[原创] frida常用检测点及其原理--一把梭方案-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] frida常用检测点及其原理--一把梭方案

发表于: 2023-7-25 18:00 26060

[原创] frida常用检测点及其原理--一把梭方案

Dem0li

2023-7-25 18:00

26060

查看哪个so在检测frida
管他检测啥、直接一把梭
检测D-Bus可以通过hook系统库函数，比如strstr、strcmp等等
maps文件中存储的是APP运行时加载的依赖
当启动frida后，在maps文件中就会存在 frida-agent-64.so、frida-agent-32.so  文件。
绕过
在 /proc/pid/task 目录下，可以通过查看不同的线程子目录，来获取进程中每个线程的运行时信息。这些信息包括线程的状态、线程的寄存器内容、线程占用的CPU时间、线程的堆栈信息等。通过这些信息，可以实时观察和监控进程中每个线程的运行状态，帮助进行调试、性能优化和问题排查等工作。
/proc/pid/fd 目录的作用在于提供了一种方便的方式来查看进程的文件描述符信息，这对于调试和监控进程非常有用。通过查看文件描述符信息，可以了解进程打开了哪些文件、网络连接等，帮助开发者和系统管理员进行问题排查和分析工作。
打开frida调试后这个task目录下会多出几个线程，检测点在查看这些多出来的线程是否和frida调试相关。
在某些app中就会去读取 /proc/stask/线程ID/status 文件，如果是运行frida产生的，则进行反调试。例如：gmain/gdbus/gum-js-loop/pool-frida等
绕过
https://zhuanlan.zhihu.com/p/557713016
替换一个正常的
function hook_dlopen() {

    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

        {

            onEnter: function (args) {

                var pathptr = args[0];

                if (pathptr !== undefined && pathptr != null) {

                    var path = ptr(pathptr).readCString();

                    console.log("load " + path);

                }

            }

        }

    );
}
function hook_dlopen() {

    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

        {

            onEnter: function (args) {

                var pathptr = args[0];

                if (pathptr !== undefined && pathptr != null) {

                    var path = ptr(pathptr).readCString();

                    console.log("load " + path);

                }

            }

        }

    );
}
function replace_str() {

    var pt_strstr = Module.findExportByName("libc.so", 'strstr');

    var pt_strcmp = Module.findExportByName("libc.so", 'strcmp');
 
    Interceptor.attach(pt_strstr, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (

                str2.indexOf("REJECT") !== -1 ||

                str2.indexOf("tmp") !== -1 ||

                str2.indexOf("frida") !== -1 ||

                str2.indexOf("gum-js-loop") !== -1 ||

                str2.indexOf("gmain") !== -1 ||

                str2.indexOf("linjector") !== -1

            ) {

                console.log("strstr-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    });
 
    Interceptor.attach(pt_strcmp, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (

                str2.indexOf("REJECT") !== -1 ||

                str2.indexOf("tmp") !== -1 ||

                str2.indexOf("frida") !== -1 ||

                str2.indexOf("gum-js-loop") !== -1 ||

                str2.indexOf("gmain") !== -1 ||

                str2.indexOf("linjector") !== -1

            ) {

                //console.log("strcmp-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    })
 
}
 
replace_str();
function replace_str() {

    var pt_strstr = Module.findExportByName("libc.so", 'strstr');

    var pt_strcmp = Module.findExportByName("libc.so", 'strcmp');
 
    Interceptor.attach(pt_strstr, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (

                str2.indexOf("REJECT") !== -1 ||

                str2.indexOf("tmp") !== -1 ||

                str2.indexOf("frida") !== -1 ||

                str2.indexOf("gum-js-loop") !== -1 ||

                str2.indexOf("gmain") !== -1 ||

                str2.indexOf("linjector") !== -1

            ) {

                console.log("strstr-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    });
 
    Interceptor.attach(pt_strcmp, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (

                str2.indexOf("REJECT") !== -1 ||

                str2.indexOf("tmp") !== -1 ||

                str2.indexOf("frida") !== -1 ||

                str2.indexOf("gum-js-loop") !== -1 ||

                str2.indexOf("gmain") !== -1 ||

                str2.indexOf("linjector") !== -1

            ) {

                //console.log("strcmp-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    })
 
}
 
replace_str();

遍历连接手机所有端口发送D-bus消息，如果返回"REJECT"这个特征则认为存在frida-server。
 
内存中存在frida rpc字符串，认为有frida-server
/*

 * Mini-portscan to detect frida-server on any local port.

