常见检测方式
进程名检测
使用如下命令查看进程
这里我去官网下载一份frida-server
启动frida后,查看进程,会发现有frida-sever字样
绕过方式
修改文件名,把frida-server文件名字改掉
进程名字就会变成修改后的名字
端口检测
frida默认使用的端口是27042,有些app会检测是否开放了27042端口
可以通过如下命令查看端口
1
| netstat -anp | grep 27042
|
注意:以下方式需要手机和电脑互相能Ping通
绕过方式
更改端口
1
| ./frida-server -l 0.0.0.0:7777
|
在电脑上进行端口转发
1
| adb forward tcp:7777 tcp:7777
|
脚本运行
1
| frida -H 127.0.0.1:7777 -F -l xxx.js
|
另一种不需要端口转发的方式
在更改端口前查看本机IP地址,然后更改端口
1
| ./frida-server -l 192.168.xx.xx:7777
|
脚本运行
1
| frida -H 192.168.xx.xx:7777 -F -l xxx.js
|
对于Python脚本
端口转发后
1
2
3
| str_host = "127.0.0.1:7777"
manager = firda.get_device_manager()
rdev = manager.add_remote_device(str_host)
|
D-Bus网络通信协议
frida-server使用D-Bus网络通信协议,有些app会遍历内部所有端口,向端口发送信息,如果回复了REJECT则表示此端口是frida-server,检测到正在使用frida进行调试。
绕过方式
hook系统中的 strstr / strcmp 函数,如果出现”REJECT”字样,返回false。
maps文件
maps 文件通常与进程的内存映射有关。
它位于/proc/pid/maps,其中pid是正在运行的进程的PID。
通如下命令查看
1
| cat /proc/pid/maps | grep frida
|
会发现有frida-agent-64.so字样
绕过方式
hook系统中的 strstr / strcmp 函数,如果出现”frida”,”frida-agent”,”tmp”等字样,返回false。
task目录
/proc/pid/task目录包含了有关进程中所有线程的信息。
task目录下的第一个tid是主线程,其他的是子线程。
子线程目录里有一个status文件,里面提供了详细的线程信息。
frida-server启动且frida附加到一个app后,在task目录下会生成frida的相关线程文件,包含相关线程信息。
查看status文件后发现,存在与frida有关的线程名,可能会被检测。
- gmain
- gdbus
- gum-js-loop
- pool-frida
绕过方式
hook系统中的 strstr / strcmp 函数,如果出现”gmain”,”gdbus”,”gum-js-loop”等字样,返回false。
fd目录(旧版frida特征)
/proc/<pid>/fd 目录是进程的文件描述符目录,存储了与进程相关的所有文件描述符(file descriptors)的符号链接。提供系统中运行进程的实时信息。
frida-server启动且frida附加到一个app后,在fd目录下可能会生成”linjector-1”这个文件,也可能会被检测。
绕过方式
hook系统中的 strstr / strcmp 函数,如果出现”linjector”字样,返回false。
frida目录(旧版frida特征)
frida-server运行起来之后,会自动在/data/local/tmp(frida-server放在/data/local/tmp目录下)目录下生成一个re.frida.server目录,在re.frida.server这个目录里就会有包含frida的特征的文件名如frida-agent-64.so、frida-agent-32.so、frida-helper-32、linjector-1
绕过方式
hook系统中的 strstr / strcmp 函数,如果出现”tmp”字样,返回false。
hook脚本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
| function replace_str() {
var pt_strstr = Module.findExportByName("libc.so","strstr");
var pt_strcmp = Module.findExportByName("libc.so","strstr");
console.log("pt_strstr:",pt_strstr);
console.log("pt_strcmp:",pt_strcmp);
Interceptor.attach(pt_strstr, {
onEnter: function (args) {
if (args[0].isNull() || args[1].isNull()) {
console.log("strstr: One of the arguments is NULL");
return;
}
var str1 = args[0].readCString();
var str2 = args[1].readCString();
if (str2.indexOf("REJECT") >= 0 ||
str2.indexOf("frida") >= 0 ||
str2.indexOf("frida-agent") >= 0 ||
str2.indexOf("gmain") >= 0 ||
str2.indexOf("gum-js-loop") >= 0 ||
str2.indexOf("tmp") >= 0 ||
str2.indexOf("maps") >= 0 ||
str2.indexOf("gdbus") >= 0 ||
str2.indexOf("linjector") >= 0) {
console.log("strstr-->", str1, str2);
this.hook = true;
}
},
onLeave: function (retval) {
if (this.hook) {
retval.replace(0);
}
}
});
Interceptor.attach(pt_strcmp, {
onEnter: function (args) {
if (args[0].isNull() || args[1].isNull()) {
console.log("strcmp: One of the arguments is NULL");
return;
}
var str1 = args[0].readCString();
var str2 = args[1].readCString();
if (str2.indexOf("REJECT") >= 0 ||
str2.indexOf("frida") >= 0 ||
str2.indexOf("frida-agent") >= 0 ||
str2.indexOf("gmain") >= 0 ||
str2.indexOf("gum-js-loop") >= 0 ||
