绕过最新版bilibili app反frida机制-Android安全-看雪-安全社区|安全招聘|kanxue.com

绕过最新版bilibili app反frida机制

发表于: 2024-5-1 17:31 32384

绕过最新版bilibili app反frida机制

天水姜伯约

2024-5-1 17:31

32384

安卓的最新版B站APP（7.76.0）有反FRIDA机制，本文介绍一下如何绕过它

截止到2024年5月1日，B站最新版的安卓APP（7.76.0）有反Frida机制，不管是spawn还是attach，都无法注入frida，如下图所示。本文介绍一下如何绕过它

检测Frida的机制一般在Native层实现，通常会创建几个线程轮询检测。首先要知道检测机制是由哪个so实现的，通过hook android_dlopen_ext函数，观察加载到哪个so的时候，触发反调试进程终止即可。Frida脚本代码与输出如下，最终可以定位到检测点在libmsaoaidsec.so中。

使用IDA载入libmsaoaidsec.so，发现没有导入pthread_create符号

使用Frida脚本尝试HOOK pthread_create 函数，也没有找到来自libmsaoaidsec.so的调用

尽管表现有点奇怪，但它一定会调用pthread_create创建检测线程。所以尝试hook dlsym函数，在加载libmsaoaidsec.so之前挂钩dlsym函数，代码如下

输出如下，在加载libmsaoaidsec.so后，调用了2次dlsym获取pthread_create函数，然后进程就终止了。证明它确实会调用pthread_create，只是调用方式不是直接调用，可能采取了一些对抗手段。

它应该是使用了一些反hook的手段，没有必要和它正面对抗。简单描述一下我的绕过策略，创建一个fake_pthread_create函数，它只有一条ret汇编指令，然后hook来自libmsaoaidsec.so的前2次对dlsym的调用，返回fake_pthread_create函数的地址，这样就达成了欺骗它调用fake_pthread_create函数的目的。最终代码如下

执行frida -U -f tv.danmaku.bili -l bypass.js后即可绕过反frida机制，如下图所示

代码也可从github下载，见引用[1]。

[1] https://github.com/ddddhm1234/bypass_bilibili/

var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

        {

            onEnter: function (args) {

                var pathptr = args[0];

                if (pathptr !== undefined && pathptr != null) {

                    var path = ptr(pathptr).readCString();

                    console.log("[LOAD]", path)

                }

            },

        }
)

var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

{

onEnter: function (args) {

var pathptr = args[0];

if (pathptr !== undefined && pathptr != null) {

var path = ptr(pathptr).readCString();

console.log("[LOAD]", path)

}

},

}

)

var interceptor = Interceptor.attach(Module.findExportByName(null, "pthread_create"),

        {

            onEnter: function (args) {

                var module = Process.findModuleByAddress(ptr(this.returnAddress))

                if (module != null) {

                    console.log("[pthread_create] called from", module.name)

                }

                else {

                    console.log("[pthread_create] called from", ptr(this.returnAddress))

                }

            },

        }
)

var interceptor = Interceptor.attach(Module.findExportByName(null, "pthread_create"),

{

onEnter: function (args) {

var module = Process.findModuleByAddress(ptr(this.returnAddress))

if (module != null) {

console.log("[pthread_create] called from", module.name)

}

else {

console.log("[pthread_create] called from", ptr(this.returnAddress))

}

},

}

)

function hook_dlsym() {

    var count = 0

    console.log("=== HOOKING dlsym ===")

    var interceptor = Interceptor.attach(Module.findExportByName(null, "dlsym"),

        {

            onEnter: function (args) {

                const name = ptr(args[1]).readCString()

                // const module = Process.findModuleByAddress(ptr(this.returnAddress))

                console.log("[dlsym]", name)

                if (name == "pthread_create") {

                    count++

                }

            }

        }

    )

    return Interceptor
}
 
function hook_dlopen() {

    var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

        {

            onEnter: function (args) {

                var pathptr = args[0];

                if (pathptr !== undefined && pathptr != null) {

                    var path = ptr(pathptr).readCString();

                    console.log("[LOAD]", path)

                    if (path.indexOf("libmsaoaidsec.so") > -1) {

                        hook_dlsym()

