 到/data/local/tmp下
adb push C:\Users\Lenovo\Downloads\strace /data/local/tmp
Strace有两种基本用法

  1. strace <elf_file> 启动该Elf程序,同时跟踪执行流程
  2. strace -p pid 对于已经启动的程序,通过-p参数attach,跟踪执行流程;

我们选择第二种,除此之外,我们还需要追踪其子线程以及过滤ptrace

-f: 同时追踪子进程的系统调用情况(如果是多线程程序的话,会同时追踪所有线程)。如果不加 -f 参数的话默认只追踪指定的单个进程。
-e : 过滤事件,只输出符合规则的事件,可以用来指定只看某些系统调用的情况
-p : 附加到进程中,记录某个进程的系统调用和进程信号信息。多个 -p 可以实现同时追踪多个进程。
Strace更多操作可以看这篇文章

接下来我们找一下Frida相关的进程,笔者对frida具体哪个线程起作用也不甚了解,我们ptrace这两个进程
在这里插入图片描述
在这里插入图片描述
接下来我们frida attach app,随便加载一个脚本
在这里插入图片描述
Strace内容如下,确实使用了一些ptrace,最后Detach结束了对进程的追踪。此后IDA就可以正常附加该App。
./mystrace -f -s 128 -e trace=ptrace -p 19487
我们知道,Frida脚本修改后,会自动进行热加载,重新注入新脚本,这个过程需要Ptrace吗?会不会因此和调试器冲突?我们%reload手动重新加载一下脚本,发现strace追踪的情况并无变化,呼,不影响,大功告成。

如果想实现更多花哨的操作,可以参考这个,对Frida server进行定制化编译。

后记:2020/3/25晚十点突然很饿,大吃两碗饺子,以及一大碗番茄,感觉很爽,我永远喜欢这样强烈的食欲,以及强烈的求知欲,强烈的,燃烧的,狂野的……各种各样的欲望。永远年轻,用于燃烧,永远热泪盈眶,永远狂热的追索。

