anti-frida检测某书

最新推荐文章于 2024-09-08 00:47:01 发布
最新推荐文章于 2024-09-08 00:47:01 发布
阅读量593 收藏 5
点赞数 10
文章标签: 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43985113/article/details/136902008
版权

案例:5bCP57qi5LmmIHYuOC4yNS4xLjAx

现象

尝试frida

frida -H ip:port -f com.xingin.xhs --no-pause

进程直接被杀死
在这里插入图片描述

定位问题

找到检测的so

function hook_dlopen() {
    let is_hook = false;
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    console.log(path)
                }
            }
        }
    );
}

setImmediate(hook_dlopen)

frida -H ip:port -f com.xingin.xhs --no-pause -l xhs.js

在这里插入图片描述
定位到检测的so文件 libmsaoaidsec.so

过检测

经过多次测试 0x17FC8 这个位置就是开启frida检测的地方,nop掉它,检测逻辑都在 0x175F8 函数里面。
完整代码

function nop(addr) {
    Memory.patchCode(ptr(addr), 8, code => {
        const cw = new Arm64Writer(code, { pc: ptr(addr) });
        cw.putNop();
        cw.putNop();
        cw.putNop();
        cw.putNop();
        cw.flush();
    });
}
 
function bypass(){
    let module = Process.findModuleByName("libmsaoaidsec.so")
    nop(module.base.add(0x17FC8))
}

 
function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) >= 0) {
                        // 刚要加载libmsaoaidsec.so
                        locate_init()
                    }
                }
            }
        }
    );
}
 
function locate_init() {
    let secmodule = null
    Interceptor.attach(Module.findExportByName(null, "__system_property_get"),
        {
            onEnter: function (args) {
                var name = args[0];
                if (name !== undefined && name != null) {
                    name = ptr(name).readCString();
                    if (name.indexOf("ro.build.version.sdk") >= 0) {
                        // 这是.init_proc刚开始执行的地方,是一个比较早的时机点
                        bypass()
                    }
                }
            }
        }
    );
}
// 找到检测的so,寻找检测开启多线程的位置,然后nop掉
hook_dlopen("libmsaoaidsec.so")