                    }

                }

            },

        }

    )

    return interceptor
}
 
var dlopen_interceptor = hook_dlopen()

function hook_dlsym() {

var count = 0

console.log("=== HOOKING dlsym ===")

var interceptor = Interceptor.attach(Module.findExportByName(null, "dlsym"),

{

onEnter: function (args) {

const name = ptr(args[1]).readCString()

// const module = Process.findModuleByAddress(ptr(this.returnAddress))

console.log("[dlsym]", name)

if (name == "pthread_create") {

count++

}

)

return Interceptor

}

function hook_dlopen() {

var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

{

onEnter: function (args) {

var pathptr = args[0];

if (pathptr !== undefined && pathptr != null) {

var path = ptr(pathptr).readCString();

console.log("[LOAD]", path)

if (path.indexOf("libmsaoaidsec.so") > -1) {

hook_dlsym()

}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2024-5-1 17:31 被天水姜伯约编辑，原因：第一次上传没写标题

#逆向分析

收藏・80

免费・32

支持

赞赏记录

参与人

雪币

留言

时间

lvqingyao520

谢谢你的细致分析，受益匪浅！

2024-11-13 15:56

mb_pfpertes

为你点赞！

2024-10-29 17:48

mb_fyqtjfhv

你的帖子非常有用，感谢分享！

2024-10-12 15:41

sinker_

期待更多优质内容的分享，论坛有你更精彩！

2024-10-12 00:19

mb_ewepueos

期待更多优质内容的分享，论坛有你更精彩！

2024-9-18 15:19

马先越

谢谢你的细致分析，受益匪浅！

2024-8-26 12:03

xsSkyFall

为你点赞~

2024-8-13 21:48

梧桐生

这个讨论对我很有帮助，谢谢！

2024-8-12 00:33

栀花谢了春红

为你点赞~

2024-8-6 08:26

养只猫不好么

谢谢你的细致分析，受益匪浅！

2024-7-25 18:28

wx_你有帅得过黎明嘛

感谢你分享这么好的资源！

2024-7-1 11:24

mb_psivnlna

为你点赞~

2024-6-6 11:27

彪哥哥

这个讨论对我很有帮助，谢谢！

2024-6-5 13:46

混迹

谢谢你的细致分析，受益匪浅！

2024-6-4 20:38

KKKKKKKEM

这个讨论对我很有帮助，谢谢！

2024-6-4 16:05

mb_dyxpvjat

为你点赞~

2024-6-4 14:20

肖安111

谢谢你的细致分析，受益匪浅！

2024-5-31 17:44

一笑人间万事

为你点赞~

2024-5-31 01:38

0xK4ws

为你点赞~

2024-5-29 17:35

liukuo362573

为你点赞~

2024-5-23 09:28

菜小基

为你点赞~

2024-5-21 17:58

rgols

为你点赞~

2024-5-20 20:16

mb_yynjwyzd

为你点赞~

2024-5-15 15:50

realikun

为你点赞~

2024-5-13 06:02

La0s

为你点赞~

2024-5-11 23:09

你瞒我瞒

为你点赞~

2024-5-6 09:19

zxk1ng

为你点赞~

2024-5-3 17:39

江南小虫虫

为你点赞~

2024-5-3 14:26

pureGavin

为你点赞~

2024-5-3 12:14

简单的简单

为你点赞~

2024-5-3 11:25

果冻大砍刀

为你点赞~

2024-5-3 10:54

pexillove

为你点赞~

2024-5-1 18:25

最新回复 (22)
mudebug 雪币： 9014 活跃值： (6240) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 2 楼 2024-5-1 21:31 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-5-1 22:08 1
院士雪币： 3565 活跃值： (3950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 2 关注私信	院士 4 楼厉害了。 2024-5-2 12:42 0
xinsui 雪币： 52 活跃值： (373) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 36 粉丝 2 关注私信	xinsui 5 楼 2024-5-2 13:12 0
mb_fidppcok 雪币： 1346 活跃值： (1450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	mb_fidppcok 6 楼牛逼了大佬 2024-5-3 10:25 0
