i茅台app逆向分析frida反调试

已于 2023-07-12 01:19:11 修改
阅读量3.5k 收藏 30
点赞数 6
分类专栏: 安卓逆向 文章标签: java android 开发语言 安全
于 2023-05-15 14:11:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxc979647835/article/details/130682638
版权

文章仅供思路参考,请勿用作非法攻击

环境:

i茅台 1.3.7

frida 14.2.17

安卓 9 系统

frida注入

常规frida不注入任何脚本

frida -U -f com.moutai.mall --no-pause
    / _  |   Frida 14.2.17 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
Spawned `com.moutai.mall`. Resuming main thread!                        
[MI 8::com.moutai.mall]-> Process terminated
[MI 8::com.moutai.mall]->

这种情况就是有frida反调试,frida的反调试可以写在java层或者so层,搜罗网上的方法,比较

普遍的就是:使用葫芦娃版本的frida、改frida_server的名称,修改frida_server的端口,文章中的frida_server均已满足以上条件,情况比较严峻。

反调试定位:

这个app是有壳的,防护大概率会是在so层,毕竟java层的反调试已经过时了,我们可以通过hook安卓系统的libdl.so中的android_dlopen_ext来定位问题出现在哪个so,定位到具体so再定位so里面的反调试线程,找出来反调试线程最终把反调试线程替换成空函数以达到绕过frida检测的目的,以下是hook 安卓系统libdl.so中的android_dlopen_ext函数代码

function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    console.log(path);
                    
                }
            }
        }
    );
}

setImmediate(hook_dlopen,"");

 以上hook代码的作用用于定位反调试出现在哪个so文件

└─# frida -U -f com.moutai.mall -l imoutai.js --no-pause
     ____
    / _  |   Frida 14.2.17 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
Spawned `com.moutai.mall`. Resuming main thread!                        
[MI 8::com.moutai.mall]-> /system/framework/oat/arm64/org.apache.http.legacy.boot.odex
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/oat/arm64/base.odex
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libnesec.so
Process terminated
[MI 8::com.moutai.mall]->

Thank you for using Frida!

 通过将js代码注入到目标app,根据以上显示可以发现 libnesec.so 的可能性非常大,注入多次后仍然是停留在这个so,说明这个so内部有函数做了反调试处理。我们修改修改js代码,以便能定位反调试线程,新的js代码如下:

var soaddr = null;
function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) != -1) {
                        
                        this.hook = true;
                        
                    }
                    console.log(path);
                    
                }
            },
            onLeave:function(ret){
                if (this.hook = true) {
                  
                    soaddr = Module.findBaseAddress("libnesec.so");
                    hook_pthread_create();
                }
            }
        }
    );
}
function printNativeStack(context, name) {
    var trace = Thread.backtrace(context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join("\n");
   console.log(trace)
  }
function hook_pthread_create() {
    
    Interceptor.attach(Module.findExportByName("libc.so", "pthread_create"), {
        onEnter(args) {
            var func_addr = args[2]
            
            var offes = func_addr.sub(soaddr);
            console.log("The thread function address is " + offes);
           
            
            
        }
    })
}
setImmediate(hook_dlopen,"libnesec.so");

 注入以上代码返回以下

──(root💀r0env)-[~/Desktop/frida_js]
└─# frida -U -f com.moutai.mall -l imoutai.js --no-pause
     ____
    / _  |   Frida 14.2.17 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
Spawned `com.moutai.mall`. Resuming main thread!                        
[MI 8::com.moutai.mall]-> /system/framework/oat/arm64/org.apache.http.legacy.boot.odex
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/oat/arm64/base.odex
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libnesec.so
The thread function address is 0x8abb4
The thread function address is 0x8abb4
The thread function address is 0x8abb4
The thread function address is 0x7598c
The thread function address is 0x7598c
The thread function address is 0x7598c
The thread function address is 0x6e348
The thread function address is 0x6e348
The thread function address is 0x6e348
The thread function address is 0x9baef4fc
The thread function address is 0x9baef4fc
The thread function address is 0x9baef4fc
The thread function address is 0x8ac9c
The thread function address is 0x8ac9c
The thread function address is 0x8ac9c
The thread function address is 0x88e04
The thread function address is 0x88e04
The thread function address is 0x88e04
Process terminated
[MI 8::com.moutai.mall]->