成果展示

尝试frida hook

frida -H IP:port -f com.xingin.xhs --no-pause -l xhs.js

在这里插入图片描述
objection 查看所有的Activites

objection -N -h ip -p port -g com.xingin.xhs explore -P ~/.objection/plugins

在这里插入图片描述

!空!空!
关注
hluda之antiAntiFridafrida检测
Codeooo 博客
11-08 7176
【代码】hluda之antiAntiFridafrida检测
strongR-frida-android:适用于Android的反检测版本的frida-server
03-18
按照上游进行自动修补,并为Android构建反检测版本的frida-server。 跟随FRIDA上游自动修补程序,并为Android构建反检测版本的frida-server。 提示:不要分叉该存储库 补丁 模块 姓名 frida-core 0001-string_frida...
frida检测绕过-libmsaoaidsec.so
最新发布
你的对手是.神圣兽国.游尾郡窝窝乡.独行族妖侠 蛮吉^-^...
09-08 668
【代码】frida检测绕过-libmsaoaidsec.so。
探秘AntiFrida:对抗动态调试的利器
gitblog_00088的博客
04-06 426
探秘AntiFrida:对抗动态调试的利器 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源项目,旨在帮助开发者和安全研究人员检测并防御使用Frida工具进行的动态代码注入和调试。Frida是一款强大的跨平台运行时调试和代码注入工具,而AntiFrida则是针对其的一种防御策略。 技术解析 AntiFrida的核心在于它提供了一系列检测机制,能够识别出运行环境...
绕过bili frida反调试
头铁逆向的旅程
04-29 5528
绕过bilibili frida反调试
某书Frida检测绕过记录
P1umH0的博客
04-19 2949
本来想要分析请求参数加密过程,结果发现APP做了Frida检测,于是记录一下绕过姿势(暴力但有用)Frida版本:16.2.1APP版本:8.31.0。
Android P安装第三方输入法需要注意so文件的处理
lgc1990的博客
08-01 1194
androidP在集成第三方输入法的时候,根据网络给的教程一直没法打开。最后发现原来是写Android.mk文件的时候没有处理so库导致apk找不到库。把so库加上去即可以正常打开。注意这些so库名字可能会变化,而且需要注意自己的Android是64位还是32位的,根据需要进行添加。把上面的编辑一下,添加进Android.mk文件即可。...
anti-frida检测-某壳
weixin_43985113的博客
03-20 1024
anti frida检测案例
learning-frida:关于学习如何在Android上使用Frida动态检测工具包的博客
05-12
关于学习如何在Android上使用Frida动态检测工具包的博客 在本地建设Jekyll cd docs bundle exec jekyll serve 有关更多详细信息 更新gems / GitHub页面版本 查看以查看GitHub Pages使用的版本 如果有新版本的...
vscode-frida:VSCode的非官方frida扩展
05-03
pip3 install -U frida-tools *(对于Windows构建,请参见 ) SSH客户端( ssh命令)* Windows上的iTunes [*] 可选的。 只有某些功能依赖于它 FlexDecrypt取决于SSH。 您需要先生成一个公共密钥,然后才能使用...
适用于Android的反检测版本frida-server。-Android开发
05-26
适用于Android的反检测版本frida-server。 strongR-frida-android用于Android的反检测版本frida-server。 遵循上游自动构建。 Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_...
Android工程中imei和oaid的获取
热门推荐
qq_41361738的博客
06-28 1万+
Android工程中imei和oaid的获取
App之Hook反调试解决办法
SC201204的博客
02-03 1186
App之Hook反调试解决办法
某游戏盒子 so层加密 逆向分享
2401_83253228的博客
05-10 1035
本文章仅学习研究,如若侵权,请联系第一时间进行删除回到一开始观察的部分,因为我们hook md5 直接就看到了结果,后续的操作,并没有影响结果,所以我们可以不用关心他,也就不用关心v14和v15怎么来的,在逆向so的时候,可以从结果向上hook的方式,来快速定位关键部分,有时候的so很长很吓人,但是关键点可能就一小部分,ida提供的伪c也只是参考,要耐心,敢于尝试,才能拨云见日。
强大的防Frida检查规避工具:AntiFrida_Bypass
gitblog_00098的博客
05-28 578
强大的防Frida检查规避工具:AntiFrida_Bypass 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在网络安全和逆向工程的世界中,Frida 是一款广受欢迎的动态代码插桩工具。然而,随着安全措施的加强,有些应用和系统会检测并阻止Frida的运行。AntiFrida_Bypass 正是为此应运而生的一个开源项目,它提供了一种通用的方法来绕过针对Frida的各...
隐私合规:移动SDK指纹收集
天在等我,菜鸟想飞
06-20 4742
IntentServiceRunn。
逆向分析某信营业厅APP
super19911115的博客
06-23 1125
逆向电信营业厅APP,实现登录、充值缴费、支付宝支付、查单
frida hook不到方法
qq_41525018的博客
06-06 3370
对于frida hook 函数不成功,hook不到的思路整理
python-frida
12-09
Python-frida是一个Python绑定Frida API的库,它允许开发人员使用Python编写Frida脚本。Frida是一个动态插桩工具,它允许开发人员在运行时修改应用程序的行为。以下是一个简单的例子,演示如何使用Python-frida来修改函数的参数: ```python import frida import sys # 连接到目标进程 session = frida.attach("fri.exe") # 创建脚本 script = session.create_script(""" Interceptor.attach(ptr("%s"), { onEnter: function(args) { args[0] = ptr("-1"); } }); """ % int(sys.argv[1], 16)) # 定义消息处理函数 def on_message(message, data): print(message) # 注册消息处理函数 script.on("message", on_message) # 加载脚本 script.load() # 等待用户输入 sys.stdin.read() ``` 上述代码将会连接到名为"fri.exe"的进程,并修改函数的第一个参数为"-1"。当脚本运行时,它将会输出Frida发送的消息。你可以使用Python-frida来执行各种各样的操作,例如:拦截函数、修改函数参数、修改函数返回值等等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值