白龙~
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
反调试 - ptrace占坑
dafan0的博客
05-12 356
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
frida汇总(待续)
最新发布
yangzex的专栏
12-07 415
bootstrapper 是一个在后台运行的进程,当 Frida 附加到一个正在运行的应用程序时,它会使用 ptrace 来劫持线程。然后,bootstrapper 会创建一个新线程,连接到设备上运行的 Frida 服务器,并加载一个包含 Frida 代理和我们的instrumentation 代码的动态生成的库。最后,这个被劫持的线程会被恢复到原来的状态并继续执行,进程也会继续正常运行。
移动安全面试题—hook技术
Andy0214的专栏
06-13 6554
Substrate 是一个跨平台的代码修改框架,支持 Android、iOS、macOS 和 Linux 等平台。它允许开发者在运行时修改目标程序的行为。实现原理:Substrate 的 hook 实现方式包括 Inline Hook 和 trampoline 技术。在 Android 平台上,Substrate 主要针对 native 层函数。通过修改目标函数的入口指令,插入跳转到自定义 hook 函数的指令。在 hook 函数中完成自定义操作后,通过 trampoline 跳回目标函数的下一条指令。
游戏反Frida注入检测方案
FairGuard手游加固(企业官方博客)
11-30 706
Frida 是一款动态插桩工具,可以将代码插入到原生 APP 的内存空间中,并进行动态调试与修改。
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
鬼鬼FriDA_hook注入调试工具,首次运行会初始化环境,暂不支持真机,需要设备ROOT权限,后续可能会更新支持真机! 软件介绍 不能用中文目录、、中文目录会报编码错误。。应该是PY
简单的frida检测思路
热门推荐
大数据安全技术学习
10-19 1万+
从inlinehook角度检测frida 总述 frida inline hook写法 检测libart是否使用inlinehook 检测libnative-lib是否使用inlinehook 从java hook 的角度检测frida 总结 从inlinehook角度检测frida 总述 在使用frida的过程中,在我的认知里其实frida只做了2件事情,一件是注入,一件是hook,作为注入的特征我们可以通过ptrace(PTRACE_TRACEME,NULL,0,0),或者从文件里面索引...
Frida常见检测方法
triplexlove的博客
04-28 1740
Frida检测相关文章:[翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com ptrace占坑 ptrace(0, 0 ,0 ,0); 开启一个子进程附加父进程 守护进程 子进程附加父进程 目的是不让别人附加 普通的多进程 进程名检测,遍历运行的进程列表,检测frida-server是否运行 端口检测,检测frida-server默认端口27042是否开放 D-Bus协议通信 Frida使用D-Bus协议通信,可以遍历/proc/net/t
frida动态调试入门01——定位关键代码
菜鸟学安全的博客
08-31 1253
frida是一款Python工具可以方便对内存进行hook修改代码逻辑在移动端安全和逆向过程中常用到。
frida动态调试入门02——hook加密函数
菜鸟学安全的博客
09-01 1002
frida是一款Python工具可以方便对内存进行hook修改代码逻辑在移动端安全和逆向过程中常用到。
Frida 反反调试, 内核img
08-09
Frida 反反调试, 内核img
Android反frida注入检测的demo
08-14
Frida是一种动态代码插桩工具,开发者和逆向工程师常常用它来对运行中的应用程序进行调试和分析。然而,这种工具也可能被恶意攻击者用于非法目的,如窃取数据或操控应用行为。因此,了解并实施Android反Frida注入...
荣耀8编译内核,支持frida调试
12-16
荣耀8使用frida提示:frida的时候报 Failed to attach: remote_write PTRACE_POKEDATA head failed: 5,通过编译内核修改以支持frida
FriDA_HOOK调试工具V1.6.zip
12-15
**FriDA_HOOK调试工具V1.6.zip** 是一个包含**FriDA_HOOK调试工具V1.6.exe** 文件的压缩包,主要用于动态代码插桩(Dynamic Code Probing)和逆向工程(Reverse Engineering)。FriDAFrIDA)是一个强大的开源框架...
android绕过反调试方法,安卓|使用ptrace绕过ptrace反调试(二)
weixin_35171513的博客
05-26 1655
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
Frida Hook Android framework system_server插桩调试方法
guohuaqu的博客
05-11 2347
Frida Hook Android framework system_server插桩调试方法 已有环境: Ubuntu20.04.1 使用工具: VS code Python3 概述:由于本人的工作调整,所以最近要转战到framework层开发,因此调试framework就成了重中之重,但是在源码中修改代码和添加log,再编译烧录到机器上,这一套流程下去,费时费力,尤其开发人员又受限于后台服务器的安全设定,那就更难受,并且效率十分低下,如果在源码开放的情况下,使用AS断点,也是不错..
frida的用法--Hook
技术超强的网络安全平台
08-09 619
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。
基于Frida的桌面客户调试工具Dwarf的简单使用
小Y的博客
03-11 3063
介绍 Dwarf本质上是一款调试器,这个项目起初知识想使用PyQt来给Frida增加一个有好的UI界面,并且主要用于Android端。但是通过开发人员的努力之后,该工具已经支持iOS端了。目前,得益于整个社区的共同努力,该工具已完全开源,并且支持对任何类型的操作系统进行分析,并运行在任意桌面端操作系统。 更详尽的介绍可参考:https://www.freebuf.com/sectool/21212...
IDA 和 frida 同时使用会出现的现象
qq_36535153的博客
08-25 447
1.首先是IDA 载入so 然后程序没有运行时的状态 2.程序跑起来的状态 点击YES 程序能正常运行 但是程序断住了 继续F9 正常运行 3 frida 能正常打印信息 为什么会这样 是因为有两个程序注入了一个进程的原因吗 ? 搞不懂 ...
Pyenv——多版本Python/Frida管理工具的安装
WuYu_AS的博客
08-01 1083
目录一、前言二、环境介绍三、Pyenv-Win的安装3.1 python的安装3.2 安装pyenv-win四、Pyenv-Win的使用4.1 安装的其他版本Python4.2 使用不同的Python版本    一、前言   逆向分析一款APP,有时候会在不同的Android系统上进行,那么对Frida的版本有一定的要求,比如Android 8.1 适合Frida12.8.X 系列的,Android 10 适合Frida 14以上的,那么不断的重复安装是没有效率的事情,所以需要能简单管理多个Python.
Frida动态调试
06-02
Frida 是一款强大的动态分析工具,可以用于在运行时对应用程序进行动态修改,例如 Hook 某些函数、修改函数的返回值、修改变量的值等。下面是使用 Frida 进行动态调试的步骤: 1. 安装 Frida:在命令行中使用 pip install frida 进行安装。 2. 在需要进行动态调试的应用程序中添加 Frida 的依赖:在 Gradle 文件中添加以下依赖: ``` implementation 'com.github.frida:frida-gson:12.4.5' implementation 'com.github.frida:frida-android:12.4.5' ``` 3. 在应用程序中初始化 Frida: ``` FridaAndroid.initialize(); ``` 4. 在需要进行动态调试的地方添加 Frida 的 Hook 代码: ``` FridaAndroid.attach(this); FridaAndroid.executeJavaScript("Interceptor.attach(Module.findExportByName(null, '函数名'), {onEnter: function(args) {console.log('参数1:', args[0].readCString());console.log('参数2:', args[1].readCString());}});"); ``` 其中,函数名为需要进行动态调试的函数名。 5. 运行应用程序,并在命令行中使用 Frida 的命令进行 Hook: ``` frida -U com.example.packagename -l hook.js --no-pause ``` 其中,com.example.packagename 为需要进行动态调试的应用程序的包名,hook.js 为 Hook 代码所在的 JavaScript 文件。 6. 在命令行的输出中查看 Hook 的结果,以及在 Android Studio 的 Logcat 中查看输出信息。 需要注意的是,在使用 Frida 进行动态调试时,需要先将应用程序安装在设备上,并且需要在设备上启动应用程序后才能进行动态调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值