frida检测绕过-libmsaoaidsec.so

已于 2024-09-08 11:02:00 修改
阅读量378 收藏 1
点赞数 5
分类专栏: 博客栏 文章标签: android
于 2024-09-08 00:47:01 首次发布
D0g3.21.Reverse.redqx
本文链接:https://blog.csdn.net/qq_61253776/article/details/142007080
版权

一些app会检测是否有frida注入它, 如果注入了,通常采取的措施包含了app进程退出,app进程重启…
在检测frida方面,有很多方法
这些方法实际上是以 编程策略+检测函数 一起配合使用的

常见的编程策略,包含了多线程轮询检测…

检测函数当然很多

  • 子线程 status文件检测
  • maps文件检测
  • 内存特征检测…
  • frida端口检测
  • 不限于此…

检测函数一般不会单独的使用,配合编程策略
编程策略本身不带有攻击性或者检测性, 要配合检测函数共同发挥作用
如果 编程策略和检测函数失效一个,那么大概就会检测失败,
而bypass编程策略是一个比较好的入口点
我们以 libmsaoaidsec.so 为例

libmsaoaidsec.so 部分检测手段

  • 检测机制在native层实现
  • 一般在elf的init_proc()函数中触发
  • 会 pthread_create 创建2个检测线程
    • eg: bilibil1 - v7.26.1版本中, 在got表导入了pthread_create
      • 如何绕过: nop pthread_create 的调用
    • eg: bilibil1 - v7.76.0 , xiaohongsu -v8.31.0 版本中, app通过dlsym动态获取了pthread_create
      • 绕过: 替换dlsym(xx, "pthread_create ")的返回地址,指向空函数
  • 找到init_proc()中的检测函数,暴力置空
    • eg: xiaohongsu-v8.31.0
    • eg: aiqiy1-v15.2.5

