181203 逆向-基于Frida的VM_log工具

最新推荐文章于 2024-08-18 20:40:38 发布
最新推荐文章于 2024-08-18 20:40:38 发布
阅读量1.5k 收藏 2
点赞数 3
分类专栏: 各种工具 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/84778032
版权
本文介绍了如何使用Frida工具在CTF的虚拟机题目中,通过插桩技术获取VM执行过程中的数据变化,以辅助解密算法的分析。作者以鹏城杯为例,展示了一个简单的VM_log工具的实现,该工具能在Linux环境下,基于Python 2运行。通过指定程序名称、Hook地址、数据地址和长度等参数,可以生成执行日志。在面对反调试代码时,文章也提供了一种解决方法,并分享了利用日志反推出输入数据的思路。
摘要由CSDN通过智能技术生成

做CTF中的VM题一直都是在python中手写一遍所有的handler来模拟执行VM,然后打log并结合代码来猜测逻辑
然后慢慢地产生一个想法、本身程序也有在执行这个VM,何苦还要再手写VM呢,反正大多数情况下需要的只是log–再具体说的话就只是程序的reg和data而已
通过在VM的每次loop之间插桩拿到data,也同样可以打出log
由于CTF中的VM大多数情况下都不会很复杂,因此完全可以通过观察input数据和data的变化来猜测算法

于是以前两天的鹏城杯为例,写出了这个工具(的雏形)
由于缺乏项目经验,所以完善度比较差_(:з」∠)_还请大佬见谅

简单来说给定地址和长度,即可将数据send回py的callback函数,然后通过py进行格式化输出,可选参数都在代码开头部分,linux下基于py2

  • program_name
    程序名称
  • hook_addr
    要Hook的地址,一般位于VM_loop的开头
  • data_addr
    要dump的数据地址
  • data_length
    数据的长度
  • data_fromat
    打印数据的进制,仅接受16和10
  • test_input
    猜测的输入
  • input_length
    输入长度,当test_input小于该长度时会以comp_char补足
  • anti_debug
    程序若有反调试代码,则需要根据实际情况进行反调试。由于Frida是通过ptrace来实现的,因此对于ptrace(TRACE_ME)会没有办法。最简单的办法当然是Patch,如果不便需要Hook的话,本程序提供了LD_PRELOAD的方法来绕过一些函数。将下述代码编
最低0.47元/天 解锁文章
奈沙夜影
关注
专栏目录
frida调试
qq_32445755的博客
05-19 1207
frida逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。一般来说,frida检测由如下几个方面:检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。
【安卓逆向frida hook so模板
Coodekun的博客
07-07 625
免责声明本文内容仅供学习交流使用,严禁用于商业和非法用途。抓包数据、敏感网址以及数据接口已进行脱敏处理。 注:如有引用,请标注文章地址!!!!!!!
Frida 反反调试
TF的博客
08-09 1955
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
Frida 的使用
最新发布
qq_39217312的博客
08-18 1035
Frida 是一个基于 Python 和 JS 的 Hook 与调试框架,是一款易用的跨平台 Hook 工具,无论 Java 层的逻辑,还是 Native 层(c/c++ 编写的逻辑) 的逻辑,它都可以 Hook . Frida 可以把代码插入原生 App 的内存空间,然后动态的监视和修改其行为,支持 windows ,Mac ,Linux ,Android, ios 全平台。
过某交友软件frida调试
头铁逆向的旅程
06-30 6574
过某交友软件的frida检测
阶段一 - Frida 检测绕过
dafan0的博客
05-12 1906
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
Android逆向-实战so分析-某洲_v3.5.8_unidbg学习
哔_哩哩!的博客
07-20 5261
文章目录1.unidbg的介绍2.unidbg的安装2.1.下载unidbg工具2.2.导入IDEA2.3.验证导入是否成功3.unidbg的使用3.1.目标方法静态分析3.2.模拟执行目标方法3.3.算法分析3.3.1.OLLVM去混淆3.3.2.指令级TraceJNIEnv、jobject、jclassJNIEnv指针是什么东西?jobject和jclass又有什么区别? 1.unidbg的介绍 unidbg是一款基于unicorn的用来模拟执行so的逆向工具,可以让安全研究人员直接在PC上运行andr
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
03-09
本文档旨在探讨如何使用Frida工具辅助进行Android应用逆向工程中的ollvm指令替换技术。逆向工程是软件安全领域的一个重要组成部分,通过分析二进制程序的内部结构和行为,来理解其工作原理并发现潜在的安全漏洞或...
渗透测试-Frida逆向入门之native层Hook
cdyunaq的博客
02-23 2308
该文章来自R0ysue书籍SO HOOk的总结 11.1 Native基础 11.1.1 NDK基础介绍: 1、安卓开发中除了java编译的dex由ART/Davilk虚拟机执行外、还存在C/C++编译的动态链接库文件由CPU执行 2、JAVA依赖SDK、C/C++需要NDK依赖库 3、NDK关键之一JNI、JNI可以完成在java调用C/C++函数。也可以在C/C++中调用java函数 4、JNI是JVM虚拟机的一部分 11.2.1 NDK开发 创建项目,会比不使用NDK的多cpp目录,c
学习笔记-Frida调试思路和hook native
人饭子的博客
11-11 2234
用户代码 native hook Frida调试与反反调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 反调试 17种的so的反调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
Android APP破解利器Frida之反调试对抗
weixin_34138139的博客
09-19 5431
本文讲的是Android APP破解利器Frida之反调试对抗,在我发表了关于Frida的第二个博文后不久,@muellerberndt决定发布另外一个新的OWASP Android破解APP,我很想知道我是否可以再次使用Frida解决这个CrackMe。如果你想跟随我一起操作,你需要做以下准备: ·OWASP Level2的CrackMe APK...
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 9455
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
[车联网安全自学篇] ATTACK安全之Frida调试检测
橙留香Park的博客
11-25 1266
[车联网安全自学篇] ATTACK安全之Frida调试检测;在开始正式讲反调试之前,我们先来了解一些基础知识逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全的渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握反编译已编译的APK应用程序的能力、应用程序
frida保存日志文件
宁不知的博客
10-23 3572
python remote.py > > 1.txt
frida 将日志保存到txt文件中
北京流年
05-08 432
frida将日志保存到txt文件中
记录一次Frida框架的使用
BadRer的博客
03-17 3683
前言 最近了解到Frida这个框架,感觉很神奇,同样是hook,但是不用像xposed那么麻烦。而且安装也十分的简单。安装可以看这篇文章 XposedHook 这里用xposed框架实现了一遍。比较简单,就不多讲了。 主要代码如下: public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageP...
绕过bili frida调试
头铁逆向的旅程
04-29 5431
绕过bilibili frida调试
frida检测和应对
signature=的博客
12-05 1351
检测Frida的SSL Pinning绕过:Frida可以用来绕过应用程序的SSL Pinning机制,使得对网络通信的拦截和劫持变得可能。例如,可以检测Frida使用的提升权限的API调用、Frida运行时注入的代码等。检测Frida的远程调用:Frida可以通过网络进行远程调用,因此可以用于攻击应用程序的远程接口。这些机制可以通过验证函数的哈希值或签名来确保函数的完整性。应对方法:应用程序可以使用更强大的SSL Pinning机制,如使用自定义的根证书和证书链验证工具,以防止Frida的绕过行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值