关于frida,Magisk被检测一个样本,求高手解答-Android安全-看雪-安全社区|安全招聘|kanxue.com

关于frida,Magisk被检测一个样本,求高手解答

发表于: 2022-5-11 21:50 9320

关于frida,Magisk被检测一个样本,求高手解答

红妆

2022-5-11 21:50

9320

遇到的一个样本,有frida,Magisk的检测项.

Magisk在开启隐藏后,能解决了

但是frida不行,在附加时,样本有双进程保护,一个进程已经hook了目标进程
处理双进程,目标进程也会闪退.

以上是在样本运行中,启动frida,附加操作的

然后frida本身也被检测,当开启frida服务后,开启样本直接闪退

分析样本后在libtprt.so内有检测

目前在里面看到frida的检测有连接127.0.0.1的27042端口扫描frida的服务是否开启,和其它未知检测方式(太菜,对检测特征了解太少),最终调用kill函数干掉目标进程.

#代码段1
sub_BCEE0("127.0.0.1", 27042, -1356657689, 0)
#代码段2
j___system_property_get("service.adb.tcp.port", v2);
#代码段3
j___system_property_get((int)"persist.adb.tcp.port", (int)v2);
 
#代码段4
int sub_B0150()
{
  int (*v0)(); // r4
  int v1; // r0
  int i; // r0
  __pid_t v3; // r0
  _WORD v5[64]; // [sp+10h] [bp-90h] BYREF
  int v6; // [sp+90h] [bp-10h]
 
  if ( !dword_EAB38 )
  {
    v0 = 0;
    v1 = j_mmap(0, 4096, 3, 34, -1, 0);
    if ( (unsigned int)(v1 + 1) >= 2 )
    {
      v0 = (int (*)())v1;
      memset(v5, 0, sizeof(v5));
      for ( i = 0; i != -48; --i )
        *((_BYTE *)v5 - i) = *((_BYTE *)&unk_E0004 - i) ^ 0x1D;
      if ( sub_ACDE8((unsigned __int8 *)v5, 128) != -886961982 )
      {
        v3 = j_getpid();#获取目标进程PID
        j_kill(v3, 9);#干掉目标进程
      }
      v5[24] = (unsigned __int16)sub_B1C64;
      LOBYTE(v5[25]) = (unsigned int)sub_B1C64 >> 16;
      HIBYTE(v5[25]) = (unsigned int)sub_B1C64 >> 24;
      qmemcpy(v0, v5, 0x80u);
      sub_AD0C4(v0, 1024);
      if ( j_mprotect(v0, 4096, 5) )
        v0 = 0;
    }
    if ( !v0 )
      v0 = sub_B6850;
    dword_EAB38 = (int)v0;
  }
  return _stack_chk_guard - v6;
}

然后我尝试运行样本就hook主libtprt的 connect函数,返回-1连接失败,并没有解决问题,所以修改frida的端口应该也是无效的,(未尝试)

通过hook kill 修改干掉的pid,没有用,依旧被干掉了,怀疑有其它结束进程的方案存在,但是无从下手

试过论坛里几个大佬自己编译的去特征frida服务,依旧闪退,看来检测端口之类的方式,不是特征能去的吧
求高手指导

样本地址

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#逆向分析 #HOOK注入

上传的附件：

样本地址.txt （0.02kb，44次下载）

收藏・2

免费・0

支持

最新回复 (2)
红妆雪币： 2036 活跃值： (173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 1 关注私信	红妆 2 楼最新, 使用https://bbs.pediy.com/thread-272536.htm这里的免特征frida,只是运行起来,确实没被检测到了,但是adb依旧被检测,无法PC端附加调试,我找找手机内注入hook的方案,能否hook 2022-5-11 22:38 0
mb_tvrnkcwf 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_tvrnkcwf 3 楼大佬有没有联系方式 2022-11-11 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

红妆

发帖

回帖

RANK

关注

私信

他的文章

关于frida,Magisk被检测一个样本,求高手解答 9321

关于我们

联系我们

企业服务

看雪公众号

最新回复 (2)
红妆雪币： 2036 活跃值： (173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 1 关注私信	红妆 2 楼最新, 使用https://bbs.pediy.com/thread-272536.htm这里的免特征frida,只是运行起来,确实没被检测到了,但是adb依旧被检测,无法PC端附加调试,我找找手机内注入hook的方案,能否hook 2022-5-11 22:38 0
mb_tvrnkcwf 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_tvrnkcwf 3 楼大佬有没有联系方式 2022-11-11 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复