[原创] frida-trace 指令追踪&监控寄存器变化反Ollvm 及SVC HOOK 思路-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] frida-trace 指令追踪&监控寄存器变化反Ollvm 及SVC HOOK 思路

2022-6-30 16:14 36217

[原创] frida-trace 指令追踪&监控寄存器变化反Ollvm 及SVC HOOK 思路

IIImmmyyy

2022-6-30 16:14

36217

首先介绍一下工具，这个是基于frida Stalker 编写的指令追踪工具。目前仅支持arm64

关于Stalker 这里不多做介绍，具体可以查看frida官方文档

stalker介绍链接

工具参考了网上的一些实现。在此感谢frida sktrace

图片描述

关于OLLVM

反ollvm的核心在与确定分发器次分发器逻辑块的关系
如图所示不同的颜色代表的是不同的指令块。这对于ollvm的执行流程分析会很有帮助，但目前对于patch脚本这块并没有去完善，原因是基于平坦流的混淆，对patch的要求非常复杂。还不如直接看执行流程。但如果是函数体较短的平坦流，推荐分析出流程后直接手动patch。

工具对于寄存器里出现的字符串也可以直接显示。对大部分的指令都做了解析

关于SVC HOOK

目前SVC 的HOOK 方案非常多有 ptrace 、ptrace +seccomp 、 frida+seccomp 、内存扫描hook、
现在应该有一个新的方案了指令SVC HOOK。如图所示能完整的监控到寄存器的变化。 stalker 也是支持指令的修改的。在此期待一个大佬能出一个方案，
但目前感觉可能在效率上会有所限制。如果监控整个so，所带来的性能问题，可能不好解决。

使用说明

图片描述
传递size0 则代表监控所有SO里的指令执行，推荐追踪单函数，免的产生过量的信息。

结束语

在看雪混迹了好几年都是潜水，第一篇文章可能写的不好，多多见谅。

补上github链接
frida-trace

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2022-7-2 16:12 被IIImmmyyy编辑，原因：

