绕过bili frida反调试

最新推荐文章于 2024-04-19 21:28:12 发布
最新推荐文章于 2024-04-19 21:28:12 发布
阅读量4.5k 收藏 44
点赞数 6
分类专栏: 逆向实战随笔 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56039202/article/details/130441119
版权

文章仅供思路参考,请勿用作非法攻击

环境

  • bilibili 7.26.1
  • arm
  • frida 15.2.2(去除特征版本)
  • pixel 6 android 12

正文

使用frida以spawn模式启动应用,frida进程直接被杀掉了

在这里插入图片描述

我需要知道是那个so在检测frida,可以hook dlopen看一下so的加载流程

function hook_dlopen() {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    console.log("load " + path);
                }
            }
        }
    );
}

在这里插入图片描述

由so的加载流程可知,当libmsaoaidsec.so被加载之后,frida进程就被杀掉了,因此监测点在libmsaoaidsec.so中。

如果有了解过so的加载流程,那么就会知道linker会先对so进行加载与链接,然后调用so的.init_proc函数,接着调用.init_array中的函数,最后才是JNI_OnLoad函数,所以我需要先确定检测点大概在哪个函数中。

使用frida hook JNI_OnLoad函数,如果调用了该函数就输出一行日志,如果没有日志输出,那么就说明检测点在.init_xxx函数中,注入的时机可以选择dlopen加载libmsaoaidsec.so完成之后。

function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) >= 0) {
                        this.is_can_hook = true;
                    }
                }
            },
            onLeave: function (retval) {
                if (this.is_can_hook) {
                    hook_JNI_OnLoad()
                }
            }
        }
    );
}

function hook_JNI_OnLoad(){
    let module = Process.findModuleByName("libmsaoaidsec.so")
    Interceptor.attach(module.base.add(0xC6DC + 1), {
        onEnter(args){
            console.log("call JNI_OnLoad")
        }
    })
}

setImmediate(hook_dlopen, "libmsaoaidsec.so")

在这里插入图片描述

并没有输出日志,那么说明检测的位置在JNI_OnLoad函数之前,所以我需要hook .init_xxx的函数,但这里有一个问题,dlopen函数调用完成之后.init_xxx函数已经执行完成了,这个时候不容易使用frida进行hook

在这里插入图片描述

这个问题其实很麻烦的,因为你想要hook linker的call_function并不容易,这里面涉及到linker的自举,我想到了一个取巧的办法,请看接下来的操作。

首先在.init_proc函数中找一个调用了外部函数的位置,时机越早越好

在这里插入图片描述

我选择了_system_property_get函数,接下来使用frida hook dlopen函数,当加载libmsaoaidsec.so时,在onEnter回调方法中hook _system_property_get函数,以"ro.build.version.sdk"字符串作为过滤器。

如果_system_property_get函数被调用了,那么这个时候也就是.init_proc函数刚刚调用的时候,在这个时机点可以注入我想要的代码,具体实现如下:

function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) >= 0) {
                        locate_init()
                    }
                }
            }
        }
    );
}

function locate_init() {
    let secmodule = null
    Interceptor.attach(Module.findExportByName(null, "__system_property_get"),
        {
            // _system_property_get("ro.build.version.sdk", v1);
            onEnter: function (args) {
                secmodule = Process.findModuleByName("libmsaoaidsec.so")
                var name = args[0];
                if (name !== undefined && name != null) {
                    name = ptr(name).readCString();
                    if (name.indexOf("ro.build.version.sdk") >= 0) {
                        // 这是.init_proc刚开始执行的地方,是一个比较早的时机点
                        // do something
                    }
                }
            }
        }
    );
}

setImmediate(hook_dlopen, "libmsaoaidsec.so")

在获取了一个非常早的注入时机之后,就可以定位具体的frida检测点了。网上对frida的检测通常会使用openat、open、strstr、pthread_create、snprintf、sprintf、readlinkat等一系列函数,从这里下手是一个不错的选择。

