绕过最新版bilibili app反frida机制-Android安全-看雪-安全社区|安全招聘|kanxue.com

103

绕过最新版bilibili app反frida机制

发表于: 2024-5-1 17:31 38147

绕过最新版bilibili app反frida机制

天水姜伯约

2024-5-1 17:31

38147

安卓的最新版B站APP（7.76.0）有反FRIDA机制，本文介绍一下如何绕过它

截止到2024年5月1日，B站最新版的安卓APP（7.76.0）有反Frida机制，不管是spawn还是attach，都无法注入frida，如下图所示。本文介绍一下如何绕过它

检测Frida的机制一般在Native层实现，通常会创建几个线程轮询检测。首先要知道检测机制是由哪个so实现的，通过hook android_dlopen_ext函数，观察加载到哪个so的时候，触发反调试进程终止即可。Frida脚本代码与输出如下，最终可以定位到检测点在libmsaoaidsec.so中。

使用IDA载入libmsaoaidsec.so，发现没有导入pthread_create符号

使用Frida脚本尝试HOOK pthread_create 函数，也没有找到来自libmsaoaidsec.so的调用

尽管表现有点奇怪，但它一定会调用pthread_create创建检测线程。所以尝试hook dlsym函数，在加载libmsaoaidsec.so之前挂钩dlsym函数，代码如下

输出如下，在加载libmsaoaidsec.so后，调用了2次dlsym获取pthread_create函数，然后进程就终止了。证明它确实会调用pthread_create，只是调用方式不是直接调用，可能采取了一些对抗手段。

它应该是使用了一些反hook的手段，没有必要和它正面对抗。简单描述一下我的绕过策略，创建一个fake_pthread_create函数，它只有一条ret汇编指令，然后hook来自libmsaoaidsec.so的前2次对dlsym的调用，返回fake_pthread_create函数的地址，这样就达成了欺骗它调用fake_pthread_create函数的目的。最终代码如下

执行frida -U -f tv.danmaku.bili -l bypass.js后即可绕过反frida机制，如下图所示

代码也可从github下载，见引用[1]。

[1] https://github.com/ddddhm1234/bypass_bilibili/

var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

        {

            onEnter: function (args) {

                var pathptr = args[0];

                if (pathptr !== undefined && pathptr != null) {

                    var path = ptr(pathptr).readCString();

                    console.log("[LOAD]", path)

                }

            },

        }
)

var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

{

onEnter: function (args) {

var pathptr = args[0];

if (pathptr !== undefined && pathptr != null) {

var path = ptr(pathptr).readCString();

console.log("[LOAD]", path)

}

},

}

)

var interceptor = Interceptor.attach(Module.findExportByName(null, "pthread_create"),

        {

            onEnter: function (args) {

                var module = Process.findModuleByAddress(ptr(this.returnAddress))

                if (module != null) {

                    console.log("[pthread_create] called from", module.name)

                }

                else {

                    console.log("[pthread_create] called from", ptr(this.returnAddress))

                }

            },

        }
)

var interceptor = Interceptor.attach(Module.findExportByName(null, "pthread_create"),

{

onEnter: function (args) {

var module = Process.findModuleByAddress(ptr(this.returnAddress))

if (module != null) {

console.log("[pthread_create] called from", module.name)

}

else {

console.log("[pthread_create] called from", ptr(this.returnAddress))

}

},

}

)

function hook_dlsym() {

    var count = 0

    console.log("=== HOOKING dlsym ===")

    var interceptor = Interceptor.attach(Module.findExportByName(null, "dlsym"),

        {

            onEnter: function (args) {

                const name = ptr(args[1]).readCString()

                // const module = Process.findModuleByAddress(ptr(this.returnAddress))

                console.log("[dlsym]", name)

                if (name == "pthread_create") {

                    count++

                }

            }

        }

    )

    return Interceptor
}
 
function hook_dlopen() {

    var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

        {

            onEnter: function (args) {

                var pathptr = args[0];

                if (pathptr !== undefined && pathptr != null) {

                    var path = ptr(pathptr).readCString();

                    console.log("[LOAD]", path)

                    if (path.indexOf("libmsaoaidsec.so") > -1) {

                        hook_dlsym()

                    }

                }

            },

        }

    )

    return interceptor
}
 
var dlopen_interceptor = hook_dlopen()

function hook_dlsym() {

var count = 0

console.log("=== HOOKING dlsym ===")

var interceptor = Interceptor.attach(Module.findExportByName(null, "dlsym"),

{

onEnter: function (args) {

const name = ptr(args[1]).readCString()