#逆向分析 #脱壳反混淆

收藏・45

点赞・7

打赏

最新回复 (35) 1 2 ▶
mb_ckfmrnqa 雪币： 325 活跃值： (1863) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	mb_ckfmrnqa 2022-6-30 16:53 2 楼 0 老哥已经有个工具叫frida-trace了，另外你这个怎么用啊，没看明白
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-6-30 17:00 3 楼 0 mb_ckfmrnqa 老哥已经有个工具叫frida-trace了，另外你这个怎么用啊，没看明白原版的frida-trace 主要是对函数的追踪、对于寄存器的变化没有显示，这个版本是完善了寄存器的变化。后续有时间的话可能会完善流程cfg图
bullyxy 雪币： 18 活跃值： (881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 2022-6-30 17:37 4 楼 0 transform trace 出来的代码都是有一段没一段的，不好用。
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-6-30 17:42 5 楼 0 bullyxy transform trace 出来的代码都是有一段没一段的，不好用。目前分析和IDA 进行了对比没发现这种情况
王麻子本人雪币： 1154 活跃值： (3404) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 61 粉丝 70 关注私信	王麻子本人 2022-6-30 18:33 6 楼 0 淦，我是发还是不发呢
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-6-30 19:09 7 楼 0 王麻子本人淦，我是发还是不发呢哈哈发我就是没找到适合的工具只好自己手撸
bullyxy 雪币： 18 活跃值： (881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 2022-7-1 18:17 8 楼 0 IIImmmyyy 目前分析和IDA 进行了对比没发现这种情况这个代码 trace 出来又正常了，奇怪。我之前在 transform 就有 bug，都是在 process 里处理的。
falconnnn 雪币： 208 活跃值： (1475) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 23 粉丝 7 关注私信	falconnnn 2022-7-2 19:08 9 楼 0 和sktrace有什么区别？
falconnnn 雪币： 208 活跃值： (1475) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 23 粉丝 7 关注私信	falconnnn 2022-7-3 10:41 10 楼 0 想问下楼主你输出的log是终端吗，有没有办法带颜色保存到文件中？
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-3 14:53 11 楼 0 falconnnn 想问下楼主你输出的log是终端吗，有没有办法带颜色保存到文件中？带颜色输出到文件应该是不支持。输出成XML带颜色应该是可以但那得自己写了
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-3 14:55 12 楼 0 falconnnn 和sktrace有什么区别？ sktrace 不支持spawned 还有一些小问题。另外是基于python的，在某些使用场景下不是非常方便。所以我全改成js的
天会晴心会暖雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 4 关注私信	天会晴心会暖 2022-7-5 15:22 13 楼 0 没看明白怎么用的... frida直接跑你的index.ts么?
falconnnn 雪币： 208 活跃值： (1475) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 23 粉丝 7 关注私信	falconnnn 2022-7-5 16:40 14 楼 0 天会晴心会暖没看明白怎么用的... frida直接跑你的index.ts么? npm install编译完跑_agent.js
chenxia0 雪币： 249 活跃值： (459) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 15 关注私信	chenxia0 2022-7-5 16:57 15 楼 0 我感觉思路应该跟这个差不多：https://bbs.pediy.com/thread-272839.htm，慢慢，这些技术就会普及了，只是时间问题
天会晴心会暖雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 4 关注私信	天会晴心会暖 2022-7-5 17:24 16 楼 0 falconnnn npm install编译完跑_agent.js 感谢最后于 2022-7-5 17:46 被天会晴心会暖编辑，原因：
0xEA 雪币： 2944 活跃值： (3921) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 1 关注私信	0xEA 2022-7-6 14:59 17 楼 0 没看懂怎么用
天会晴心会暖雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 4 关注私信	天会晴心会暖 2022-7-6 17:15 18 楼 0 VNRKDOEA 没看懂怎么用[em_85] clone下来后npm install 然后修改straceInject.js 里的 soName 和要hook的函数和方法大小然后npm run build 生成新的_agent.js 最后直接Frida -I 跑就行了就跟你平时跑Frida脚本一样
mb_yqoccwgm 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	mb_yqoccwgm 2022-7-6 17:28 19 楼 0 各方面都不如sktrace意义在哪里呢
happysamuel 雪币： 226 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 1 关注私信	happysamuel 2022-7-7 00:47 20 楼 0 很好，学习教程，感谢分享！
0xEA 雪币： 2944 活跃值： (3921) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 1 关注私信	0xEA 2022-7-7 11:11 21 楼 0 天会晴心会暖 clone下来后npm install 然后修改straceInject.js 里的 soName 和要hook的函数和方法大小然后npm run build 生成新的_agent.js 最后 ... 谢谢大佬
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-7 22:20 22 楼 0 mb_yqoccwgm 各方面都不如sktrace意义在哪里呢你觉的哪个好用就用哪个没强迫你，另外不使用sktrace的原因也写了。奇了怪了，咋总有杠精
mb_yqoccwgm 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	mb_yqoccwgm 2022-7-8 10:49 23 楼 0 sktrace完全可以不用python也支持spawn
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-8 15:04 24 楼 0 mb_yqoccwgm sktrace完全可以不用python也支持spawn 嗯那你就用sktrace
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-8 15:06 25 楼 0 chenxia0 我感觉思路应该跟这个差不多：https://bbs.pediy.com/thread-272839.htm，慢慢，这些技术就会普及了，只是时间问题是的 stalker 可以得到执行块的信息。用来反ollvm也是不错的选择，但目前面对复杂的平坦流 patch 难度颇高
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

IIImmmyyy

发帖

回帖

RANK

关注

私信

他的文章

[原创]自定义Linker实现分析之路(一)

