首页
社区
课程
招聘
[翻译]多种特征检测 Frida
发表于: 2017-5-8 17:10 44105

[翻译]多种特征检测 Frida

2017-5-8 17:10
44105

多种特征检测 Frida

Frida 在逆向工程狮中很受欢迎,你基本可以在运行时访问到你能想到的任何东西,内存地址、native 函数、Java 实例对象等。在 OWASP 的移动测试指南里就提到了 Frida。但是啊,每出来个好用的注入工具,都会有反注入、反反注入、反反反注入、反...注入。这篇文章要介绍的是 Android APP 检测 Frida 的方法。

检查 Frida 的痕迹

一种简易方法是检测 Frida 的运行痕迹,也适用于同类工具的检测,比如包文件、二进制文件、库文件、进程、临时文件等等。本例中针对的对象是 fridaserver,它通过 TCP 对外与 frida 通信,此时可以用 Java 遍历运行的进程列表从而检查 fridaserver 是否在运行。

若 Frida 运行在默认配置时此法有效,若是遇到个笨拙的脚本小子,在第一步就能绊倒他。绕过也是相当简单,只需重命名 fridaserver,我们得找个更好的方法。

fridaserver 默认的 TCP 端口是 27047,可以检查这个端口是否开放。native 代码如下:

同样,这也得要求 fridaserver 是默认配置运行,命令行指定参数就可以改变它的监听端口,绕过也太不麻烦了。不过我们可以用' nmap -sV' 找到开放端口来改善这个方法。因为 fridaserver 使用 D-Bus 协议通信,我们为每个开放的端口发送 D-Bus 的认证消息,哪个端口回复了哪个就是 fridaserver。

我们现在好像有了个非常好用的方法了呢,但是还存在问题。Frida 提供不需要 fridaserver 运行的模式!怎么检测?!

Frida 的各个模式都是用来注入的,我们可以利用的点就是 frida 运行时映射到内存的库。最直接的是挨个检查加载的库。

这段代码检测名字含有“frida”的库,表明上有用,实际上:

- 还记得为什么检测名字是“fridaserver”的方法为什么不可靠吧?这里也是一样,稍微改一下 frida 就能重命名代理库名。

- 这段代码依赖的是标准库的`fopen()`和`strstr()`函数,可笑的是,我们竟想用能被 frida 轻而易举就 hook 的函数来检测 frida !

问题1可以用经典的病毒扫描法解决,在内存中扫描 frida 的库特征 “gadgets”。我选择字符串 “LIBFRIDA”,它在所有 frida-gadget 和 frida-agent 的版本中都有出现。下面的代码扫描了在 `/proc/sel/maps` 里找到的所有的可执行段,为了简洁我放了部分代码,完整的在 https://github.com/b-mueller/frida-detection-demo/blob/master/AntiFrida/app/src/main/cpp/native-lib.cpp 。

注意 `my_openat()` 等函数,它们并非平常的 libc 库函数,是自定义实现的,但是功能和 libc 中的一样,设置了系统调用的参数,执行了软中断。因为直接调用公共 API 并不可靠,这样不容易被 hook。完整的实现在 https://github.com/b-mueller/frida-detection-demo/blob/master/AntiFrida/app/src/main/cpp/syscall.S 。下面是 my_openat 的代码:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 16
支持
分享
最新回复 (16)
雪    币: 14
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
Frida  这工具怎么没听说过
2017-5-8 17:44
0
雪    币: 49
活跃值: (136)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
frida很爽。我安卓版本是4.1.1,so可以hook,java死活就是报错,https://github.com/frida/frida/issues/250  这个issues,有遇到过吗?请教下。
2017-6-5 16:01
0
雪    币: 3593
活跃值: (774)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
4
切忌浮躁 frida很爽。我安卓版本是4.1.1,so可以hook,java死活就是报错,https://github.com/frida/frida/issues/250 这个issues,有遇到过吗?请教下 ...
我用4.4.4没问题  :)
2017-6-7 12:58
0
雪    币: 49
活跃值: (136)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
kiyaa 我用4.4.4没问题 :)
那看来是系统版本的问题了,那我换个手机试试。frida的确很爽,比cydia  substate和xposed还爽。
2017-6-8 00:11
0
雪    币: 130
活跃值: (59)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
666,学习姿势了
2017-9-25 10:41
0
雪    币: 94
活跃值: (2392)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
666,学习姿势了
2018-1-25 17:18
0
雪    币: 51
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
学习姿势
2018-7-19 19:10
0
雪    币: 182
活跃值: (214)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
老铁,我虽然还没有看具体的内容,但是看到标题,我就爱上了你
2018-11-21 17:37
0
雪    币: 409
活跃值: (257)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
老铁们,这个demo好像已经不能有效的检测了,我做了测试,而且手工看了下/proc/self/maps,frida现在貌似比较难进行粗暴的检测了。另外,https://github.com/qtfreet00/AntiFrida这个貌似也不能检测出了,不知道是不是我的姿势有问题,希望成功检测出来的老铁call我下。
2020-8-15 21:25
0
雪    币: 204
活跃值: (184)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习了
2020-8-17 20:16
0
雪    币: 129
活跃值: (164)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
666
2020-8-21 17:57
0
雪    币: 477
活跃值: (1412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
svc一遍搭配crc,还得在内核里搞
2020-11-14 19:04
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
同样检测不出来。。。
2021-1-27 17:10
0
雪    币: 1308
活跃值: (489)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
15
DBUS认证这个还是可以的能够检测,暴力的内存搜搜不行呀
2021-2-24 14:46
0
雪    币: 171
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
16

DBUS 也检测不了了,我用的是 frida 15.0.14

改了一下日志,https://github.com/liukuo362573/AntiFrida-2

2022-11-30 16:29:13.879 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 27042!
2022-11-30 16:29:25.532 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 35015!
2022-11-30 16:29:26.722 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 35115!
2022-11-30 16:29:27.892 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 35219!
2022-11-30 16:29:29.942 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 35864!
2022-11-30 16:29:32.342 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 36952!
2022-11-30 16:29:33.812 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 37936!
2022-11-30 16:29:34.605 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 38533!
2022-11-30 16:29:37.524 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 41102!
2022-11-30 16:29:37.636 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 41185!
2022-11-30 16:29:40.603 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: FRIDA dbus check port: 43163!
2022-11-30 16:30:18.228 27856-27899/sg.vantagepoint.antifrida V/FridaDetectionTest: 检查完成


最后于 2022-11-30 16:32 被liukuo362573编辑 ,原因:
2022-11-30 16:31
0
雪    币: 239
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
汇编指令报错 mov ip, r7
可能系统环境不兼容,有没有大佬来更新一下指令
2024-2-17 16:58
0
游客
登录 | 注册 方可回帖
返回
//