文章复现

绕过 bilibil1 frida检测
绕过 xiaohongsu frida检测
绕过 aiqiy1 frida检测

香美眉
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓逆向之frida检测必备攻略
云霄IT的博客
04-24 2876
frida检测大全
阶段一 - Frida 检测绕过
dafan0的博客
05-12 1743
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida反调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
android frida检测绕过
PwnGuo的博客
06-08 8750
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
Frida检测通用思路之一
q2919761440的博客
05-24 1447
结合 IDA 分析的关键分支地址去看,前面我们已经怀疑 pool-frida 的判断逻辑了,这里trace 出来以后,只需要搜索一下 pool-frida 判断逻辑的相关地址有没有被打印出来就定位到了,不用一行行去看trace。没什么新鲜的检测点,但奇怪的是明明我的frida 做过去特征,按理说这些点应该都过掉了才对,结果还是被检测然后程序退出了,又回过头反复确认了就是这个检测点无疑,那到底是。过检测一般可以从退出方式入手。知道问题就好办了,在我们给frida检测的脚本里把这个字符串替换掉就可以了。
种特征检测 Frida
键盘的起始页
08-20 1110
Frida 在逆向工程狮中很受欢迎,你基本可以在运行时访问到你能想到的任何东西,内存地址、native 函数、Java 实例对象等。在 OWASP 的移动测试指南里就提到了 Frida。但是啊,每出来个好用的注入工具,都会有反注入、反反注入、反反反注入、反...注入。这篇文章要介绍的是 Android APP 检测 Frida 的方法。 检查 Frida 的痕迹 一种简易方法是检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 f
frida-server-14.2.18-android.zip
06-24
3. **爬虫工程师**:虽然通常不将Frida与网络爬虫直接关联,但在某些特定场景下,如爬取移动应用内的数据时,Frida可以用来绕过反爬策略,模拟用户交互,获取原本难以获取的信息。 标签中的"爬虫 frida hook ...
frida-server-16.0.13-android-arm64
04-18
标题中的"frida-server-16.0.13-android-arm64"指的是Frida Server的一个特定版本,这是用于Android设备的动态代码插桩工具。Frida是由 Ole André Vadla Rønning 开发的一款强大的开源软件,它允许开发者在运行时...
frida-server-12.7.5-android-arm.xz
10-18
frida-server-12.7.5-android-arm.xz 很好,很有用, Frida的作用就不用多说了吧
frida-server-14.2.18-android-arm64.xz
06-06
frida-server-14.2.18-android-arm64
适用于Android的反检测版本frida-server。-Android开发
05-26
Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_server.patch frida-core 0003-pipe_linjector.patch frida-core 0004-io_frida_agent_so.patch frida-core 0005-symbol_frida...
Android逆向——过frida检测+so层算法逆向
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
frida常用检测点及其原理
菜鸡小白的成长记录
03-07 1969
frida常用检测点及其原理
某书Frida检测绕过记录
P1umH0的博客
04-19 2398
本来想要分析请求参数加密过程,结果发现APP做了Frida检测,于是记录一下绕过姿势(暴力但有用)Frida版本:16.2.1APP版本:8.31.0。
安卓逆向环境检测--frida
weixin_44348983的博客
06-26 2300
安卓、逆向、检测
Frida查找Native函数地址和所属SO模块的方法
m0_59162559的博客
04-03 1124
动态注册的Native函数, 一般会调用RegisterNatives来注册Native函数。 从libart.so中查找RegisterNatives函数的指针地址, 然后使用 Interceptor.attach 来hook.
简单的frida检测思路
热门推荐
大数据安全技术学习
10-19 1万+
从inlinehook角度检测frida 总述 frida inline hook写法 检测libart是否使用inlinehook 检测libnative-lib是否使用inlinehook 从java hook 的角度检测frida 总结 从inlinehook角度检测frida 总述 在使用frida的过程中,在我的认知里其实frida只做了2件事情,一件是注入,一件是hook,作为注入的特征我们可以通过ptrace(PTRACE_TRACEME,NULL,0,0),或者从文件里面索引...
高德地图SDK Android版开发 10 InfoWindow
程序喵D的博客
09-06 1998
前文介绍高德地图添加Marker覆盖物的使用方法,Marker结合InfoWindow可展示更详尽的信息。本文将介绍以下内容:1. 使用SDK默认样式显示InfoWindow的方法;2. 自定义InfoWindow样式的方法。
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 637
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过
从状态管理到性能优化:全面解析 Android Compose
最新发布
陆业聪
09-09 1120
本文详细介绍了 Android Compose,一个现代化的 UI 框架,强调其声明式、简洁和可组合性的优势。文章探讨了状态管理、列表处理和性能优化,旨在帮助开发者有效利用 Compose 构建高效的 Android 应用。
frida-server-12.3.6-android-x86文件
01-23
frida-server-12.3.6-android-x86文件是用于在Android x86平台上运行Frida工具的文件。Frida是一个功能强大的开发者工具,可用于动态分析和修改应用程序,并在设备上进行代码注入。 该文件是Frida的服务器端组件,在设备上运行时,它与Frida客户端进行通信,允许用户在设备上执行各种操作。通过运行Frida服务器,用户可以通过网络远程连接设备,并在设备上执行代码注入、追踪函数调用、修改应用程序行为等操作。 安装和使用Frida-server-12.3.6-android-x86文件需要一些步骤。首先,需要将文件下载到Android x86设备上。然后,在设备上通过命令行运行该文件,启动Frida服务器。启动后,可以通过Frida客户端工具连接到服务器,并执行所需的操作。 Frida-server文件的版本号为12.3.6,这表明它是Frida工具的特定版本。通过使用该版本的文件,用户可以确保与其他Frida组件和工具的兼容性。 总之,Frida-server-12.3.6-android-x86文件是在Android x86平台上运行Frida工具的服务器组件。通过它,用户可以动态地分析和修改应用程序,并在设备上进行代码注入操作。这个文件需要安装和配置,以便用户可以通过Frida客户端与服务器进行通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值