[原创] frida-trace 指令追踪&监控寄存器变化反Ollvm 及SVC HOOK 思路

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
mb_ckfmrnqa 雪币： 325 活跃值： (1863) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	mb_ckfmrnqa 2022-6-30 16:53 2 楼 0 老哥已经有个工具叫frida-trace了，另外你这个怎么用啊，没看明白
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-6-30 17:00 3 楼 0 mb_ckfmrnqa 老哥已经有个工具叫frida-trace了，另外你这个怎么用啊，没看明白原版的frida-trace 主要是对函数的追踪、对于寄存器的变化没有显示，这个版本是完善了寄存器的变化。后续有时间的话可能会完善流程cfg图
bullyxy 雪币： 18 活跃值： (881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 2022-6-30 17:37 4 楼 0 transform trace 出来的代码都是有一段没一段的，不好用。
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-6-30 17:42 5 楼 0 bullyxy transform trace 出来的代码都是有一段没一段的，不好用。目前分析和IDA 进行了对比没发现这种情况
王麻子本人雪币： 1154 活跃值： (3404) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 61 粉丝 70 关注私信	王麻子本人 2022-6-30 18:33 6 楼 0 淦，我是发还是不发呢
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-6-30 19:09 7 楼 0 王麻子本人淦，我是发还是不发呢哈哈发我就是没找到适合的工具只好自己手撸
bullyxy 雪币： 18 活跃值： (881) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 2022-7-1 18:17 8 楼 0 IIImmmyyy 目前分析和IDA 进行了对比没发现这种情况这个代码 trace 出来又正常了，奇怪。我之前在 transform 就有 bug，都是在 process 里处理的。
falconnnn 雪币： 208 活跃值： (1475) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 23 粉丝 7 关注私信	falconnnn 2022-7-2 19:08 9 楼 0 和sktrace有什么区别？
falconnnn 雪币： 208 活跃值： (1475) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 23 粉丝 7 关注私信	falconnnn 2022-7-3 10:41 10 楼 0 想问下楼主你输出的log是终端吗，有没有办法带颜色保存到文件中？
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-3 14:53 11 楼 0 falconnnn 想问下楼主你输出的log是终端吗，有没有办法带颜色保存到文件中？带颜色输出到文件应该是不支持。输出成XML带颜色应该是可以但那得自己写了
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-3 14:55 12 楼 0 falconnnn 和sktrace有什么区别？ sktrace 不支持spawned 还有一些小问题。另外是基于python的，在某些使用场景下不是非常方便。所以我全改成js的
天会晴心会暖雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 4 关注私信	天会晴心会暖 2022-7-5 15:22 13 楼 0 没看明白怎么用的... frida直接跑你的index.ts么?
falconnnn 雪币： 208 活跃值： (1475) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 23 粉丝 7 关注私信	falconnnn 2022-7-5 16:40 14 楼 0 天会晴心会暖没看明白怎么用的... frida直接跑你的index.ts么? npm install编译完跑_agent.js
chenxia0 雪币： 249 活跃值： (459) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 15 关注私信	chenxia0 2022-7-5 16:57 15 楼 0 我感觉思路应该跟这个差不多：https://bbs.pediy.com/thread-272839.htm，慢慢，这些技术就会普及了，只是时间问题
天会晴心会暖雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 4 关注私信	天会晴心会暖 2022-7-5 17:24 16 楼 0 falconnnn npm install编译完跑_agent.js 感谢最后于 2022-7-5 17:46 被天会晴心会暖编辑，原因：
0xEA 雪币： 2944 活跃值： (3921) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 1 关注私信	0xEA 2022-7-6 14:59 17 楼 0 没看懂怎么用
天会晴心会暖雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 4 关注私信	天会晴心会暖 2022-7-6 17:15 18 楼 0 VNRKDOEA 没看懂怎么用[em_85] clone下来后npm install 然后修改straceInject.js 里的 soName 和要hook的函数和方法大小然后npm run build 生成新的_agent.js 最后直接Frida -I 跑就行了就跟你平时跑Frida脚本一样
mb_yqoccwgm 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	mb_yqoccwgm 2022-7-6 17:28 19 楼 0 各方面都不如sktrace意义在哪里呢
happysamuel 雪币： 226 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 1 关注私信	happysamuel 2022-7-7 00:47 20 楼 0 很好，学习教程，感谢分享！
0xEA 雪币： 2944 活跃值： (3921) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 1 关注私信	0xEA 2022-7-7 11:11 21 楼 0 天会晴心会暖 clone下来后npm install 然后修改straceInject.js 里的 soName 和要hook的函数和方法大小然后npm run build 生成新的_agent.js 最后 ... 谢谢大佬
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-7 22:20 22 楼 0 mb_yqoccwgm 各方面都不如sktrace意义在哪里呢你觉的哪个好用就用哪个没强迫你，另外不使用sktrace的原因也写了。奇了怪了，咋总有杠精
mb_yqoccwgm 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	mb_yqoccwgm 2022-7-8 10:49 23 楼 0 sktrace完全可以不用python也支持spawn
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-8 15:04 24 楼 0 mb_yqoccwgm sktrace完全可以不用python也支持spawn 嗯那你就用sktrace
IIImmmyyy 雪币： 208 活跃值： (550) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 17 粉丝 27 关注私信	IIImmmyyy 2022-7-8 15:06 25 楼 0 chenxia0 我感觉思路应该跟这个差不多：https://bbs.pediy.com/thread-272839.htm，慢慢，这些技术就会普及了，只是时间问题是的 stalker 可以得到执行块的信息。用来反ollvm也是不错的选择，但目前面对复杂的平坦流 patch 难度颇高
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复