安卓逆向test 雪币： 489 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 8 关注私信	安卓逆向test 7 楼奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对 2024-5-3 15:25 1
天水姜伯约雪币： 2630 活跃值： (5078) 能力值： ( LV9，RANK：225 ) 在线值：发帖 22 回帖 135 粉丝 190 关注私信	天水姜伯约 4 8 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对我发现了，Process.findModuleByAddress(ptr(this.returnAddress))，我在hook pthread_create时尝试获取了返回地址所属的so文件，frida脚本卡在这行代码没动了，我以为没有hook到 2024-5-3 16:04 0
文西哥雪币： 4718 活跃值： (3703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 9 楼牛逼了大佬 2024-5-4 12:11 0
AunCss 雪币： 268 活跃值： (786) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	AunCss 10 楼姜师？ 2024-5-11 11:54 0
道破红尘雪币： 49 活跃值： (1714) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 51 粉丝 9 关注私信	道破红尘 11 楼厉害了最后于 2024-5-21 15:58 被道破红尘编辑，原因： 2024-5-21 15:58 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 6 关注私信	liukuo362573 12 楼学习到了，感谢楼主分享。 2024-5-23 14:24 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 6 关注私信	liukuo362573 13 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对大佬你在那个 so init 函数入口处 hook 的脚本，能发一下吗？ 2024-5-23 16:20 0
ngiokweng 雪币： 1231 活跃值： (1070) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 35 粉丝 24 关注私信	ngiokweng 14 楼學習了分享一下另外的解決思路, 一種是IO重定向maps(配合魔改的frida), 另一種是直接不加載libmsaoaidsec.so 2024-5-24 11:41 0
Karwin 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Karwin 15 楼大哥，我有个问题：我从豌豆荚下载的7.76.0版本的app，我hook了看到只开了一个线程，而且换了线程过不去检测。之前我也遇到过类似的情况：跟着一个文章操作，app的版本一样，但是结果也是不一样。您知道这是什么原因吗 2024-5-24 20:58 0
ariesGinn 雪币： 179 活跃值： (694) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ariesGinn 16 楼当在Java.perform()中hook java层代码的时候无法绕过反frida机制 2024-5-27 16:59 0
梦_魇雪币： 630 活跃值： (5459) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	梦_魇 17 楼在启动时候 hook art中的regitsternative方法好像还是会被检测，我看了一下这个函数调用的返回地址没在本模块内，不知道怎么定位检测了，楼主有遇到吗？ 2024-6-4 11:13 0
未露姓名陈某雪币： 8 活跃值： (519) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	未露姓名陈某 18 楼你不会就是那个传说中的孔明关门弟子吧 2024-6-5 17:22 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 19 楼老哥，私一个APP逆向，有偿 2024-7-25 17:02 0
养只猫不好么雪币： 1388 活跃值： (2887) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 1 关注私信	养只猫不好么 20 楼感谢分享 2024-7-25 18:28 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 21 楼老哥，私一个APP逆向，有偿 2024-7-25 21:21 0
MANKVIS 雪币： 2997 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 1 关注私信	MANKVIS 22 楼 ariesGinn 当在Java.perform()中hook java层代码的时候无法绕过反frida机制请问解决了吗 2024-8-5 18:23 0
北袅雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 13 粉丝 4 关注私信	北袅 23 楼 MANKVIS 请问解决了吗同问 2024-10-26 15:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

