一例简单的frida反调试绕过

2023-05-21 888

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 一例简单的frida反调试绕过

前言

最近在分析一款app时遇见了frida反调试，花了时间简单学习了一下，有不少收获，记录下学习的过程。

抛出问题

frida是一个很强大的hook框架，用的人多了，自然而然就出现了很多检测方案，这次碰到的app就检测了frida，可以正常打开，但是当你用frida -f启动或者attach进程，不久后就会闪退。

常见frida检测

1.检测frida-server文件名

2.检测27042默认端口

3.检测D-Bus

4.检测/proc/pid/maps映射文件

5.检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status

6.双进程保护

前两种可以通过修改frida-server文件名，改默认端口绕过。双进程可以通过-f spawn模式启动绕过。其他的需要去hook修改。

定位

先针对简单的几个可能检测的方式，我修改了文件名，改了端口，也尝试了spawn启动，均会在启动后不久闪退。

这时考虑到其他几种检测。

首先用frida去看看载入了哪些so，看看是哪里检测了，看了个寂寞。

  function fridaProcess(){
      Java.perform(function () {
        var enumMoudle = Process.enumerateModules();
        for (var i = 0; i < enumMoudle.length; i++){
          console.log("", enumMoudle[i].name)
        }
      });
    }
  setImmediate(fridaProcess,0)

739e14ae20913b7f5907903a0e5927a2_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

因为so载入的时候，底层最后open去打开的。

所以再用frida去hook应用中的open函数，看看读取了哪些so或者文件，可以看到最后断在了/proc/self/maps。

var pth = Module.findExportByName(null,"open");
    Interceptor.attach(ptr(pth),{
        onEnter:function(args){
            this.filename = args[0];
            console.log("",this.filename.readCString())
            if (this.filename.readCString().indexOf(".so") != -1){
                args[0] = ptr(0)
            }
        },onLeave:function(retval){
            return retval;
        }
    })

adace110ab28099147c25a23d61ac94f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

稍稍深入

这里当挂上frida后对应的maps文件中会出现re.frida.server之类的特征，这是在使用frida server的时候自动创建的，其中存放着frida的功能模块，可以在载入so的hook脚本输出中能看到最后也是断在frida-agent.so。

ab53532a61dd6a613731405124d0caab_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

这里要绕过这个检测，我是通过备份一个正常启动时的maps文件（这里前面也讲到app不使用frida是能正常启动不闪退的）。

function main() {
  const openPtr = Module.getExportByName('libc.so', 'open');
  const open = new NativeFunction(openPtr, 'int', ['pointer', 'int']);
  var readPtr = Module.findExportByName("libc.so", "read");
  var read = new NativeFunction(readPtr, 'int', ['int', 'pointer', "int"]);
  var fakePath = "/data/data/com.app/maps";
  var file = new File(fakePath, "w");
  var buffer = Memory.alloc(512);
  Interceptor.replace(openPtr, new NativeCallback(function (pathnameptr, flag) {
      var pathname = Memory.readUtf8String(pathnameptr);
      var realFd = open(pathnameptr, flag);
      if (pathname.indexOf("maps") >= 0) {
          while (parseInt(read(realFd, buffer, 512)) !== 0) {
              var oneLine = Memory.readCString(buffer);
              if (oneLine.indexOf("tmp") === -1) {
                  file.write(oneLine);
              }
          }
          var filename = Memory.allocUtf8String(fakePath);
          return open(filename, flag);
      }
      var fd = open(pathnameptr, flag);
      return fd;
  }, 'int', ['pointer', 'int']));
}
setImmediate(main)

7c17bae9133355b9d9886cc616ced948_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后就可以继续调试了。

总结

这只是一个简单的例子，但是确实在这个bypass的过程中学到了东西，只要花时间是去分析，总能找到对应的突破口。

一例简单的frida反调试绕过

前言

抛出问题

常见frida检测

定位

稍稍深入

总结

热门文章

最新文章

相关电子书

相关实验场景

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

一例简单的frida反调试绕过

前言

抛出问题

常见frida检测

定位

稍稍深入

总结

热门文章

最新文章

相关电子书

相关实验场景