常见Frida检测方法+一个小Demo

最新推荐文章于 2024-03-07 22:55:38 发布
最新推荐文章于 2024-03-07 22:55:38 发布
阅读量2.5k 收藏 7
点赞数 1
分类专栏: 网络安全 文章标签: 安全
原文链接:https://mp.weixin.qq.com/s/auxODmgb7FBC5JFaGmAZEQ
版权

常见Frida检测方法+一个小Demo

Frida检测方法

最近研究了一下常见的Frida检测方法,本文对其中一些比较简单的检测进行了一些记录,并且提供了一个检测的Demo,由于本人C语言水平极菜所以写出来的Demo也比较水,代码方面大家可以稍作参考。另外安装包使用了最简单的混淆和默认OLLVM方案,供小伙伴门试水。

D-Bus

属于比较常用的一种检测方式,fridaserver是使用 D-Bus 协议通信,我们为每个开放的端口发送 D-Bus 的认证消息,哪个端口回复了哪个就是 fridaserver,但是此方法需要的时间会比较长,一般来讲如果出现一个App启动后过了一会就退出那么就有可能是这种检测方案。

for(i = 0 ; i <= 65535 ; i++) {
    sock = socket(AF_INET , SOCK_STREAM , 0);
    sa.sin_port = htons(i);
    if (connect(sock , (struct sockaddr*)&sa , sizeof sa) != -1) {
        __android_log_print(ANDROID_LOG_VERBOSE, APPNAME,  "FRIDA DETECTION [1]: Open Port: %d", i);
        memset(res, 0 , 7);
        // send a D-Bus AUTH message. Expected answer is “REJECT"
        send(sock, "\x00", 1, NULL);
        send(sock, "AUTH\r\n", 6, NULL);
        usleep(100);
        if (ret = recv(sock, res, 6, MSG_DONTWAIT) != -1) {
            if (strcmp(res, "REJECT") == 0) {
               /* Frida server detected. Do something… */
            }
        }
    }
    close(sock);
}

进程名

进程名方式检测在高版本Android上是无法使用的,目前使用这种方式检测frida的基本上已经没有了,这种检测方案基本上是没有意义的。

// Android5.1以上无效
public boolean checkRunningProcesses() {
  boolean returnValue = false;
  // Get currently running application processes
  List<RunningServiceInfo> list = manager.getRunningServices(300);
  if(list != null){
    String tempName;
    for(int i=0;i<list.size();++i){
      tempName = list.get(i).process;
      if(tempName.contains("fridaserver")) {
        returnValue = true;
      }
    }
  }
  return returnValue;
}
public static synchronized boolean mCheckFridaShell() {
  String rsp = "";
  synchronized (CheckFrida.class) {
    if (Build.VERSION.SDK_INT < 26) {
      rsp = shellExec("ps");
    } else {
      rsp = shellExec("ps -ef");
    }
  }
  return rsp.contains("frida");
}

默认端口

比较低级的检测方案,frida默认端口27047,通过检测默认端口是否开放来检测frida是否开启,只需要启动时指定端口即可绕过,也属于没有太多意义的检测方案。

boolean is_frida_server_listening() {
    struct sockaddr_in sa;
    memset(&sa, 0, sizeof(sa));
    sa.sin_family = AF_INET;
    sa.sin_port = htons(27047);
    inet_aton("127.0.0.1", &(sa.sin_addr));
    int sock = socket(AF_INET , SOCK_STREAM , 0);
    if (connect(sock , (struct sockaddr*)&sa , sizeof sa) != -1) {
      
    }
}

默认路径

frida默认会在/data/local/tmp/re.frida.server/frida-agent-64.so中存放frida-agent,可以查找此路径下是否存在对应文件,也属于比较初级的检测方案,使用去除了特征的frida即可绕过

new File("/data/local/tmp/re.frida.server/frida-agent-64.so").exists()

maps

frida在注入App后会在maps中显示frida的frida-agent.so的内存信息,可以通过搜索特征字符串来检测frida。目前大佬们的去特征的frida一般会使用随机so名称,此时也可以通过查找maps文件内存信息中是否存在一些满足某些条件的特征路径,如data/local/tmp

char line[512];
FILE* fp;
fp = fopen("/proc/self/maps", "r");
if (fp) {
    while (fgets(line, 512, fp)) {
        if (strstr(line, "frida")) {
           
