-
-
通过bilibili分析libmsaoaidsec.so的环境检测
-
发表于: 2023-8-4 16:20
-
之前在论坛看到这个帖子https://bbs.kanxue.com/thread-277034.htm
通过nop的方式过掉了frida检测,一时兴起,想要分析一下具体的检测逻辑
通过上文楼主给出的方法定位了检测函数的地址,再通过IDA进行调试,且在调试的时候需要先在静态文件中把断点下好,这里就不再赘述调试过程,直接上分析结论
存在三个检测方法
实际过程中stat的输出格式是 pid (name) status xxxxxxx
该方法就是判断读取到的status是否为“T”(会通过 |0x20 将其转为“t”,ASCII码为116)
处理代码未作详细分析,这里只说说我根据一些字符串的猜测:
在上述三个方法检测到异常后,会调用JNI_GetCreatedJavaVMs方法
而这个方法是获取已经创建的 Java 虚拟机实例,根据“使用frida-spwan模式hook会导致应用短暂卡顿后,frida进程退出,应用恢复运行”的现象,我猜测是把被hook进程干掉了,以一个新进程运行了上面的Java 虚拟机实例。
该方法前半部分是各种字符串的解密,最后的四个方法才是检测
最后于 2023-8-7 15:47
被菜鸟泽编辑
,原因:
赞赏记录
参与人
雪币
留言
时间
wx_SKY_105
为你点赞!
2024-10-28 14:51
mb_zfqvurgb
感谢你分享这么好的资源!
2024-10-26 00:53
moonlife
期待更多优质内容的分享,论坛有你更精彩!
2024-10-13 08:02
mb_fyqtjfhv
谢谢你的细致分析,受益匪浅!
2024-10-12 00:08
sinker_
期待更多优质内容的分享,论坛有你更精彩!
2024-10-11 18:57
拾海
为你点赞~
2024-5-14 09:44
QL啊这啊这
为你点赞~
2024-2-9 22:22
wogao
为你点赞~
2024-2-7 09:40
eastpolar
为你点赞~
2024-2-6 21:44
mb_utagsrcc
为你点赞~
2024-1-26 12:26
令狐双
为你点赞~
2024-1-4 11:11
t0hka1
为你点赞~
2023-12-13 00:30
Lnju
为你点赞~
2023-11-25 09:50
New对象处
为你点赞~
2023-11-23 11:41
mb_zalytuft
为你点赞~
2023-8-14 19:03
wx_E_475
为你点赞~
2023-8-10 17:11
你瞒我瞒
为你点赞~
2023-8-7 11:29
jaredww
为你点赞~
2023-8-6 22:32
2beNo2
为你点赞~
2023-8-4 20:20
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
通过ida断点调试,看内存中变量指向的值 |
