安卓逆向环境检测--frida

已于 2023-09-20 15:11:45 修改
阅读量2.3k 收藏 7
点赞数 2
分类专栏: 安卓逆向 文章标签: android
于 2023-06-26 15:32:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348983/article/details/131398431
版权

一、遍历运行的进程,对比进程名是否为fridaserver(只需改server名即可绕过)

二、通过遍历端口来检查frida server 10000~65535


UNEXPORT void AntiFrida::check_Server() {
    Thread::create_thread_func(check_Server_Thread, nullptr);
}

/**
 * 当前函数执行较耗时,需要放入子线程进行
 * @return  检查到frida痕迹,返回true,否则返回false
 */
UNEXPORT bool AntiFrida::check_Server_func() {
    LOGI("in AntiFrida::check_Server_func");
    int sock;
    struct sockaddr_in sa;
    bzero(&sa,sizeof(sa));
    sa.sin_family = AF_INET;
    inet_aton("127.0.0.1", &(sa.sin_addr));
    if( inet_pton(AF_INET, "127.0.0.1", &sa.sin_addr) < 0){    //set ip address
        LOGE(" %s - %d  error:%s", __FILE__, __LINE__, strerror(errno));
        return false;
    }

    char res[7];
    for (int i = 10000; i <= 65535; i++) {
        sock = socket(AF_INET, SOCK_STREAM, 0);
        if (sock == -1){
            LOGI("test socket fail:%s", strerror(errno));
        }
        sa.sin_port = htons(i);
        LOGI("check_Server_func test connect port:%d", i);
        if ( connect(sock, (struct sockaddr *) &sa, sizeof(sa)) >= 0) {
            LOGI("check_Server_func connect 127.0.0.1:%d", i);
            memset(res, 0, 7);
            send(sock, "\x00", 1, 0);
            send(sock, "AUTH\r\n", 6, 0);
            usleep(10);    // Give it some time to answer
            if ((recv(sock, res, 6, MSG_DONTWAIT)) != -1) {
                if (strcmp(res, "REJECT") == 0) {
                    close(sock);
                    LOGI("check_Server find frida for port:%d", i);
                    return true;
                }
            }
        }
        close(sock);
    }
    return false;
}


/**
 * 此函数必须作为线程函数被调用
 * @param param
 * @return
 */
UNEXPORT void* AntiFrida::check_Server_Thread(void* param) {
    check_Server_func();
    return nullptr;
}

三、maps检测,注入frida后,在/proc/self/maps 中会出现libgadget.so ,或frida-agent-32.so,frida-agent.so等模块


UNEXPORT bool AntiFrida::find_mem_string(size_t start, size_t end, char *bytes, unsigned int len) {
    char *pmem = (char *) start;
    int matched = 0;
    while ((unsigned long) pmem < (end - len)) {
        if (*pmem == bytes[0]) {
            matched = 1;
            char *p = pmem + 1;
            while (*p == bytes[matched] && (unsigned long) p < end) {
                matched++;
                p++;
            }
            if (matched >= len) {
                LOGI("find keyword LIBFRIDA");
                return true;
            }
        }
        pmem++;
    }
    return false;
}

UNEXPORT bool AntiFrida::scan_executable_segments(char *map) {
    //LOGI("scan_executable_segments do:%s", map);
    char buf[512];
    size_t start, end;
    sscanf(map, "%lx-%lx %s", &start, &end, buf);
    if (Str::strstr(map, (char*)"libgadget") != NULL){
        LOGI("find libgadget");
        return true;
    }
    if (buf[2] == 'x' && buf[0] == 'r') { //可执行 还必须可读,不然会无法访问该地址
        if (strstr(map, ".so") != NULL || strstr(map, "frida") != NULL){
            return (find_mem_string(start, end, keyword, 8) == 1); // 查找LIBFRIDA子串
        }
        return false;
    } else {
        return false;
    }
}

UNEXPORT char* AntiFrida::keyword = (char*)"LIBFRIDA";