        }
    }
    fclose(fp);
    } else {
       
    }
}

内存扫描库特征

其实也是maps中的特征信息

static char keyword[] = "LIBFRIDA";
num_found = 0;
int scan_executable_segments(char * map) {
    char buf[512];
    unsigned long start, end;
    sscanf(map, "%lx-%lx %s", &start, &end, buf);
    if (buf[2] == 'x') {
        return (find_mem_string(start, end, (char*)keyword, 8) == 1);
    } else {
        return 0;
    }
}
void scan() {
    if ((fd = open(AT_FDCWD, "/proc/self/maps", O_RDONLY, 0)) >= 0) {
    while ((read_one_line(fd, map, MAX_LINE)) > 0) {
        if (scan_executable_segments(map) == 1) {
            num_found++;
        }
    }
    if (num_found > 1) {
        
    }
}

查看tcp连接信息

frida-server启动后/proc/net/tcp和/proc/net/tcp6中会有特殊标识:69a2,可以通过搜索tcp中的字符串来检测frida是否启动

public static boolean mCheckFridaTcp(){
  String[] stringArrayTcp6;
  String[] stringArrayTcp;
  String tcpStringTcp6 = mReadFile("/proc/net/tcp6");
  String tcpStringTcp = mReadFile("/proc/net/tcp");
  boolean isFridaExits = false;
  if(null != tcpStringTcp6 && !"".equals(tcpStringTcp6)){
    stringArrayTcp6 = tcpStringTcp6.split("\n");
    for(String sa : stringArrayTcp6){
      if(sa.toLowerCase().contains(":69a2")){
        Log.e(TAG,"tcp文件中发现Frida特征");
        isFridaExits = true;
      }
    }
  }
  if(null != tcpStringTcp && !"".equals(tcpStringTcp)){
    stringArrayTcp = tcpStringTcp.split("\n");
    for(String sa : stringArrayTcp){
      if(sa.toLowerCase().contains(":69a2")){
        Log.e(TAG,"tcp文件中发现Frida特征");
        isFridaExits = true;
      }
    }
  }
  return isFridaExits;

status文件特征

frida注入App后在App的/proc/self/task/pid/status文件中会存在一些frida的特征信息,如gmain、pool-frida、gdbus,可以通过这些特征进行检测,根据目前做过的几个检测来看,这还是比较常用的方法,一些人脸识别的SDK会用到此检测方案。

status

if (strstr(line, "frida") || strstr(line, "gum-js") || strstr(line, "gmain")) {
  fclose(fp);
  rst = filepath;
  strcat(rst, "==>");
  strcat(rst, line);
  return rst;
}

另外,以上检测方法检测皆使用系统函数读取文件和进行检测,实际应用中有很多检测方案会自己通过汇编实现读取文件或者比对方法,此时就需要对具体情况进行具体分析。

本文目前仅记录了比较简单的检测点和NB

最后:

如果需要下载测试Demo可到星球自取

参考文献

[翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com[1]

详解Android studio ndk配置cmake开发native C - 博客 - 编程圈 (bianchengquan.com)[2]

darvincisec/DetectFrida: Detect Frida for Android (github.com)[3]

引用链接

[1] 翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com: https://bbs.pediy.com/thread-217482.htm
[2] 详解Android studio ndk配置cmake开发native C - 博客 - 编程圈 (bianchengquan.com): https://www.bianchengquan.com/article/28252.html
[3] darvincisec/DetectFrida: Detect Frida for Android (github.com): https://github.com/darvincisec/DetectFrida