 */

for(i = 0 ; i <= 65535 ; i++) {

    sock = socket(AF_INET , SOCK_STREAM , 0);

    sa.sin_port = htons(i);

    if (connect(sock , (struct sockaddr*)&sa , sizeof sa) != -1) {

        __android_log_print(ANDROID_LOG_VERBOSE, APPNAME,  "FRIDA DETECTION [1]: Open Port: %d", i);

        memset(res, 0 , 7);

        // send a D-Bus AUTH message. Expected answer is “REJECT"

        send(sock, "\x00", 1, NULL);

        send(sock, "AUTH\r\n", 6, NULL);

        usleep(100);

        if (ret = recv(sock, res, 6, MSG_DONTWAIT) != -1) {

            if (strcmp(res, "REJECT") == 0) {

               /* Frida server detected. Do something… */

            }

        }

    }

    close(sock);
}

遍历连接手机所有端口发送D-bus消息，如果返回"REJECT"这个特征则认为存在frida-server。
 
内存中存在frida rpc字符串，认为有frida-server
/*

 * Mini-portscan to detect frida-server on any local port.

 */

for(i = 0 ; i <= 65535 ; i++) {

    sock = socket(AF_INET , SOCK_STREAM , 0);

    sa.sin_port = htons(i);

    if (connect(sock , (struct sockaddr*)&sa , sizeof sa) != -1) {

        __android_log_print(ANDROID_LOG_VERBOSE, APPNAME,  "FRIDA DETECTION [1]: Open Port: %d", i);

        memset(res, 0 , 7);

        // send a D-Bus AUTH message. Expected answer is “REJECT"

        send(sock, "\x00", 1, NULL);

        send(sock, "AUTH\r\n", 6, NULL);

        usleep(100);

        if (ret = recv(sock, res, 6, MSG_DONTWAIT) != -1) {

            if (strcmp(res, "REJECT") == 0) {

               /* Frida server detected. Do something… */

            }

        }

    }

    close(sock);
}
function replace_str() {

    var pt_strstr = Module.findExportByName("libc.so", 'strstr');

    var pt_strcmp = Module.findExportByName("libc.so", 'strcmp');
 
    Interceptor.attach(pt_strstr, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (str2.indexOf("REJECT") !== -1) {

                //console.log("strcmp-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    });
 
    Interceptor.attach(pt_strcmp, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (str2.indexOf("REJECT") !== -1) {

                //console.log("strcmp-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    })
 
}
 
replace_str();
function replace_str() {

    var pt_strstr = Module.findExportByName("libc.so", 'strstr');

    var pt_strcmp = Module.findExportByName("libc.so", 'strcmp');
 
    Interceptor.attach(pt_strstr, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (str2.indexOf("REJECT") !== -1) {

                //console.log("strcmp-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    });
 
    Interceptor.attach(pt_strcmp, {

        onEnter: function (args) {

            var str1 = args[0].readCString();

            var str2 = args[1].readCString();

            if (str2.indexOf("REJECT") !== -1) {

                //console.log("strcmp-->", str1, str2);

                this.hook = true;

            }

        }, onLeave: function (retval) {

            if (this.hook) {

                retval.replace(0);

            }

        }

    })
 
}
 
replace_str();

char line[512];
FILE* fp;

fp = fopen("/proc/self/maps", "r");

if (fp) {

    while (fgets(line, 512, fp)) {

        if (strstr(line, "frida")) {

            /* Evil library is loaded. Do something… */

        }

    }

    fclose(fp);