UNEXPORT bool AntiFrida::read_line_scan(string str){
    char* split = (char*)"\n";
    string strs = str + split; // 在字符串末尾也加入分隔符,方便截取最后一段
    size_t pos = strs.find(split);
    while (pos != strs.npos)
    {
        string temp = strs.substr(0, pos);
        //LOGI("read_line_scan maps -> %s", temp.c_str());
        if (scan_executable_segments(const_cast<char *>(temp.c_str()))){
            return true;
        }
        //去掉已分割的字符串,在剩下的字符串中进行分割
        strs = strs.substr(pos + 1, strs.size());
        pos = strs.find(split);
    }
    return false;
}


UNEXPORT bool AntiFrida::check_maps() {
    Thread::lock_mutex();
    Env::thread_share_switch_maps = true;
    Thread::unLock_mutex();
    string str = Syscall::readFile((char*)"/proc/self/maps"); // 读取maps查找子串LIBFRIDA
    Thread::lock_mutex();
    Env::thread_share_switch_maps = false;
    Thread::unLock_mutex();
    if (str != "null"){
        return read_line_scan(str);
    }
    return false;
}

四、fd检测


UNEXPORT bool AntiFrida::check_fd() {
    DIR *dir = NULL;
    struct dirent *entry;
    char link_name[100];
    char buf[100];
    bool ret = false;
    if ((dir = opendir("/proc/self/fd/")) == NULL) {
        LOGE(" %s - %d  error:%s", __FILE__, __LINE__, strerror(errno));
    } else {
        entry = readdir(dir);
        while (entry) {
            switch (entry->d_type) {
                case DT_LNK:
                    sprintf(link_name, "%s/%s", "/proc/self/fd/", entry->d_name);
                    readlink(link_name, buf, sizeof(buf));
                    if (strstr(buf, "frida") || strstr(buf, "gum-js-loop") || strstr(buf, "gmain") ||
                        strstr(buf, "-gadget") || strstr(buf, "linjector")) {
                        LOGI("check_fd -> find frida:%s", buf);
                        ret = true;
                    }
                    break;
                default:
                    break;
            }
            entry = readdir(dir);
        }
    }
    closedir(dir);
    return ret;
}

五、status(线程名)检测


UNEXPORT bool AntiFrida::check_status() {
    DIR *dir = NULL;
    struct dirent *entry;
    char status_path[128];
    if ((dir = opendir("/proc/self/task/")) == NULL) {
        LOGE(" %s - %d  error:%s", __FILE__, __LINE__, strerror(errno));
    } else {
        entry = readdir(dir);
        while (entry) {
            switch (entry->d_type) {
                case DT_DIR:
                    if (strcmp(entry->d_name, ".") == 0 || strcmp(entry->d_name, "..") == 0) {
                        break;
                    }
                    sprintf(status_path, "%s/%s/status", "/proc/self/task", entry->d_name);
                    string status = Syscall::readFile(status_path); // 读取 /proc/self/task/tid/status 文件
                    if (status == "null"){
                        break;
                    }
                    size_t pos = status.find("\n");
                    while (pos != status.npos)
                    {
                        string temp = status.substr(0, pos);
                        if (Str::strstr(const_cast<char *>(temp.c_str()), (char*)"Name:") != nullptr){
                            if (Str::strstr(const_cast<char *>(temp.c_str()), (char*)"gmain") != nullptr ||
                                    Str::strstr(const_cast<char *>(temp.c_str()), (char*)"gum-js-loop") != nullptr ||
                                    Str::strstr(const_cast<char *>(temp.c_str()), (char*)"pool-frida") != nullptr ||
                                    Str::strstr(const_cast<char *>(temp.c_str()), (char*)"gdbus") != nullptr){
                                LOGI("check_status -> find frida thread:%s", temp.c_str());
                                // TODO 发现frida
                                //Crash::crash_no_return();
                                //Crash::crash_kill(getpid(), SIGKILL); //进程被杀后会重启,然后frida会断开
                                return true;
                            }
                            break;
                        }
                        //去掉已分割的字符串,在剩下的字符串中进行分割
                        status = status.substr(pos + 1, status.size());
                        pos = status.find("\n");
                    }
                    break;
            }
            entry = readdir(dir);
        }
    }
    closedir(dir);
    return false;
}

