frida反调试

最新推荐文章于 2024-07-11 14:24:50 发布
最新推荐文章于 2024-07-11 14:24:50 发布
阅读量5.6k 收藏 1
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuzhao3426707/article/details/129728844
版权
这篇博客探讨了如何利用frida进行反调试技术,包括检测文件名、端口、D-Bus、映射文件和进程状态。通过hook系统库函数、检查maps和status文件,以及针对openat的syscall检测,防止调试器的注入。文中还提到了frida-inject、ptrace注入和编译ROM注入等替代注入方式,并提供了部分源代码示例。
摘要由CSDN通过智能技术生成

frida反调试

常见frida检测

1、检测文件名(改名)、端口名27042(改端口)、双进程保护(spawn启动)

2、检测D-Bus

D-Bus是一种进程间通信(IPC)和远程过程调用(RPC)机制,最初是为Linux开发的,目的是用一个统一的协议替代现有的和竞争的IPC解决方案。

function main() {
const openPtr = Module.getExportByName(‘libc.so’, ‘open’);
const open = new NativeFunction(openPtr, ‘int’, [‘pointer’, ‘int’]);
var readPtr = Module.findExportByName(“libc.so”, “read”);
var read = new NativeFunction(readPtr, ‘int’, [‘int’, ‘pointer’, “int”]);
var fakePath = “/data/data/com.app/maps”;
var file = new File(fakePath, “w”);
var buffer = Memory.alloc(512);
Interceptor.replace(openPtr, new NativeCallback(function (pathnameptr, flag) {
var pathname = Memory.readUtf8String(pathnameptr);
var realFd = open(pathnameptr, flag);
if (pathname.indexOf(“maps”) >= 0) {
w

最低0.47元/天 解锁文章
分享家
关注
[车联网安全自学篇] ATTACK安全之Frida调试检测
橙留香Park的博客
11-25 1246
[车联网安全自学篇] ATTACK安全之Frida调试检测;在开始正式讲调试之前,我们先来了解一些基础知识逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全的渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握编译已编译的APK应用程序的能力、应用程序
学习笔记-Frida调试思路和hook native
人饭子的博客
11-11 2189
用户代码 native hook Frida调试调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 调试 17种的so的调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
Android APP破解利器Frida调试对抗
weixin_34138139的博客
09-19 5414
本文讲的是Android APP破解利器Frida调试对抗,在我发表了关于Frida的第二个博文后不久,@muellerberndt决定发布另外一个新的OWASP Android破解APP,我很想知道我是否可以再次使用Frida解决这个CrackMe。如果你想跟随我一起操作,你需要做以下准备: ·OWASP Level2的CrackMe APK...
frida过检测
最新发布
qq_62204036的博客
07-11 389
【代码】frida过检测。
i茅台app逆向分析frida调试
zxc979647835的专栏
05-15 3726
frida的作用在逆向中尤其重要,一攻一防的frida调试定位带你一探究竟。文章仅供思路参考,请勿用作非法攻击
Frida 调试
TF的博客
08-09 1844
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
阶段一 - Frida 检测绕过
dafan0的博客
05-12 1770
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
过某交友软件frida调试
头铁逆向的旅程
06-30 6511
过某交友软件的frida检测
frida调试hook 知乎
06-21
Frida如何实现调试hook: 1. **Hooking API**:Frida提供了一个低级别的API,可以让你在特定的内存地址或函数上调用前或调用后插入自己的JavaScript代码。 2. **动态加载**:Frida不会在系统启动时就被加载,...
360加固逆向脱壳之过调试-附件资源
03-02
360加固逆向脱壳之过调试-附件资源
fulao2_190_3-1640415136755.apk
10-10
fulao2_190_3-1640415136755.apk
绕过bili frida调试
头铁逆向的旅程
04-29 5228
绕过bilibili frida调试
安卓 调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 9174
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app调试映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
181203 逆向-基于Frida的VM_log工具
whklhhhh的博客
12-03 1544
做CTF中的VM题一直都是在python中手写一遍所有的handler来模拟执行VM,然后打log并结合代码来猜测逻辑 然后慢慢地产生一个想法、本身程序也有在执行这个VM,何苦还要再手写VM呢,正大多数情况下需要的只是log–再具体说的话就只是程序的reg和data而已 通过在VM的每次loop之间插桩拿到data,也同样可以打出log 由于CTF中的VM大多数情况下都不会很复杂,因此完全可以通...
安卓逆向环境检测--frida
weixin_44348983的博客
06-26 2319
安卓、逆向、检测
r0capture!安卓应用层抓包通杀脚本
潇湘信安的博客
09-18 561
仅限安卓平台,测试安卓7、8、9、10、11、12、13 可用;无视所有证书校验或绑定,不用考虑任何证书的事情;通杀TCP/IP四层模型中的应用层中的全部协议;通杀协议包括:Http,WebSocket,Ftp,Xmpp,Imap,Smtp,Protobuf等等、以及它们的SSL版本;通杀所有应用层框架,包括HttpUrlConnection、Okhttp1/3/4、Retrofit/Volley等等;无视加固,不管是整体壳还是二代壳或VMP,不用考虑加固的事情;
游戏调试方案解析与frida/IDA框架分析
FairGuard手游加固(企业官方博客)
07-07 705
随着游戏安全对抗强度的提升,黑灰产的破解手段也进化为静态分析与动态调试相结合的形式。
frida检测和应对
signature=的博客
12-05 1281
检测Frida的SSL Pinning绕过:Frida可以用来绕过应用程序的SSL Pinning机制,使得对网络通信的拦截和劫持变得可能。例如,可以检测Frida使用的提升权限的API调用、Frida运行时注入的代码等。检测Frida的远程调用:Frida可以通过网络进行远程调用,因此可以用于攻击应用程序的远程接口。这些机制可以通过验证函数的哈希值或签名来确保函数的完整性。应对方法:应用程序可以使用更强大的SSL Pinning机制,如使用自定义的根证书和证书链验证工具,以防止Frida的绕过行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

分享家

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值