anti-frida检测-某壳

已于 2024-03-20 17:24:54 修改
阅读量705 收藏 8
点赞数 17
文章标签: 爬虫 java
于 2024-03-20 17:21:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43985113/article/details/136261412
版权

文章目录

背景

案例JXU4RDFEJXU1OEYzJTIwMy4wMC42MA==

尝试对其frida hook 失败。
尝试去frida hook目标app 进程被kill掉这里插入图片描述

定位检测so

function hook_dlopen() {
    let is_hook = false;
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    console.log(path)
                }
            }
        }
    );
}

setImmediate(hook_dlopen)

frida -H ip:port -f com.lianjia.beike --no-pause -l beike.js

在这里插入图片描述
定位到libmsaoaidsec.so

常见解决方法尝试

首先对常见检测字段进行hook,发现会打印多次。判断是启动了另外的检测线程。所以尝试去hook创建线程。

寻找检测开启多线程的位置

function hook_pthread(){
    var pthread_create_addr = Module.findExportByName(null, 'pthread_create')
    var pthread_create = new NativeFunction(pthread_create_addr, "int", ["pointer", "pointer", "pointer", "pointer"]);

Interceptor.replace(pthread_create_addr, new NativeCallback(function (parg0, parg1, parg2, parg3) {
    if(Process.findModuleByAddress(parg2)==null){
        PC = pthread_create(parg0, parg1, parg2, parg3);
    }
    var so_name = Process.findModuleByAddress(parg2).name;
    var so_path = Process.findModuleByAddress(parg2).path;
    var so_base = Module.getBaseAddress(so_name);
    var offset = parg2 - so_base;
    var PC = 0;
    if ((so_name.indexOf("libmsaoaidsec.so") > -1)) {
        console.log("find thread func offset", so_name, offset.toString(16));
    } else {
        PC = pthread_create(parg0, parg1, parg2, parg3);
    }
    return PC;
}, "int", ["pointer", "pointer", "pointer", "pointer"]))
}

nop掉 创建这个检测线程

多次实验0x1D304这个地方创建检测线程的地方
在这里插入图片描述

完整代码

function nop(addr) {
    Memory.patchCode(ptr(addr), 8, code => {
        const cw = new Arm64Writer(code, { pc: ptr(addr) });
        cw.putNop();
        cw.putNop();
        cw.putNop();
        cw.putNop();
        cw.flush();
    });
}
 
function bypass(){
    let module = Process.findModuleByName("libmsaoaidsec.so")
    nop(module.base.add(0x1D304))
}


function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) >= 0) {
                        // 刚要加载libmsaoaidsec.so
                        locate_init()
                    }
                }
            }
        }
    );
}
 
function locate_init() {
    let secmodule = null
    Interceptor.attach(Module.findExportByName(null, "__system_property_get"),
        {
            onEnter: function (args) {
                var name = args[0];
                if (name !== undefined && name != null) {
                    name = ptr(name).readCString();
                    if (name.indexOf("ro.build.version.sdk") >= 0) {
                        // 这是.init_proc刚开始执行的地方,是一个比较早的时机点
                        bypass()
                    }
                }
            }
        }
    );
}
// 找到检测的so,寻找检测开启多线程的位置,然后nop掉
hook_dlopen("libmsaoaidsec.so")