六、inlinehook检测

// frida注入过程中,会在对libart的PrettyMethod函数进行hook,该函数头的代码会发生改变
// 只提取了安卓10的code


UNEXPORT bool AntiFrida::check_inlinehook(){
    bool find = false;
#ifdef __arm__
    string st_PrettyMethod = get_method_code("/apex/com.android.runtime/lib/libart.so", "ArtMethod12PrettyMethod");
#elif defined(__aarch64__)
    string st_PrettyMethod = get_method_code("/apex/com.android.runtime/lib64/libart.so", "ArtMethod12PrettyMethod");
    if (strstr(st_PrettyMethod.c_str(), "50 00 00 58 00 02 1F D6 00 9E 23 ED 78 00 00 00") != NULL){
        LOGI("check inlinehook find frida patchcode PrettyMethod -> %s", st_PrettyMethod.c_str());
        find = true;
    }else{
        LOGI("check inlinehook cant find frida patchcode PrettyMethod -> %s", st_PrettyMethod.c_str());
    }
#else
#error "Arch unknown, please port me"
#endif

    return find;
}

UNEXPORT string AntiFrida::get_method_code(const char* lib, const char* method){
    string st;

    void* handle = LoadLibrary::fake_dlopen(lib, RTLD_NOW);
    if (handle == nullptr){
        LOGE("dlopen failed -> %s", strerror(errno));
        return st;
    }
    void* op = (void*)LoadLibrary::fake_dlsym(handle, method);
    if (op == nullptr){
        LOGE("dlsym failed -> %s", strerror(errno));
        LoadLibrary::fake_dlclose(handle);
        return st;
    }

    long pageSize = sysconf(_SC_PAGESIZE);
    void* start = (void*)((long)op & -pageSize);
    if (mprotect(start, pageSize * 2, PROT_READ | PROT_WRITE | PROT_EXEC) == 0){
        LOGI("mprotect success");
    }else{
        LOGE("mprotect failed -> %s", strerror(errno));
    }
    char tmp[128] = {0};
    sprintf(tmp, "%s %s -> %p\n", lib, method, op);
    LOGI("tmp = %s ", tmp);
    //st.append(tmp);
    unsigned char*code = (unsigned char*)op;
    for (int i = 0; i < 16; i++){
        if (code[i] < 0x10){
            sprintf(tmp, "0%X ",code[i]);
        }else{
            sprintf(tmp, "%X ",code[i]);
        }
        st.append(tmp);
    }
    LOGI("get_method_code -> %s", st.c_str());
    LoadLibrary::fake_dlclose(handle);
    return st;
}