罗汉翔
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
frida检测
05-24
hluda版frida 抹掉frida特征 过检测必备 过frida检测
Frida检测
Codeooo 博客
09-02 1万+
检查 Frida 的痕迹 一种简易方法检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 fridaserver,它通过 TCP 对外与 frida 通信,此时可以用 Java 遍历运行的进程列表从而检查 fridaserver 是否在运行。 2 3 4 5 6 7 8 9 10 11 12 13 14 15
frida常用检测点及其原理
最新发布
菜鸡小白的成长记录
03-07 1248
frida常用检测点及其原理
douyin_search:Frida_rpc + Flask简单实现抖音搜索接口
04-24
douyin_search frida rpc + Flask简单实现抖音搜索接口 运行演示:
Android反frida注入检测demo
08-14
Android反frida注入检测demo,端口检测,libc检测
配置Frida+BurpSuite+Genymotion 绕过Android
03-31
配置Frida+BurpSuite+Genymotion, 绕过Android SSL Pinning-Configuring Frida with BurpSuite and Genymotion to bypass SSL Pinning
DetectFrida:检测Android的Frida
05-09
DetectFrida 这个项目有3种方法检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
Frida快速入门/OD/CE/IDA/Python/TS/JS
06-13
Frida是一款免费的,基于Python和JavaScript来实现的,面向开发人员、逆向工程师和安全研究人员的动态检测工具包。 Frida拥有一套全面的测试套件,不但调试效率极高,而且在广泛的使用中经历了多年严格的测试。 尤其是,移动应用安全测试和服务巨头NowSecure对齐钟爱有加,在NowSecure内部,安全人员通过Frida这个工具套装,已经完成对大量的移动应用程序大规模深度的安全分析测试。目前依然在该公司的安全测试中扮演重要的角色。 基于Python和JavaScript的Frida,天生就是跨平台的动态调试工具,不但可以运行在Windows、Linux、macOS之上,而且还可以调试Windows应用程序、Linux应用程序,macOS、iOS、Andriod和QNX等几乎全平台的应用程序。可以说,一旦掌握Frida这套工具,就可以在全平台,对全平台的应用程序进行动态调试和分析。 Frida使用极其方便,在使用过程中,只需将你编写的JavaScript脚本通过Frida自身的工具注入到目标进程中,就可以HOOK任何功能,其中包括但不限于监视加密API或跟踪应用程序关键代码等。在使用过程中,无需知道被“研究”程序的源代码。 尤其是可以一边编辑JavaScript脚本,一边运行JavaScript脚本的功能对于调试分析来说极为友好。只需“保存”正在编辑的JavaScript脚本,就立即就能看到该脚本执行的结果,全称无需其它人工介入,也无需重新启动被“研究”的应用程序,极大地简化了分析流程,同时也极大地提高了工作效率。因此,得到了众多安全分析人士的青睐。 本课程从最基本的调试环境搭建开始,基于经典的Windows“扫雷”游戏的动态调试分析,编码等,循序渐进演示Firda在分析调试Windows应用程序中基本使用方法和技巧。拥有这些知识储备之后,在加上官方的参考文档,你就可以轻松地将这些知识“迁移”至分析和调试其他平台的应用程序。 课程资料,请看第一课中github链接。
Frida常见检测方法
triplexlove的博客
04-28 1622
Frida检测相关文章:[翻译]多种特征检测 Frida-外文翻译-看雪论坛-安全社区|安全招聘|bbs.pediy.com ptrace占坑 ptrace(0, 0 ,0 ,0); 开启一个子进程附加父进程 守护进程 子进程附加父进程 目的是不让别人附加 普通的多进程 进程名检测,遍历运行的进程列表,检测frida-server是否运行 端口检测检测frida-server默认端口27042是否开放 D-Bus协议通信 Frida使用D-Bus协议通信,可以遍历/proc/net/t
简单的frida检测思路
大数据安全技术学习
10-19 1万+
从inlinehook角度检测frida 总述 frida inline hook写法 检测libart是否使用inlinehook 检测libnative-lib是否使用inlinehook 从java hook 的角度检测frida 总结 从inlinehook角度检测frida 总述 在使用frida的过程中,在我的认知里其实frida只做了2件事情,一件是注入,一件是hook,作为注入的特征我们可以通过ptrace(PTRACE_TRACEME,NULL,0,0),或者从文件里面索引...
Android逆向——过frida检测+so层算法逆向
