首页
社区
课程
招聘
关于frida,Magisk被检测一个样本,求高手解答
发表于: 2022-5-11 21:50 9369

关于frida,Magisk被检测一个样本,求高手解答

2022-5-11 21:50
9369

遇到的一个样本,有frida,Magisk的检测项.

 

Magisk在开启隐藏后,能解决了

 

但是frida不行,在附加时,样本有双进程保护,一个进程已经hook了目标进程
处理双进程,目标进程也会闪退.

 

以上 是在样本运行中,启动frida,附加操作的

 

然后frida本身也被检测,当开启frida服务后,开启样本直接闪退

 

分析样本后在libtprt.so内有检测

 

目前在里面看到frida的检测有连接127.0.0.1的27042端口扫描frida的服务是否开启,和其它未知检测方式(太菜,对检测特征了解太少),最终调用kill函数干掉目标进程.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
#代码段1
sub_BCEE0("127.0.0.1", 27042, -1356657689, 0)
#代码段2
j___system_property_get("service.adb.tcp.port", v2);
#代码段3
j___system_property_get((int)"persist.adb.tcp.port", (int)v2);
 
#代码段4
int sub_B0150()
{
  int (*v0)(); // r4
  int v1; // r0
  int i; // r0
  __pid_t v3; // r0
  _WORD v5[64]; // [sp+10h] [bp-90h] BYREF
  int v6; // [sp+90h] [bp-10h]
 
  if ( !dword_EAB38 )
  {
    v0 = 0;
    v1 = j_mmap(0, 4096, 3, 34, -1, 0);
    if ( (unsigned int)(v1 + 1) >= 2 )
    {
      v0 = (int (*)())v1;
      memset(v5, 0, sizeof(v5));
      for ( i = 0; i != -48; --i )
        *((_BYTE *)v5 - i) = *((_BYTE *)&unk_E0004 - i) ^ 0x1D;
      if ( sub_ACDE8((unsigned __int8 *)v5, 128) != -886961982 )
      {
        v3 = j_getpid();#获取目标进程PID
        j_kill(v3, 9);#干掉目标进程
      }
      v5[24] = (unsigned __int16)sub_B1C64;
      LOBYTE(v5[25]) = (unsigned int)sub_B1C64 >> 16;
      HIBYTE(v5[25]) = (unsigned int)sub_B1C64 >> 24;
      qmemcpy(v0, v5, 0x80u);
      sub_AD0C4(v0, 1024);
      if ( j_mprotect(v0, 4096, 5) )
        v0 = 0;
    }
    if ( !v0 )
      v0 = sub_B6850;
    dword_EAB38 = (int)v0;
  }
  return _stack_chk_guard - v6;
}

然后我尝试运行样本就hook主libtprt的 connect函数,返回-1连接失败,并没有解决问题,所以修改frida的端口应该也是无效的,(未尝试)

 

通过hook kill 修改 干掉的pid,没有用,依旧被干掉了,怀疑有其它结束进程的方案存在,但是无从下手

 

试过论坛里几个大佬自己编译的去特征frida服务,依旧闪退,看来检测端口之类的方式,不是特征能去的吧
求高手指导

 

样本地址


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 2036
活跃值: (173)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
最新,
使用https://bbs.pediy.com/thread-272536.htm这里的免特征frida,只是运行起来,确实没被检测到了,但是adb依旧被检测,无法PC端附加调试,我找找手机内注入hook的方案,能否hook
2022-5-11 22:38
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
大佬有没有联系方式
2022-11-11 21:08
0
游客
登录 | 注册 方可回帖
返回
//