[原创]小菜花的frida-svc-interceptor-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]小菜花的frida-svc-interceptor

发表于: 2021-11-5 17:57 43720

[原创]小菜花的frida-svc-interceptor

huaerxiela 活跃值

2021-11-5 17:57

43720

现在很多App不讲武德了，为了防止 openat 、read、kill 等等底层函数被hook

1，干脆就直接通过syscall的方式来做

2，或者就直接通过内联汇编svc的方式去做

最近在研究svc bypass，想用一个通用点的方案来实现它，继而继续进行io重定向。。。，嗯，io重定向的好处就不说了。

听说的方案有

1，ptrace直接搞（ps：还在看资料）

2，找到svc指令地址，继续去inlinehook它

我们今天采用第二种方法，用frida来实现

frida momory search svc

parse insn and count call_number

frida native hook svc

1，参考了葫芦娃dumpDex扫描内存的思路

2，frida是可以直接hook svc的，也不用地址减0x4

3，上frida脚本

0，这里样本是mov x8(r7) 调用号和svc 0 紧挨着的情况，也可以持续向上访问地址查找目标寄存器指令适配的更好一点

1，这里只对目标app的so进行了内存扫描，同理也可以对系统库进行内存扫描

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2021-11-10 14:50 被huaerxiela编辑，原因：优化脚本

#逆向分析 #基础理论 #HOOK注入

收藏・56

免费・18

支持

最新回复 (17)
0xEA 雪币： 3071 活跃值： (4152) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 86 粉丝 1 关注私信	0xEA 2 楼花哥nb 2021-11-5 18:35 0
hhhaiai 雪币： 2714 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 154 粉丝 2 关注私信	hhhaiai 3 楼 mark 2021-11-5 18:47 0
我是红领巾雪币： 110 活跃值： (1555) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 26 粉丝 40 关注私信	我是红领巾 4 楼花哥牛逼 2021-11-8 11:22 0
mb_aoooaosd 雪币： 6055 活跃值： (6272) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 37 粉丝 87 关注私信	mb_aoooaosd 5 楼花哥牛逼 2021-11-8 12:39 0
jmpews 雪币： 120 活跃值： (1668) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 29 粉丝 41 关注私信	jmpews 6 楼 https://github.com/jmpews/Dobby/blob/master/builtin-plugin/SupervisorCallMonitor/supervisor_call_monitor.cc 2021-11-8 14:17 1
huaerxiela 雪币： 181 活跃值： (2943) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 115 关注私信	huaerxiela 7 楼 jmpews https://github.com/jmpews/Dobby/blob/master/builtin-plugin/SupervisorCallMonitor/supervisor_call_mon ... 看到插件了，dobby牛批最后于 2021-11-8 14:50 被huaerxiela编辑，原因： 2021-11-8 14:50 0
only1500 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	only1500 8 楼花哥牛逼 2021-11-9 15:45 0
恋一世的爱雪币： 5 活跃值： (1045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 42 粉丝 1 关注私信	恋一世的爱 9 楼当无法解密so,且text地址也被隐藏了，明确知道使用的是SVC调用syscall, 对于SVC如何做到通杀hook呢(有啥方案可以直接hook 系统so呢，做到通杀？) 2021-11-30 15:14 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 10 楼社会我花哥 2021-12-1 13:37 0
huaerxiela 雪币： 181 活跃值： (2943) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 115 关注私信	huaerxiela 12 楼恋一世的爱当无法解密so,且text地址也被隐藏了，明确知道使用的是SVC调用syscall, 对于SVC如何做到通杀hook呢(有啥方案可以直接hook 系统so呢，做到通杀？) 1，我这边的设想是，so链接之后，立马扫描内存，然后hook 那要是加壳的话，可以放到init段执行完，再扫描内存，但这个时机有没有检测啥的就不好说了 2，hook系统so，直接扫描指令特征hook就完了，这部分思路已经在virtualApp的io里面有体现了了 2021-12-1 16:13 0
PanzerT 雪币： 5279 活跃值： (1600) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 2 关注私信	PanzerT 13 楼 https://github.com/acceleratorCYR/monitorSVC/blob/master/attach.c 2021-12-2 15:30 0
huaerxiela 雪币： 181 活跃值： (2943) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 115 关注私信	huaerxiela 14 楼 PanzerT https://github.com/acceleratorCYR/monitorSVC/blob/master/attach.c 哥哥牛批，好东西，学习了 2021-12-8 09:18 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 15 楼感谢分享 2021-12-8 11:21 0
koflfy 雪币： 102 活跃值： (2045) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 16 楼 mark 2022-3-11 23:22 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 17 楼 onLeave没调用的原因是因为只hook了一条指令，不是函数吗？有没有办法解决？ 2024-7-17 09:26 0
账号已注销1 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	账号已注销1 18 楼花哥牛逼 2024-7-22 12:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