YoooHaaa
关注
专栏目录
frida调试
qq_32445755的博客
05-19 1173
frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测frida,不管是attach模式还是spawn模式都附加不上。一般来说,frida检测由如下几个方面:检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。
安卓逆向frida检测必备攻略
云霄IT的博客
04-24 2896
frida检测大全
过某交友软件frida调试
头铁逆向的旅程
06-30 6502
过某交友软件的frida检测
frida检测
最新发布
qq_62204036的博客
07-11 380
【代码】frida检测
android frida检测绕过
PwnGuo的博客
06-08 8821
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
阶段一 - Frida 检测绕过
dafan0的博客
05-12 1763
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
frida检测
weixin_40306397的博客
05-11 1132
frida检测原理及其对抗
DetectFrida:检测AndroidFrida
05-09
DetectFrida 这个项目有3种方法来检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
Frida检测
热门推荐
Codeooo 博客
09-02 1万+
检查 Frida 的痕迹 一种简易方法是检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 fridaserver,它通过 TCP 对外与 frida 通信,此时可以用 Java 遍历运行的进程列表从而检查 fridaserver 是否在运行。 2 3 4 5 6 7 8 9 10 11 12 13 14 15
逆向案例-frida-demo-apk-01
03-13
本案例"逆向案例-frida-demo-apk-01"显然是一个使用Frida进行APK应用分析的实例。 首先,我们来深入了解一下FridaFrida是由 Ole André Vadla Røed 设计的,它允许开发者在运行时对目标进程注入JavaScript代码,...
frida-server-15.1.20-android-x86-64
04-13
Frida-server 部署到雷电模拟器,可以让你在模拟环境中对 Android 应用进行调试和分析,而无需物理设备。 在安装和使用这个版本的 Frida 时,你需要遵循以下步骤: 1. **下载和安装**:首先,你需要下载 frida-...
适用于Android检测版本frida-server。-Android开发
05-26
适用于Android检测版本frida-server。 strongR-frida-android用于Android检测版本frida-server。 遵循上游自动构建。 Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_server.patch frida-core 0003-pipe_linjector.patch frida-core 0004-io_frida_agent_so.patch frida-core 0005-symbol_frida_agent_main_thread.js补丁frida-core .patch frida-core 0007-thread_gmain.patch frida-core 0008-protocol_unexpected_command.patch下载版本
learning-frida:关于学习如何在Android上使用Frida动态检测工具包的博客
05-12
学习星期五 关于学习如何在Android上使用Frida动态检测工具包的博客 在本地建设Jekyll cd docs bundle exec jekyll serve 有关更多详细信息 更新gems / GitHub页面版本 查看以查看GitHub Pages使用的版本 如果有新版本的github-pages,请使用新版本更新docs / Gemfile,然后运行bundle update github-pages 如果需要,请使用新版本更新docs / Gemfile以获得其他依赖关系。 运行bundle update 运行bundle exec jekyll serve并检查是否一切正常(运行此命令还会更新Gemfile.lock文件) 有用的命令: 所有宝石bundle update 一个特定的gem bundle update github-pages
frida-server-14.2.18-android.zip
06-24
标题中的"frida-server-14.2.18-android.zip"表明这是一个关于Frida Server的软件包,版本号为14.2.18,面向Android平台。Frida是一个强大的动态代码插桩工具,它允许你在运行时对应用程序进行交互式脚本编写,以...
frida-server.zip
12-14
Frida-server是一个强大的动态代码插桩工具,广泛应用于安卓逆向工程领域。它作为一个守护进程在目标设备上运行,通过TCP协议与Frida的核心引擎进行交互,允许开发者在运行时对应用程序进行调试、注入代码、修改行为...
hluda-server-16.2.1(魔改版frida)
02-29
这个魔改版的frida在hluda-server中扮演着核心角色,旨在提供更隐蔽的功能,使得应用程序能够绕过常见的加固检测机制,从而提高了在实际应用中的实用性。本文将深入探讨hluda-server-16.2.1及其包含的四个不同架构...
安卓 调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 9154
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app调试映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Frida调试检测
olivia的博客
07-11 771
命令:adb push [刚下载的frida路径] /data/local/tmp将frida-server。若未安装python环境,请到Python官网:https://www.python.org/下载完成后解压,将frida-server文件 push到手机的/data/local/tmp。进入网页:https://github.com/frida/frida/releases。根据查询的CPU架构下载对应的frida-server压缩包。查询到当前机器的CPU架构是arm64-v8a。
win10检测frida-server是否安装成功
06-09
在Windows 10系统中,可以通过以下步骤检测Frida-server是否安装成功: 1. 打开命令提示符窗口(按下Win+R键,输入cmd后按回车键); 2. 进入Frida-server所在的目录,可以使用cd命令切换目录; 3. 输入命令frida-server,如果成功安装并启动了Frida-server,命令行会显示Frida-server的版本信息; 4. 如果命令行显示“‘frida-server’ 不是内部或外部命令,也不是可运行的程序或批处理文件。”,则说明Frida-server没有成功安装或者没有添加到系统环境变量中。 另外,还可以通过调用Frida API来检测Frida-server是否安装成功,例如在Python中可以使用以下代码: ``` import frida device = frida.get_local_device() print(device.enumerate_processes()) ``` 如果能够成功列出设备中的进程信息,则说明Frida-server安装成功并且与设备连接正常。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值