    } else {

       /* Error opening /proc/self/maps. If this happens, something is off. */

    }
}

char line[512];
FILE* fp;

fp = fopen("/proc/self/maps", "r");

if (fp) {

    while (fgets(line, 512, fp)) {

        if (strstr(line, "frida")) {

            /* Evil library is loaded. Do something… */

        }

    }

    fclose(fp);

    } else {

				登录后可查看完整内容
			
[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

		#基础理论
		#逆向分析
		#HOOK注入

收藏・104

免费・21

支持

赞赏记录

参与人

雪币

留言

时间

林伊轩

感谢你分享这么好的资源！

2024-10-31 22:21

Ram98

谢谢你的细致分析，受益匪浅！

2024-7-1 15:08

Denny Chen

为你点赞~

2024-5-23 13:06

I鲸落I

为你点赞~

2024-4-26 10:28

ChrQwQ

为你点赞~

2024-3-4 14:03

弄好了

为你点赞~

2024-2-2 09:13

freenow

为你点赞~

2023-12-23 15:53

t0hka1

为你点赞~

2023-12-12 23:54

mb_xxydbswf

为你点赞~

2023-11-28 10:34

Lnju

为你点赞~

2023-11-27 10:47

New对象处

为你点赞~

2023-11-23 11:44

nevinhappy

为你点赞~

2023-8-11 11:26

vay

为你点赞~

2023-8-11 10:22

aizhiqun

为你点赞~

2023-7-29 00:31

简单的简单

为你点赞~

2023-7-26 09:58

你瞒我瞒

为你点赞~

2023-7-26 09:16

狄人3

为你点赞~

2023-7-26 08:35

NPC2000

为你点赞~

2023-7-25 22:33

mb_lpcoesnt

为你点赞~

2023-7-25 22:16

codeoooo

为你点赞~

2023-7-25 21:05

Russohan

为你点赞~

2023-7-25 20:18

最新回复 (13)
wx_嗨雪币： 226 活跃值： (2308) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 7 关注私信	wx_嗨 2 楼大佬，有遇到谷歌系的frida检测，没有注入进程，单纯开启frida服务就被检测到了，这种是属于哪种的 2023-7-25 22:46 1
wuli鸭蛋君雪币： 147 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	wuli鸭蛋君 3 楼感谢分享，一下子学会不少 2023-7-26 00:23 0
你瞒我瞒雪币： 2334 活跃值： (10386) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 248 粉丝 2 关注私信	你瞒我瞒 4 楼 wx_嗨大佬，有遇到谷歌系的frida检测，没有注入进程，单纯开启frida服务就被检测到了，这种是属于哪种的端口吧 2023-7-26 09:47 0
mb_tqheqqmt 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	mb_tqheqqmt 5 楼实测过不了bilibili 2023-7-28 05:10 0
秋狝雪币： 3004 活跃值： (30866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 6 楼感谢分享 2023-7-28 09:15 1
New对象处雪币： 129 活跃值： (4490) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 7 楼 mb_tqheqqmt 实测过不了bilibili bilibili 关键点在libme什么的oaid库 2023-7-28 11:40 0
沈聽白雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	沈聽白 8 楼 B站小红书都是libmsaoaidsec 很好过用一样的套路就能过 2023-7-28 12:56 0
mb_uzklxgat 雪币： 660 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 91 粉丝 1 关注私信	mb_uzklxgat 9 楼沈聽白 B站小红书都是libmsaoaidsec 很好过用一样的套路就能过佬咋弄的 2023-7-28 17:31 0
可怕武器雪币： 0 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	可怕武器 10 楼 mb_tqheqqmt 实测过不了bilibili https://bbs.kanxue.com/thread-277034.htm 这个可过最后于 2023-8-11 10:18 被可怕武器编辑，原因： 2023-8-11 10:13 0
yyy123 雪币： 632 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 26 关注私信	yyy123 11 楼 New对象处 bilibili 关键点在libme什么的oaid库 bilibili检测libart.so了 2024-3-4 12:39 0
mb_xsfdfkko 雪币： 357 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 2 关注私信	mb_xsfdfkko 12 楼如果比较是用自己写的for循环判断呢？ 2024-3-6 23:13 0
mb_mzboxhri 雪币： 76 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 20 粉丝 2 关注私信	mb_mzboxhri 13 楼 wx_嗨大佬，有遇到谷歌系的frida检测，没有注入进程，单纯开启frida服务就被检测到了，这种是属于哪种的找到解决方法了吗师傅，方便的话交流一下。 2024-9-25 22:25 0
wx_嗨雪币： 226 活跃值： (2308) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 7 关注私信	wx_嗨 14 楼 mb_mzboxhri 找到解决方法了吗师傅，方便的话交流一下。应该是内存的crc检测，谷歌应该有对libart和libc做校验，开过frida，这两个文件校验就通过不了 2024-9-27 18:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Dem0li