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
Frida 使用指导
fight4fun的博客
12-30 3356
1. Frida概况 frida一个 hook 框架 可以在不改动目标源码的情况下,动态查看函数运行入参,返回值,注入代码,更程序逻辑。 黑客可以用hook框架做逆向,分析和利用应用漏洞,进行非法操作。 开发者可以hook自己的应用进程,查看API接口入参,返回值。如果应用出现问题可以通过此方法打印信息,不需要额外增加日志,简单方便。 hook代码使用 js 脚本实现,借助 python ...
Frida用法详解【附用例】
热门推荐
weixin_35016347的博客
01-16 2万+
文章目录0x01 工具安装0x02 设备环境配置(Android)0x03 命令行运行0x04 Python脚本运行0x05 基本使用0x06 开发用例 Frida,是一个类似 Xposed/Substrate 的跨平台、动态、插装工具,借助 python 和 javascript,可以非常快速便捷地操作目标进程、修改函数参数返回值等,支持 Android/iOS/Macos/Linux/Wind...
android frida检测绕过
PwnGuo的博客
06-08 7361
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
frida检测和应对
signature=的博客
12-05 858
检测Frida的SSL Pinning绕过:Frida可以用来绕过应用程序的SSL Pinning机制,使得对网络通信的拦截和劫持变得可能。例如,可以检测Frida使用的提升权限的API调用、Frida运行时注入的代码等。检测Frida的远程调用:Frida可以通过网络进行远程调用,因此可以用于攻击应用程序的远程接口。这些机制可以通过验证函数的哈希值或签名来确保函数的完整性。应对方法:应用程序可以使用更强大的SSL Pinning机制,如使用自定义的根证书和证书链验证工具,以防止Frida的绕过行为。
种特征检测 Frida
键盘的起始页
08-20 1039
Frida 在逆向工程狮中很受欢迎,你基本可以在运行时访问到你能想到的任何东西,内存地址、native 函数、Java 实例对象等。在 OWASP 的移动测试指南里就提到了 Frida。但是啊,每出来个好用的注入工具,都会有反注入、反反注入、反反反注入、反...注入。这篇文章要介绍的是 Android APP 检测 Frida方法。 检查 Frida 的痕迹 一种简易方法检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 f
安卓逆向之frida检测必备攻略
云霄IT的博客
04-24 2308
frida检测大全
frida检测 笔记
碎片的博客
08-22 1233
怎么过frida检测???
过某交友软件frida反调试
头铁逆向的旅程
06-30 6055
过某交友软件的frida检测
frida 实例化一个
06-02
在 JavaScript 中,可以使用 `Java.use(className)` 方法实例化一个 Java 类。例如,如果要实例化 Android 平台上的 `android.app.Activity` 类,可以使用以下代码: ```javascript const Activity = Java.use('android.app.Activity'); const activityInstance = Activity.$new(); ``` 在 Frida 脚本中,通常需要先使用 `Java.choose()` 方法选择一个已经存在的实例,然后再使用 `$new()` 方法创建新的实例。例如: ```javascript Java.perform(function () { const Activity = Java.use('android.app.Activity'); Java.choose('android.app.Activity', { onMatch: function (instance) { console.log('Found instance:', instance); const newActivityInstance = Activity.$new(); console.log('New instance:', newActivityInstance); return; }, onComplete: function () { console.log('Search completed.'); return; }, }); }); ``` 这个例子中,我们使用 `Java.choose()` 方法匹配所有的 `android.app.Activity` 实例,并在匹配到一个实例时创建一个新的实例。注意,在使用 `Java.choose()` 方法时需要传入一个对象,该对象包含 `onMatch` 和 `onComplete` 两个回调函数,Frida 会在匹配到实例或搜索结束时调用这些回调函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值