首页
社区
课程
招聘
通过bilibili分析libmsaoaidsec.so的环境检测
发表于: 2023-8-4 16:20 17125

通过bilibili分析libmsaoaidsec.so的环境检测

2023-8-4 16:20
17125

之前在论坛看到这个帖子https://bbs.kanxue.com/thread-277034.htm
通过nop的方式过掉了frida检测,一时兴起,想要分析一下具体的检测逻辑

通过上文楼主给出的方法定位了检测函数的地址,再通过IDA进行调试,且在调试的时候需要先在静态文件中把断点下好,这里就不再赘述调试过程,直接上分析结论

存在三个检测方法
图片描述

图片描述

图片描述

图片描述
实际过程中stat的输出格式是 pid (name) status xxxxxxx
该方法就是判断读取到的status是否为“T”(会通过 |0x20 将其转为“t”,ASCII码为116)

处理代码未作详细分析,这里只说说我根据一些字符串的猜测:
在上述三个方法检测到异常后,会调用JNI_GetCreatedJavaVMs方法
图片描述
而这个方法是获取已经创建的 Java 虚拟机实例,根据“使用frida-spwan模式hook会导致应用短暂卡顿后,frida进程退出,应用恢复运行”的现象,我猜测是把被hook进程干掉了,以一个新进程运行了上面的Java 虚拟机实例。

该方法前半部分是各种字符串的解密,最后的四个方法才是检测
图片描述


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2023-8-7 15:47 被菜鸟泽编辑 ,原因:
收藏
免费 19
支持
分享
最新回复 (7)
雪    币: 4583
活跃值: (6836)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
沙发,给个优评
2023-8-4 16:40
0
雪    币: 9172
活跃值: (6395)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
单走一个6
2023-8-5 14:38
0
雪    币: 33
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
牛啊牛啊,学习了
2024-2-6 21:44
0
雪    币: 0
活跃值: (98)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
谢谢楼主,开卷有益
2024-8-30 20:21
0
雪    币: 6
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
很棒,赞赞赞
2024-10-11 16:42
0
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
请问字符串是怎么还原出来的只是靠猜测吗
2024-12-11 02:18
0
雪    币: 555
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
mb_ytiyqklv 请问字符串是怎么还原出来的只是靠猜测吗
通过ida断点调试,看内存中变量指向的值
2024-12-11 15:17
0
游客
登录 | 注册 方可回帖
返回
//