 根据以上结果配合分析得知:0x88e04 这个偏移地址就是frida反调试线程,我们再次修改js代码为如下,把反调试的函数替换成空的函数,达到绕过的目的。

var soaddr = null;
function hook_dlopen(soName = '') {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),
        {
            onEnter: function (args) {
                var pathptr = args[0];
                
                if (pathptr !== undefined && pathptr != null) {
                    var path = ptr(pathptr).readCString();
                    if (path.indexOf(soName) != -1) {
                        
                        this.hook = true;
                        
                    }
                    console.log(path);
                    
                }
            },
            onLeave:function(ret){
                if (this.hook = true) {
                  
                    soaddr = Module.findBaseAddress("libnesec.so");
                    hook_pthread_create();
                }
            }
        }
    );
}
function printNativeStack(context, name) {
    var trace = Thread.backtrace(context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join("\n");
   console.log(trace)
  }
function hook_pthread_create() {
    
    Interceptor.attach(Module.findExportByName("libc.so", "pthread_create"), {
        onEnter(args) {
            let func_addr = args[2]
            
            var offes = func_addr.sub(soaddr);
  
            if (offes == 0x88e04) {
            
                
                Interceptor.replace(func_addr,new NativeCallback(function(){
                    console.log("0x891b8 replaces");
                },'void',[]));
                
            }
            
            
        }
    })
}
setImmediate(hook_dlopen,"libnesec.so");
─# frida -U -f com.moutai.mall -l imoutai.js --no-pause
     ____
    / _  |   Frida 14.2.17 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
Spawned `com.moutai.mall`. Resuming main thread!                        
[MI 8::com.moutai.mall]-> /system/framework/oat/arm64/org.apache.http.legacy.boot.odex
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/oat/arm64/base.odex
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libsecsdk.so
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libc++_shared.so
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libmmkv.so
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libproperty_get.so
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libBugly.so
/data/app/com.moutai.mall-ZqwkhQsJ0Sxyv7X-FRkGlw==/lib/arm64/libCryptoSeed.so
/system/framework/oat/arm64/gson.odex
/data/dalvik-cache/arm64/system@app@MiuiContentCatcher@MiuiContentCatcher.apk@classes.dex
/data/dalvik-cache/arm64/system@app@CatcherPatch@CatcherPatch.apk@classes.dex
/vendor/lib64/hw/gralloc.sdm845.so
/vendor/lib64/hw/android.hardware.graphics.mapper@2.0-impl-qti-display.so
[MI 8::com.moutai.mall]-> Frida
{
    "version": "14.2.17"
}
[MI 8::com.moutai.mall]->

完结:

至此本文就结束了,大佬轻喷.。。。交流群:613707164

 