天水姜伯约

发帖

135

回帖

225

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
mudebug 雪币： 9014 活跃值： (6240) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 2 楼 2024-5-1 21:31 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-5-1 22:08 1
院士雪币： 3565 活跃值： (3950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 2 关注私信	院士 4 楼厉害了。 2024-5-2 12:42 0
xinsui 雪币： 52 活跃值： (373) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 36 粉丝 2 关注私信	xinsui 5 楼 2024-5-2 13:12 0
mb_fidppcok 雪币： 1346 活跃值： (1450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	mb_fidppcok 6 楼牛逼了大佬 2024-5-3 10:25 0
安卓逆向test 雪币： 489 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 8 关注私信	安卓逆向test 7 楼奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对 2024-5-3 15:25 1
天水姜伯约雪币： 2630 活跃值： (5078) 能力值： ( LV9，RANK：225 ) 在线值：发帖 22 回帖 135 粉丝 190 关注私信	天水姜伯约 4 8 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对我发现了，Process.findModuleByAddress(ptr(this.returnAddress))，我在hook pthread_create时尝试获取了返回地址所属的so文件，frida脚本卡在这行代码没动了，我以为没有hook到 2024-5-3 16:04 0
文西哥雪币： 4718 活跃值： (3703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 9 楼牛逼了大佬 2024-5-4 12:11 0
AunCss 雪币： 268 活跃值： (786) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	AunCss 10 楼姜师？ 2024-5-11 11:54 0
道破红尘雪币： 49 活跃值： (1714) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 51 粉丝 9 关注私信	道破红尘 11 楼厉害了最后于 2024-5-21 15:58 被道破红尘编辑，原因： 2024-5-21 15:58 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 6 关注私信	liukuo362573 12 楼学习到了，感谢楼主分享。 2024-5-23 14:24 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 6 关注私信	liukuo362573 13 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对大佬你在那个 so init 函数入口处 hook 的脚本，能发一下吗？ 2024-5-23 16:20 0
ngiokweng 雪币： 1231 活跃值： (1070) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 35 粉丝 24 关注私信	ngiokweng 14 楼學習了分享一下另外的解決思路, 一種是IO重定向maps(配合魔改的frida), 另一種是直接不加載libmsaoaidsec.so 2024-5-24 11:41 0
Karwin 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Karwin 15 楼大哥，我有个问题：我从豌豆荚下载的7.76.0版本的app，我hook了看到只开了一个线程，而且换了线程过不去检测。之前我也遇到过类似的情况：跟着一个文章操作，app的版本一样，但是结果也是不一样。您知道这是什么原因吗 2024-5-24 20:58 0
ariesGinn 雪币： 179 活跃值： (694) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ariesGinn 16 楼当在Java.perform()中hook java层代码的时候无法绕过反frida机制 2024-5-27 16:59 0
梦_魇雪币： 630 活跃值： (5459) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	梦_魇 17 楼在启动时候 hook art中的regitsternative方法好像还是会被检测，我看了一下这个函数调用的返回地址没在本模块内，不知道怎么定位检测了，楼主有遇到吗？ 2024-6-4 11:13 0
未露姓名陈某雪币： 8 活跃值： (519) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	未露姓名陈某 18 楼你不会就是那个传说中的孔明关门弟子吧 2024-6-5 17:22 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 19 楼老哥，私一个APP逆向，有偿 2024-7-25 17:02 0
养只猫不好么雪币： 1388 活跃值： (2887) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 85 粉丝 1 关注私信	养只猫不好么 20 楼感谢分享 2024-7-25 18:28 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 21 楼老哥，私一个APP逆向，有偿 2024-7-25 21:21 0
MANKVIS 雪币： 2997 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 1 关注私信	MANKVIS 22 楼 ariesGinn 当在Java.perform()中hook java层代码的时候无法绕过反frida机制请问解决了吗 2024-8-5 18:23 0
北袅雪币： 250 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 13 粉丝 4 关注私信	北袅 23 楼 MANKVIS 请问解决了吗同问 2024-10-26 15:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复