huaerxiela

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
0xEA 雪币： 3071 活跃值： (4152) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 86 粉丝 1 关注私信	0xEA 2 楼花哥nb 2021-11-5 18:35 0
hhhaiai 雪币： 2714 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 154 粉丝 2 关注私信	hhhaiai 3 楼 mark 2021-11-5 18:47 0
我是红领巾雪币： 110 活跃值： (1555) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 26 粉丝 40 关注私信	我是红领巾 4 楼花哥牛逼 2021-11-8 11:22 0
mb_aoooaosd 雪币： 6055 活跃值： (6272) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 37 粉丝 87 关注私信	mb_aoooaosd 5 楼花哥牛逼 2021-11-8 12:39 0
jmpews 雪币： 120 活跃值： (1668) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 29 粉丝 41 关注私信	jmpews 6 楼 https://github.com/jmpews/Dobby/blob/master/builtin-plugin/SupervisorCallMonitor/supervisor_call_monitor.cc 2021-11-8 14:17 1
huaerxiela 雪币： 181 活跃值： (2943) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 115 关注私信	huaerxiela 7 楼 jmpews https://github.com/jmpews/Dobby/blob/master/builtin-plugin/SupervisorCallMonitor/supervisor_call_mon ... 看到插件了，dobby牛批最后于 2021-11-8 14:50 被huaerxiela编辑，原因： 2021-11-8 14:50 0
only1500 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	only1500 8 楼花哥牛逼 2021-11-9 15:45 0
恋一世的爱雪币： 5 活跃值： (1045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 42 粉丝 1 关注私信	恋一世的爱 9 楼当无法解密so,且text地址也被隐藏了，明确知道使用的是SVC调用syscall, 对于SVC如何做到通杀hook呢(有啥方案可以直接hook 系统so呢，做到通杀？) 2021-11-30 15:14 0
万里星河雪币： 116 活跃值： (1012) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 505 粉丝 3 关注私信	万里星河 10 楼社会我花哥 2021-12-1 13:37 0
huaerxiela 雪币： 181 活跃值： (2943) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 115 关注私信	huaerxiela 12 楼恋一世的爱当无法解密so,且text地址也被隐藏了，明确知道使用的是SVC调用syscall, 对于SVC如何做到通杀hook呢(有啥方案可以直接hook 系统so呢，做到通杀？) 1，我这边的设想是，so链接之后，立马扫描内存，然后hook 那要是加壳的话，可以放到init段执行完，再扫描内存，但这个时机有没有检测啥的就不好说了 2，hook系统so，直接扫描指令特征hook就完了，这部分思路已经在virtualApp的io里面有体现了了 2021-12-1 16:13 0
PanzerT 雪币： 5279 活跃值： (1600) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 49 粉丝 2 关注私信	PanzerT 13 楼 https://github.com/acceleratorCYR/monitorSVC/blob/master/attach.c 2021-12-2 15:30 0
huaerxiela 雪币： 181 活跃值： (2943) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 115 关注私信	huaerxiela 14 楼 PanzerT https://github.com/acceleratorCYR/monitorSVC/blob/master/attach.c 哥哥牛批，好东西，学习了 2021-12-8 09:18 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 15 楼感谢分享 2021-12-8 11:21 0
koflfy 雪币： 102 活跃值： (2045) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 16 楼 mark 2022-3-11 23:22 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 17 楼 onLeave没调用的原因是因为只hook了一条指令，不是函数吗？有没有办法解决？ 2024-7-17 09:26 0
账号已注销1 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	账号已注销1 18 楼花哥牛逼 2024-7-22 12:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复