str2.indexOf("tmp") >= 0 ||
str2.indexOf("maps") >= 0 ||
str2.indexOf("gdbus") >= 0 ||
str2.indexOf("linjector") >= 0) {
console.log("strcmp-->", str1, str2);
this.hook = true;
}
},
onLeave: function (retval) {
if (this.hook) {
retval.replace(0);
}
}
});
}
replace_str();
|
线程检测
检测frida的线程通常不会是主线程,主线程与业务相关,通过创建子线程来检测frida,在此线程中循环检测。
检测方式
在C语言中有一个pthread_create函数,这个函数的作用是创建线程
定位so
首先定位检测frida的线程的是在哪个so里通过pthread_create函数创建的。(通过hook dlopen进行判断)
替换线程中的函数实现绕过
hook pthread
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| function hook_dlopen(){
var android_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");
console.log("addr_android_dlopen_ext",android_dlopen_ext);
Interceptor.attach(android_dlopen_ext,{
onEnter:function(args){
var pathptr = args[0];
if(pathptr!=null && pathptr != undefined){
var path = ptr(pathptr).readCString();
if(path.indexOf("libmsaoaidsec.so")!=-1){
console.log("android_dlopen_ext:",path);
hook_pthread()
}
}
},
onLeave:function(retvel){
}
})
}
function hook_pthread() {
var pth_create = Module.findExportByName("libc.so", "pthread_create");
console.log("[pth_create]", pth_create);
Interceptor.attach(pth_create, {
onEnter: function (args) {
var module = Process.findModuleByAddress(args[2]);
if (module != null) {
console.log("address", module.name, args[2].sub(module.base));
}
},
onLeave: function (retval) {}
});
}
function main(){
hook_dlopen()
}
main()
|
替换线程函数
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
| function hook_dlopen(){
var android_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");
console.log("addr_android_dlopen_ext",android_dlopen_ext);
Interceptor.attach(android_dlopen_ext,{
onEnter:function(args){
var pathptr = args[0];
if(pathptr!=null && pathptr != undefined){
var path = ptr(pathptr).readCString();
if(path.indexOf("libmsaoaidsec.so")!=-1){
console.log("android_dlopen_ext:",path);
hook_call_constructors()
}
}
},
onLeave:function(retvel){
}
})
}
function hook_pthread() {
var pth_create = Module.findExportByName("libc.so", "pthread_create");
console.log("[pth_create]", pth_create);
Interceptor.attach(pth_create, {
onEnter: function (args) {
var module = Process.findModuleByAddress(args[2]);
if (module != null) {
console.log("address", module.name, args[2].sub(module.base));
}
},
onLeave: function (retval) {}
});
}
function hook_call_constructors(){
var linker = Process.findModuleByName("linker64");
var symbols = linker.enumerateSymbols();
var addr_call_constructors = null;
var symbol = null;
for(var index =0;index<symbols.length;index++){
symbol = symbols[index];
if(symbol.name==="__dl__ZN6soinfo17call_constructorsEv"){
addr_call_constructors = symbol.address;
break;
}
}
var listener = Interceptor.attach(addr_call_constructors,{
onEnter:function(args){
console.log("hooked call_constructors")
var module = Process.findModuleByName("libmsaoaidsec.so")
if (module != null) {
Interceptor.replace(module.base.add(0x175f8), new NativeCallback(function () {
console.log("0x175f8:替换成功")
}, "void", []))
Interceptor.replace(module.base.add(0x16d30), new NativeCallback(function () {
console.log("0x16d30:替换成功")
}, "void", []))
listener.detach()
}
},
onLeave:function(ret){
}
})
}
function main(){
hook_dlopen()
}
main()
|