首页
社区
课程
招聘
未解决 [求助]frida spawn被检测
发表于: 2024-1-19 16:37 2662

未解决 [求助]frida spawn被检测

2024-1-19 16:37
2662

求助各位大佬帮忙分析个问题
最近在研究一个app,我使用最新的frida去attach用着没有任何问题,但是使用spawn就会被检测,而且只要在手机上启动过frida-server,然后再把这个程序强制退出之后就打不开了,注意是启动过,而不是启动,就是只要说我启动过frida之后,这个app就打不开了,如果app开着再以attach的模式运行frida就没问题.
求大佬们给点思路,常规的检测最新的frida都已经避开了,而且感觉他不是检测frida是否在运行,而且是在检测他有没有运行过的痕迹.
壳的话应该是360的,so见附件,由于他可以attach,所以还是可以接着分析,但是应用崩了之后就必须重启手机才能再继续用frida,就很麻烦...


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (9)
雪    币: 1624
活跃值: (3463)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
去年就遇到过了
2024-1-19 18:17
0
雪    币: 544
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
iyue_t 去年就遇到过了
怎么操作呀大佬,可加wx吗,通过之后小红包感谢 wx:oxxooxxoxoxo
2024-1-19 19:51
0
雪    币: 7387
活跃值: (3467)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
怎么和我用的一个OA软件一样,运行过frida-server之后就打不开了
2024-1-19 20:30
0
雪    币: 544
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
breaklink 怎么和我用的一个OA软件一样,运行过frida-server之后就打不开了
对呀,不知道检测了什么,attach又没问题
2024-1-19 20:31
0
雪    币: 544
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
iyue_t 去年就遇到过了
我将这个帖子移到付费问答了https://bbs.kanxue.com/thread-280265.htm,如果大佬有时间可以答一下
2024-1-19 20:49
0
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
app本身会检测是否被hook,但只是在启动时检测的。所以一开始就hook被app检测到后自杀。而过了检测步骤后,就随便hook了
2024-1-19 22:49
0
雪    币: 544
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
mb_ldbucrik app本身会检测是否被hook,但只是在启动时检测的。所以一开始就hook被app检测到后自杀。而过了检测步骤后,就随便hook了
不是启动检测,就算启动app的时候我没开frida-server,但是在这次开机之后我运行过frida-server 他就会进不去app.
2024-1-20 14:02
0
雪    币: 1624
活跃值: (3463)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
breeze12138 怎么操作呀大佬,可加wx吗,通过之后小红包感谢 wx:oxxooxxoxoxo
跟你描述的情况一致,那时候忙着搞项目,是直接暴力过的,当时发现检测是在java的线程里面,通过hook分析,同一个线程创建执行类,根据参数不同 (类创建的时候会把其他实际执行的类和线程操作函数作为参数传入) 执行不同的操作,当时是直接定位到检测的线程所执行的函数,通过找一个无关紧要的函数替换,就绕过了,java反射+混淆加动态解密太忙了 ~屎一样的代码~ ,真不想深了分析,就没去进一步分析.回头我也再继续分析分析.
2024-1-20 23:39
0
雪    币: 544
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
好像不太一样,如果真是线程检测的话 attach 应该也不行,我现在attach完全没问题
2024-1-20 23:52
0
游客
登录 | 注册 方可回帖
返回
//