效果展示

在这里插入图片描述

!空!空!
关注
  • 17
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
某游戏盒子 so层加密 逆向分享
2401_83253228的博客
05-10 888
本文章仅学习研究,如若侵权,请联系第一时间进行删除回到一开始观察的部分,因为我们hook md5 直接就看到了结果,后续的操作,并没有影响结果,所以我们可以不用关心他,也就不用关心v14和v15怎么来的,在逆向so的时候,可以从结果向上hook的方式,来快速定位关键部分,有时候的so很长很吓人,但是关键点可能就一小部分,ida提供的伪c也只是参考,要耐心,敢于尝试,才能拨云见日。
绕过最新版bilibili app反frida机制
最新发布
wei_java144的博客
05-24 1394
它应该是使用了一些反hook的手段,没有必要和它正面对抗。简单描述一下我的绕过策略,创建一个fake_pthread_create函数,它只有一条ret汇编指令,然后hook来自libmsaoaidsec.so的前2次对dlsym的调用,返回fake_pthread_create函数的地址,这样就达成了欺骗它调用fake_pthread_create函数的目的。输出如下,在加载libmsaoaidsec.so后,调用了2次dlsym获取pthread_create函数,然后进程就终止了。
某书Frida检测绕过记录
P1umH0的博客
04-19 1719
本来想要分析请求参数加密过程,结果发现APP做了Frida检测,于是记录一下绕过姿势(暴力但有用)Frida版本:16.2.1APP版本:8.31.0。
绕过bili frida反调试
头铁逆向的旅程
04-29 4837
绕过bilibili frida反调试
Android P安装第三方输入法需要注意so文件的处理
lgc1990的博客
08-01 1145
androidP在集成第三方输入法的时候,根据网络给的教程一直没法打开。最后发现原来是写Android.mk文件的时候没有处理so库导致apk找不到库。把so库加上去即可以正常打开。注意这些so库名字可能会变化,而且需要注意自己的Android是64位还是32位的,根据需要进行添加。把上面的编辑一下,添加进Android.mk文件即可。...
App之Hook反调试解决办法
SC201204的博客
02-03 1006
App之Hook反调试解决办法
对某旅行APP的检测以及参数计算分析【新手向-准备篇】
jmm18363027827的博客
03-09 1188
本文预计共会写3到4篇文章,总结学习过程中遇到的问题与解决的思路。涉及到的so主要有两个,一个是libmsaoaidsec.so 另一个是scmain.so版本为今年过年期间的版本。本篇主要会涉及到anti frida、socket抓包定位、simpxxxxxx参数的前置准备。frida 版本: 16.1.0。
某物APP的newSign和X-Auth-Token
weixin_41259961的博客
04-07 1823
经测试,X-Auth-Token和newSign是必要的。
strongR-frida-android:适用于Android的反检测版本的frida-server
03-18
按照上游进行自动修补,并为Android构建反检测版本的frida-server。 跟随FRIDA上游自动修补程序,并为Android构建反检测版本的frida-server。 提示:不要分叉该存储库 补丁 模块 姓名 frida-core 0001-string_frida...
Python-FRIDA操作手册
08-12
2. **连接设备**: 使用`frida-ps`命令检查FRIDA是否已成功连接到目标设备,如手机或模拟器。如果未连接,可以使用`frida-server`命令启动服务并用USB连接设备。 3. **编写Python脚本**: FRIDA提供了一套Python API...
strongR-frida hluda-server-15.1.17
03-13
[hluda]反检测最新版本frida server-15.1.17-android-x86_64
test-frida.py
09-01
python测试脚本
逆向案例-frida-demo-apk-01
03-13
本案例"逆向案例-frida-demo-apk-01"显然是一个使用Frida进行APK应用分析的实例。 首先,我们来深入了解一下Frida。Frida是由 Ole André Vadla Røed 设计的,它允许开发者在运行时对目标进程注入JavaScript代码,...
隐私合规:移动SDK指纹收集
天在等我,菜鸟想飞
06-20 3704
IntentServiceRunn。
Android使用移动智能终端补充设备标识获取OAID
qq_16252123的博客
03-08 4182
使用移动智能终端补充设备标识获取OAID及部分机型唯一标识权限设置
patch某哩frida检测
陌刀逆向工程
09-22 742
patch某哩frida检测
对Android Hook检测技术的一些浅谈
weixin_42673574的博客
01-04 1071
针对xposed hook、frida hook的检测话,还有一种方法,就是被xposed hook的Java方法修饰符都会变成native,3.通过mmap将文件映射到内存,然后把内容传给ELF解析工具,获取其.text段的偏移和大小。这种方式最好放到线程里面去做,缺陷是app自身不能使用inline hook,否则也会被检测到。对比内存中的.text段和文件中的.text的crc是否相等。2.匹配到你需要检测的so文件,获取其的加载基地址和文件路径。比如检测libxxx.so,命名空间,指定类等等。
frida进行hook的常用定位招数大全
云霄IT的博客
07-13 1317
【代码】frida进行hook的常用定位招数大全。
python-frida
12-09
Python-frida是一个Python绑定Frida API的库,它允许开发人员使用Python编写Frida脚本。Frida是一个动态插桩工具,它允许开发人员在运行时修改应用程序的行为。以下是一个简单的例子,演示如何使用Python-frida来修改函数的参数: ```python import frida import sys # 连接到目标进程 session = frida.attach("fri.exe") # 创建脚本 script = session.create_script(""" Interceptor.attach(ptr("%s"), { onEnter: function(args) { args[0] = ptr("-1"); } }); """ % int(sys.argv[1], 16)) # 定义消息处理函数 def on_message(message, data): print(message) # 注册消息处理函数 script.on("message", on_message) # 加载脚本 script.load() # 等待用户输入 sys.stdin.read() ``` 上述代码将会连接到名为"fri.exe"的进程,并修改函数的第一个参数为"-1"。当脚本运行时,它将会输出Frida发送的消息。你可以使用Python-frida来执行各种各样的操作,例如:拦截函数、修改函数参数、修改函数返回值等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值