暂时只支持ARM64，ARM32的逻辑也是一样的，有兴趣的大佬可以自行更改哈。

在这里感谢珍惜大佬介绍的seccomp机制，推荐一波珍惜大佬的课程能学到很多有趣的骚操作。

seccomp沙箱机制介绍文章
seccomp 是 Linux 内核提供的一种应用程序沙箱机制，主要通过限制进程的系统调用来完成部分沙箱隔离功能。seccomp-bpf 是 seccomp 的一个扩展，它可以通过配置来允许应用程序调用其他的系统调用。

seccomp的具体用法可以参考「什么是seccomp」中的seccomp介绍文章。当返回规则设置为「SECCOMP_RET_TRAP」，目标系统调用时seccomp会产生一个SIGSYS系统信号并软中断，这时就可以通过捕获这个SIGSYS信号获得svc调用和打印具体参数。

这里使用Frida的API「CModule」，CModule提供强大的动态编译功能可以让你在JS中写C，
frida文档中的示例

使用Frida的API「Process.setExceptionHandler」即可捕获异常并在自己写的回调中进行数据处理。
数据处理的逻辑解释写在注释里啦。

根据Frida文档介绍「setExceptionHandler」捕获异常后只需要让回调返回true就会resume原本的线程，但是其只是跳过了svc指令继续执行，实际上并不会执行svc，这时候如果不执行syscall轻则导致APP数据异常，重则导致APP直接崩溃。所以在异常的回调中需要手动调用了syscall并赋值给x0。
但这时候会发生个新的问题，因为在主线程开启seccomp后，主线程和其后创建出来的线程都会被seccomp规则约束，在异常处理函数直接调用syscall同样会被seccomp约束再次抛出异常，就形成了”死锁“了。

可以注意到上面“死锁”部分描述，那我们在主线程被约束前，提前创建一个线程，这个线程就是不被约束的，同时受到线程池启发，我们让这个syscall线程循环接受任务，就能完成在一个没有约束的线程里进行syscall调用。

直接使用Frida的API「Thread.backtrace」很容易导致崩溃，原因可能是seccomp规则或者「prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)」导致的权限收紧和Frida实现堆栈回溯功能冲突。

手动实现堆栈回溯，原理是Arm64中每个函数都会在函数头部位置对x29、x30寄存器存入栈中，所以可以对x29不断读取往上回溯，最后得到完整的堆栈信息。
实现

疑似同坑2的原因

在CModule中手动实现了通过地址查soinfo信息「base, size, soname」等

同坑2的原因

直接改用syscall线程使用「__android_print_log」打印信息

在调用线程syscall前后可以更改传参、返回值、地址等更改，达到HOOK的效果

求star
https://github.com/Abbbbbi/Frida-Seccomp

log信息可以在logcat过滤“seccomp”查看
同时也自动保存到了「包名_pid_时间戳」文件夹内（支持多进程）

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！