-
-
通过bilibili分析libmsaoaidsec.so的环境检测
-
发表于: 2023-8-4 16:20
-
之前在论坛看到这个帖子https://bbs.kanxue.com/thread-277034.htm
通过nop的方式过掉了frida检测,一时兴起,想要分析一下具体的检测逻辑
通过上文楼主给出的方法定位了检测函数的地址,再通过IDA进行调试,且在调试的时候需要先在静态文件中把断点下好,这里就不再赘述调试过程,直接上分析结论
存在三个检测方法
实际过程中stat的输出格式是 pid (name) status xxxxxxx
该方法就是判断读取到的status是否为“T”(会通过 |0x20 将其转为“t”,ASCII码为116)
处理代码未作详细分析,这里只说说我根据一些字符串的猜测:
在上述三个方法检测到异常后,会调用JNI_GetCreatedJavaVMs方法
而这个方法是获取已经创建的 Java 虚拟机实例,根据“使用frida-spwan模式hook会导致应用短暂卡顿后,frida进程退出,应用恢复运行”的现象,我猜测是把被hook进程干掉了,以一个新进程运行了上面的Java 虚拟机实例。
该方法前半部分是各种字符串的解密,最后的四个方法才是检测
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2023-8-7 15:47
被菜鸟泽编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
