初探app反调试

作者：胡凯莉发布时间：2023-3-23 08:00:21

[md]## 常见frida检测

1、检测文件名（改名）、端口名27042（改端口）、双进程保护（spawn启动）

2、检测D-Bus

D-Bus是一种进程间通信(IPC)和远程过程调用(RPC)机制,最初是为Linux开发的,目的是用一个统一的协议替代现有的和竞争的IPC解决方案。

遍历连接手机所有端口发送D-bus消息，如果返回"REJECT"这个特征则认为存在frida-server。

内存中存在frida rpc字符串，认为有frida-server
/*

Mini-portscan to detect frida-server on any local port.
/
for(i = 0 ; i )&sa , sizeof sa) != -1) {
__android_log_print(ANDROID_LOG_VERBOSE, APPNAME, "FRIDA DETECTION [1]: Open Port: %d", i);
memset(res, 0 , 7);
// send a D-Bus AUTH message. Expected answer is “REJECT"
send(sock, "\x00", 1, NULL);
send(sock, "AUTH\r\n", 6, NULL);
usleep(100);
if (ret = recv(sock, res, 6, MSG_DONTWAIT) != -1) {
if (strcmp(res, "REJECT") == 0) {
/ Frida server detected. Do something… /
}
}
}
close(sock);
}

检测D-Bus可以通过hook系统库函数，比如strstr、strcmp等等

3、检测/proc/pid/maps映射文件

4、检测/proc/pid/tast/tid/stat/或者/proc/pid/task/tip/status

因为so载入的时候，底层最后open去打开的。所以再用frida去hook应用中的open函数，看看读取了哪些so或者文件，可以看到最后断在了/proc/self/maps。对于3、4有效

5、直接调用openat的syscall的检测在text节表中搜索frida-gadget.so / frida-agent.so字符串，避免了hook libc来anti-anti的方法

注入方式改为

1、frida-inject

2、ptrace注入配置文件的形式注入

3、编译rom注入

6、从inlinehook角度检测frida

https://bbs.kanxue.com/thread-269862.htm  未学习

https://zhuanlan.zhihu.com/p/557713016
hook_open函数可以查看是哪里检测了so文件
function hook_open(){
var pth = Module.findExportByName(null,"open");
Interceptor.attach(ptr(pth),{
      onEnter:function(args){
         this.filename = args[0];
         console.log("",this.filename.readCString())
         if (this.filename.readCString().indexOf(".so") != -1){
            args[0] = ptr(0)
         }
      },onLeave:function(retval){
         return retval;
      }
})
}
setImmediate(hook_open)
替换一个正常的
function main() {
  const openPtr = Module.getExportByName('libc.so', 'open');
  const open = new NativeFunction(openPtr, 'int', ['pointer', 'int']);
  var readPtr = Module.findExportByName("libc.so", "read");
  var read = new NativeFunction(readPtr, 'int', ['int', 'pointer', "int"]);
  var fakePath = "/data/data/com.app/maps";
  var file = new File(fakePath, "w");
  var buffer = Memory.alloc(512);
  Interceptor.replace(openPtr, new NativeCallback(function (pathnameptr, flag) {
   var pathname = Memory.readUtf8String(pathnameptr);
   var realFd = open(pathnameptr, flag);
   if (pathname.indexOf("maps") >= 0) {
      while (parseInt(read(realFd, buffer, 512)) !== 0) {
            var oneLine = Memory.readCString(buffer);
            if (oneLine.indexOf("tmp") === -1) {
               file.write(oneLine);
            }
      }
      var filename = Memory.allocUtf8String(fakePath);
      return open(filename, flag);
   }
   var fd = open(pathnameptr, flag);
   return fd;
  }, 'int', ['pointer', 'int']));
}
setImmediate(main)
检测点是maps、status

1、替换

2、映射

使用方法把解压后的maps和status文件拷贝到sdcard目录下，并chmod给777权限然后frida使用bypassFulao2.js脚本

查看当前运行软件的包名和类名:

adb shell dumpsys window |grep mCurrentFocus

去脱壳的dex文件夹中搜索

grep -ril "com.ilulutv.fulao2.main.MainActivity"

jadx查看

jadx-gui classes08.dex

新版jadx修改checknum

[/md]

文件, 端口

初探app反调试

相关帖子

热门主题

除了国内的阿里云和腾讯云，请问国外的网站

这种说法真的是离谱的一批.......

想换个电脑买 macmini 还是神舟？

不去站长平台注册，会不会出收录？

过期一天了。

购买蚂蚁保时，不需要体检，那赔付的时候会

预测2025年网络做什么最赚钱（正规的）

新买的 n100 2.5g 网卡小主机， pve 8.3 网

Superlmage Pro 1.7.5版

程序员的现状

热门板块

公告

网站帮助 - Yoo趣儿

我们的愿景

在 Yoo趣儿投放广告

Yoo趣儿网站用户应遵守规则

初探app反调试

相关帖子

热门主题

除了国内的阿里云和腾讯云，请问国外的网站

这种说法真的是离谱的一批.......

想换个电脑买 macmini 还是神舟？

不去站长平台注册，会不会出收录？

过期一天了。

购买蚂蚁保时，不需要体检，那赔付的时候会

预测2025年网络做什么最赚钱（正规的）

新买的 n100 2.5g 网卡小主机， pve 8.3 网

Superlmage Pro 1.7.5版

程序员的现状

热门板块

公告

网站帮助 - Yoo趣儿

我们的愿景

在 Yoo趣儿 投放广告

Yoo趣儿网站用户应遵守规则

在 Yoo趣儿投放广告