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
wx_嗨雪币： 226 活跃值： (2308) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 7 关注私信	wx_嗨 2 楼大佬，有遇到谷歌系的frida检测，没有注入进程，单纯开启frida服务就被检测到了，这种是属于哪种的 2023-7-25 22:46 1
wuli鸭蛋君雪币： 147 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	wuli鸭蛋君 3 楼感谢分享，一下子学会不少 2023-7-26 00:23 0
你瞒我瞒雪币： 2334 活跃值： (10386) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 248 粉丝 2 关注私信	你瞒我瞒 4 楼 wx_嗨大佬，有遇到谷歌系的frida检测，没有注入进程，单纯开启frida服务就被检测到了，这种是属于哪种的端口吧 2023-7-26 09:47 0
mb_tqheqqmt 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	mb_tqheqqmt 5 楼实测过不了bilibili 2023-7-28 05:10 0
秋狝雪币： 3004 活跃值： (30866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 6 楼感谢分享 2023-7-28 09:15 1
New对象处雪币： 129 活跃值： (4490) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 135 粉丝 18 关注私信	New对象处 7 楼 mb_tqheqqmt 实测过不了bilibili bilibili 关键点在libme什么的oaid库 2023-7-28 11:40 0
沈聽白雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	沈聽白 8 楼 B站小红书都是libmsaoaidsec 很好过用一样的套路就能过 2023-7-28 12:56 0
mb_uzklxgat 雪币： 660 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 91 粉丝 1 关注私信	mb_uzklxgat 9 楼沈聽白 B站小红书都是libmsaoaidsec 很好过用一样的套路就能过佬咋弄的 2023-7-28 17:31 0
可怕武器雪币： 0 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	可怕武器 10 楼 mb_tqheqqmt 实测过不了bilibili https://bbs.kanxue.com/thread-277034.htm 这个可过最后于 2023-8-11 10:18 被可怕武器编辑，原因： 2023-8-11 10:13 0
yyy123 雪币： 632 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 26 关注私信	yyy123 11 楼 New对象处 bilibili 关键点在libme什么的oaid库 bilibili检测libart.so了 2024-3-4 12:39 0
mb_xsfdfkko 雪币： 357 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 2 关注私信	mb_xsfdfkko 12 楼如果比较是用自己写的for循环判断呢？ 2024-3-6 23:13 0
mb_mzboxhri 雪币： 76 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 20 粉丝 2 关注私信	mb_mzboxhri 13 楼 wx_嗨大佬，有遇到谷歌系的frida检测，没有注入进程，单纯开启frida服务就被检测到了，这种是属于哪种的找到解决方法了吗师傅，方便的话交流一下。 2024-9-25 22:25 0
wx_嗨雪币： 226 活跃值： (2308) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 7 关注私信	wx_嗨 14 楼 mb_mzboxhri 找到解决方法了吗师傅，方便的话交流一下。应该是内存的crc检测，谷歌应该有对libart和libc做校验，开过frida，这两个文件校验就通过不了 2024-9-27 18:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复