我对pthread_create函数进行hook,打印一下新线程要执行的函数地址

function hook_pthread_create(){
    console.log("libmsaoaidsec.so --- " + Process.findModuleByName("libmsaoaidsec.so").base)
    Interceptor.attach(Module.findExportByName("libc.so", "pthread_create"),{
        onEnter(args){
            let func_addr = args[2]
            console.log("The thread function address is " + func_addr)
        }
    })
}

在这里插入图片描述

这里面有两个线程是libmsaoaidsec.so创建的,对应的函数偏移分别是0x11129和0x10975

这两个函数都检测了frida,想要了解具体检测方法的可以自己看看,这里不再深入。

绕过的方法很简单,直接nop掉pthread_create或者替换检测函数的代码逻辑都可以,我是直接把pthread_create函数nop掉了,下面是完整代码。

function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) >= 0) {
                        locate_init()
                    }
                }
            }
        }
    );
}

function locate_init() {
    let secmodule = null
    Interceptor.attach(Module.findExportByName(null, "__system_property_get"),
        {
            // _system_property_get("ro.build.version.sdk", v1);
            onEnter: function (args) {
                secmodule = Process.findModuleByName("libmsaoaidsec.so")
                var name = args[0];
                if (name !== undefined && name != null) {
                    name = ptr(name).readCString();
                    if (name.indexOf("ro.build.version.sdk") >= 0) {
                        // 这是.init_proc刚开始执行的地方,是一个比较早的时机点
                        // do something
                        // hook_pthread_create()
                        bypass()
                    }
                }
            }
        }
    );
}

function hook_pthread_create() {
    console.log("libmsaoaidsec.so --- " + Process.findModuleByName("libmsaoaidsec.so").base)
    Interceptor.attach(Module.findExportByName("libc.so", "pthread_create"), {
        onEnter(args) {
            let func_addr = args[2]
            console.log("The thread function address is " + func_addr)
        }
    })
}

function nop(addr) {
    Memory.patchCode(ptr(addr), 4, code => {
        const cw = new ThumbWriter(code, { pc: ptr(addr) });
        cw.putNop();
        cw.putNop();
        cw.flush();
    });
}

function bypass(){
    let module = Process.findModuleByName("libmsaoaidsec.so")
    nop(module.base.add(0x10AE4))
    nop(module.base.add(0x113F8))
}

setImmediate(hook_dlopen, "libmsaoaidsec.so")