皮特庞
关注
  • 6
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
最新X货APP逆向教程
06-01
最新识货APP逆向教程,强制更新,frida调试,抓包,drony,SocksDroid,ProxyDroid,拦截器绕过。需要的直接下载,5月31刚逆向成功。部分小结代码: import requests res = requests.post( url="https://shapi.shihuo.cn/daga/search/goods/v1", params={ "minVersion": "15670", "clientCode": "%7Bholder%7D", "v": "7.20.1", "channel": "huawei", "device": "M2007J18D", "platform": "android", "timestamp": "1668163363382", }, json={ "goodsListType": "goodsList",
App之Hook调试解决办法
SC201204的博客
02-03 1037
App之Hook调试解决办法
Android逆向调试 - Frida 检测绕过
最新发布
dafan0的博客
05-12 1519
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
i茅台app逆向分析
Kaiser的博客
04-05 5369
写在前面 本文旨在经验交流,如若侵犯利益,请联系删除。 抓包环境 Xposed框架、justTrustMePlush模块、packetcapture(抓包工具)、jadx(编译)、雷电模拟器 给模拟器安装Xposed框架,激活justTrustMePlush模块,之后可以正常抓到包,如下图 参数分析 简单看一下参数,发现请求体没有加密参数,协议头有三个加密参数:MT-Device-ID、MT-Request-ID、MT-R,打开jadx查看编译源码,分析参数加密方式。编译过程中发现全局
i茅台抢购系统逆向开发分析
wei_java144的博客
06-19 505
1. 安装逆向工具:在进行i茅台app逆向之前,需要安装相关的逆向工具,如IDA Pro、Hopper、Frida等。这些工具可以帮助我们分析i茅台app的二进制代码,寻找其中的漏洞和制措施。可以使用抓包工具(如Wireshark)捕获i茅台app与服务器之间的数据包,分析其中的协议和参数。2. 分析代码:使用逆向工具打开i茅台app的二进制代码,分析其中的代码结构和逻辑。4. 修改代码:在了解了i茅台app的代码结构和通信协议之后,可以尝试修改代码,绕过一些限制或者实现一些额外的功能。
iOS逆向之某茅台App抓包
小陈的技术博客
08-02 1776
由于某茅台App有抓包检测,无法直接使用charles等工具抓包。本文的目的自然就是如何修改源码并抓任意接口
Frida 调试
TF的博客
08-09 1695
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
Frida 调试, 内核img
08-09
Frida 调试, 内核img
Androidfrida注入检测的demo
08-14
Frida是一种动态代码插桩工具,开发者和逆向工程师常常用它来对运行中的应用程序进行调试和分析。然而,这种工具也可能被恶意攻击者用于非法目的,如窃取数据或操控应用行为。因此,了解并实施AndroidFrida注入...
安卓逆向之—Frida持久化方案
08-02
安卓逆向之—Frida持久化方案 实例代码。 Frida 持久化方案,不需要改room ,容易集成到现有代码中。 主程序也可以和 frida js 进行交互。Frida 检测机制比较好,比如端口检测,进程检测,都检测不到。
360加固逆向脱壳之过调试-附件资源
03-02
360加固逆向脱壳之过调试-附件资源
绕过bili frida调试
头铁逆向的旅程
04-29 4929
绕过bilibili frida调试
android调试方法,Android平台融合多特征的APP调试方法与流程
weixin_39851809的博客
05-26 133
本发明涉及Android平台融合多特征的APP调试方法,属于计算机与信息科学技术领域。背景技术:应用程序本身并不具备调试的功能,但是动态调试是动态分析应用逻辑、动态脱壳等攻击方式所采取的必要手段。为了防止攻击者使用调试工具调试应用程序,进而动态分析程序逻辑、实现进程注入、修改寄存器,需要对APP加以调试的保护,为了防止攻击者利用调试方法绕过调试,需要对APP加以调试的自我保护。因此,...
frida调试
xuzhao3426707的博客
03-23 5683
frida调试
学习笔记-Frida调试思路和hook native
人饭子的博客
11-11 2125
用户代码 native hook Frida调试调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 调试 17种的so的调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
r0capture!安卓应用层抓包通杀脚本
潇湘信安的博客
09-18 496
仅限安卓平台,测试安卓7、8、9、10、11、12、13 可用;无视所有证书校验或绑定,不用考虑任何证书的事情;通杀TCP/IP四层模型中的应用层中的全部协议;通杀协议包括:Http,WebSocket,Ftp,Xmpp,Imap,Smtp,Protobuf等等、以及它们的SSL版本;通杀所有应用层框架,包括HttpUrlConnection、Okhttp1/3/4、Retrofit/Volley等等;无视加固,不管是整体壳还是二代壳或VMP,不用考虑加固的事情;
安卓 调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 8081
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Javajava层检测的实际很容易就能找到,因为app调试映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Frida动态调试第三方app
06-02
要使用 Frida 进行第三方应用程序的动态调试,需要进行以下步骤: 1. 手机或模拟器需要具有 root 权限。 2. 在手机或模拟器中安装 Frida Server。可以下载最新版的 Frida Server,并将其推送到 /data/local/tmp 目录下,然后在命令行中运行以下命令启动 Frida Server: ``` adb push frida-server-14.2.18-android-x86 /data/local/tmp/frida-server adb shell chmod 755 /data/local/tmp/frida-server adb shell /data/local/tmp/frida-server & ``` 其中,frida-server-14.2.18-android-x86 是 Frida Server 的文件名,根据具体的情况可能会有所不同。 3. 在 Frida 的命令行中使用以下命令连接到设备: ``` frida -U ``` 4. 在 Frida 的命令行中使用以下命令列出设备上的应用程序: ``` frida-ps -U ``` 5. 选择需要进行动态调试的应用程序,并记录其进程 ID。 6. 在 Frida 的命令行中使用以下命令启动应用程序,并在其进程中注入 Frida: ``` frida -U -p 进程ID -l hook.js --no-pause ``` 其中,进程ID 是第 5 步中记录的应用程序的进程 ID,hook.js 是 Hook 代码所在的 JavaScript 文件。 7. 在 Android Studio 中编写 Hook 代码,并将其保存为 hook.js 文件。 8. 在 Hook 代码中使用 Java.use() 或 Java.choose() 等函数来 Hook 应用程序中的类和方法。 9. 在命令行中运行第 6 步中的命令,等待应用程序启动,然后在 Android Studio 的 Logcat 中查看 Hook 的结果。 需要注意的是,在使用 Frida 进行第三方应用程序的动态调试时,需要注意遵守法律法规和伦理道德,不要进行非法活动。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值