在这里插入图片描述

至此,frida检测也就成功绕过了。

马到成功~
关注
  • 6
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
App之Hook调试解决办法
SC201204的博客
02-03 865
App之Hook调试解决办法
某物APP的newSign和X-Auth-Token
weixin_41259961的博客
04-07 1611
经测试,X-Auth-Token和newSign是必要的。
某书Frida检测绕过记录
最新发布
P1umH0的博客
04-19 1006
本来想要分析请求参数加密过程,结果发现APP做了Frida检测,于是记录一下绕过姿势(暴力但有用)Frida版本:16.2.1APP版本:8.31.0。
Android逆向——过frida检测+so层算法逆向
热门推荐
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
适用于Android检测版本frida-server。-Android开发
05-26
适用于Android检测版本frida-server。 strongR-frida-android用于Android检测版本frida-server。 遵循上游自动构建。 Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_server.patch frida-core 0003-pipe_linjector.patch frida-core 0004-io_frida_agent_so.patch frida-core 0005-symbol_frida_agent_main_thread.js补丁frida-core .patch frida-core 0007-thread_gmain.patch frida-core 0008-protocol_unexpected_command.patch下载版本
仿bili源码-喜欢就瞅两眼
06-13
喜欢就down下来瞅两眼,没什么难度,当然还得看自身。但是规范还是不错的。
Android P安装第三方输入法需要注意so文件的处理
lgc1990的博客
08-01 1110
androidP在集成第三方输入法的时候,根据网络给的教程一直没法打开。最后发现原来是写Android.mk文件的时候没有处理so库导致apk找不到库。把so库加上去即可以正常打开。注意这些so库名字可能会变化,而且需要注意自己的Android是64位还是32位的,根据需要进行添加。把上面的编辑一下,添加进Android.mk文件即可。...
android frida检测绕过
PwnGuo的博客
06-08 7386
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
对某旅行APP的检测以及参数计算分析【新手向-准备篇】
jmm18363027827的博客
03-09 1062
本文预计共会写3到4篇文章,总结学习过程中遇到的问题与解决的思路。涉及到的so主要有两个,一个是libmsaoaidsec.so 另一个是scmain.so版本为今年过年期间的版本。本篇主要会涉及到anti frida、socket抓包定位、simpxxxxxx参数的前置准备。frida 版本: 16.1.0。
anti-frida检测-某壳
weixin_43985113的博客
03-20 536
anti frida检测案例
《爬虫之-bili视频》源码
11-30
《爬虫之-bili视频》源码解压密码:tester。 《爬虫之-bili视频》源码解压密码:tester。 《爬虫之-bili视频》源码解压密码:tester。 《爬虫之-bili视频》源码解压密码:tester。
su.rar_100 chohe bili
09-23
100 chohe khane wali bil mil gi hai dekh lene... or batao orry
bili小程序demo
03-08
小程序bili demo, 小程序bili demo, ,小程序bili demo ,小程序bili demo
bili_dynamic_push
04-06
bili_dynamic_push声明:本仓库发布的bili_dynamic_push项目中涉及的任何脚本,仅用于测试和学习研究,禁止用于商业用途yr-wan 对任何脚本问题概不负责,包括但不限于由任何脚本错误导致的任何损失或损害以任何方式...
安卓逆向-加固后的APK包
Samsam的博客
02-04 1472
一些关于加固的基本认识 第三方加固/app公司自己加固 (一般在哪家应用市场上发布,就用哪家的加固方案(也可以选择不加固)) 加固方式(.dex加固、.so加固) 查看/确认加固: 不同厂商对APP的加固特征(可以先看lib,实在不知道可以拿so文件名到百度上搜搜看) 爱加密:libexec.so,libexecmain.so,ijiami.dat 梆梆: libsecexe.so,libsecmain.so , libDexHelper.so libSecShell.so 360:libprotectC
隐私合规:移动SDK指纹收集
天在等我,菜鸟想飞
06-20 3071
IntentServiceRunn。
frida调试
qq_32445755的博客
05-19 1037
frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。一般来说,frida检测由如下几个方面:检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。
安卓逆向 - Frida调试绕过
weixin_42840266的博客
09-03 4655
1、使用Frida的魔改版本 Hluda来隐藏Frida特征,其介绍:跟随 FRIDA 上游自动修补程序,并为 Android 构建检测版本的 frida-server。使用方式跟官方Frida没有区别。Frida是非常优秀的一款 Hook框架,人红是非多,市面上很多app都有相应的检测方案。针对以上的检测方式,我们可以尝试改文件名,改端口,spawn启动,隐藏frida特征等方式来绕过检测。6、检测/proc/pid/task/tip/status。5、检测/proc/pid/maps映射文件。
质点电子bili 代码
12-19
质点电子bili是一种用于模拟电子运动的计算机程序。它可以通过数值计算和模拟,展现电子在电场或磁场中的运动轨迹和受力情况。这个程序可以用来研究电子在材料中的输运性质,探索电子在微纳米尺度下的行为,还可以帮助理解电子在半导体器件中的作用。 质点电子bili代码的核心部分是计算电子在给定电场或磁场下的受力情况,然后根据受力情况计算电子的加速度和速度变化。通过不断迭代这一过程,可以模拟出电子在空间中的运动轨迹。 使用质点电子bili代码,研究人员可以通过输入不同的初始条件和外加场,模拟出不同情况下电子的运动轨迹。这有助于理解电子在不同环境下的行为特性,为材料科学、纳米技术和半导体物理等领域的研究提供重要的参考和支持。 总的来说,质点电子bili代码为研究电子运动提供了一个有效的工具,可以帮助人们更好地理解电子在不同条件下的行为规律,推动纳米科学和电子学领域的发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值