// const module = Process.findModuleByAddress(ptr(this.returnAddress))

console.log("[dlsym]", name)

if (name == "pthread_create") {

count++

}

)

return Interceptor

}

function hook_dlopen() {

var interceptor = Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),

{

onEnter: function (args) {

var pathptr = args[0];

if (pathptr !== undefined && pathptr != null) {

var path = ptr(pathptr).readCString();

console.log("[LOAD]", path)

if (path.indexOf("libmsaoaidsec.so") > -1) {

hook_dlsym()

}

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2024-5-1 17:31 被天水姜伯约编辑，原因：第一次上传没写标题

#逆向分析

收藏・103

免费・38

支持

赞赏记录

参与人

雪币

留言

时间

Johnny_Rudy

谢谢你的细致分析，受益匪浅！

2025-2-19 09:43

Janeho117

这个讨论对我很有帮助，谢谢！

2025-2-17 23:32

IT醉猫

为你点赞！

2025-1-23 17:32

Fogg

非常支持你的观点！

2025-1-14 23:42

mb_gmamdgrr

期待更多优质内容的分享，论坛有你更精彩！

2025-1-7 09:56

青头潜鸭

这个讨论对我很有帮助，谢谢！

2024-12-17 16:29

lvqingyao520

谢谢你的细致分析，受益匪浅！

2024-11-13 15:56

mb_pfpertes

为你点赞！

2024-10-29 17:48

mb_fyqtjfhv

你的帖子非常有用，感谢分享！

2024-10-12 15:41

sinker_

期待更多优质内容的分享，论坛有你更精彩！

2024-10-12 00:19

mb_ewepueos

期待更多优质内容的分享，论坛有你更精彩！

2024-9-18 15:19

马先越

谢谢你的细致分析，受益匪浅！

2024-8-26 12:03

xsSkyFall

为你点赞~

2024-8-13 21:48

梧桐生

这个讨论对我很有帮助，谢谢！

2024-8-12 00:33

栀花谢了春红

为你点赞~

2024-8-6 08:26

养只猫不好么

谢谢你的细致分析，受益匪浅！

2024-7-25 18:28

wx_你有帅得过黎明嘛

感谢你分享这么好的资源！

2024-7-1 11:24

mb_psivnlna

为你点赞~

2024-6-6 11:27

彪哥哥

这个讨论对我很有帮助，谢谢！

2024-6-5 13:46

混迹

谢谢你的细致分析，受益匪浅！

2024-6-4 20:38

KKKKKKKEM

这个讨论对我很有帮助，谢谢！

2024-6-4 16:05

mb_dyxpvjat

为你点赞~

2024-6-4 14:20

肖安111

谢谢你的细致分析，受益匪浅！

2024-5-31 17:44

PLEBFE

为你点赞~

2024-5-31 01:38

0xK4ws

为你点赞~

2024-5-29 17:35

liukuo362573

为你点赞~

2024-5-23 09:28

菜小基

为你点赞~

2024-5-21 17:58

rgols

为你点赞~

2024-5-20 20:16

mb_yynjwyzd

为你点赞~

2024-5-15 15:50

realikun

为你点赞~

2024-5-13 06:02

La0s

为你点赞~

2024-5-11 23:09

你瞒我瞒

为你点赞~

2024-5-6 09:19

zxk1ng

为你点赞~

2024-5-3 17:39

江南小虫虫

为你点赞~

2024-5-3 14:26

pureGavin

为你点赞~

2024-5-3 12:14

简单的简单

为你点赞~

2024-5-3 11:25

果冻大砍刀

为你点赞~

2024-5-3 10:54

pexillove

为你点赞~

2024-5-1 18:25

最新回复 (28) 1 2 ▶
mudebug 雪币： 9878 活跃值： (7095) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 320 粉丝 52 关注私信	mudebug 2 楼 2024-5-1 21:31 0
秋狝雪币： 4693 活跃值： (31631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-5-1 22:08 1
院士雪币： 4427 活跃值： (4766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 189 粉丝 2 关注私信	院士 4 楼厉害了。 2024-5-2 12:42 0
xinsui 雪币： 52 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 36 粉丝 2 关注私信	xinsui 5 楼 2024-5-2 13:12 0
mb_fidppcok 雪币： 1909 活跃值： (2105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	mb_fidppcok 6 楼牛逼了大佬 2024-5-3 10:25 0
安卓逆向test 雪币： 495 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 15 粉丝 20 关注私信	安卓逆向test 7 楼奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对 2024-5-3 15:25 1
天水姜伯约雪币： 3225 活跃值： (6048) 能力值： ( LV9，RANK：225 ) 在线值：发帖 22 回帖 140 粉丝 201 关注私信	天水姜伯约 4 8 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对我发现了，Process.findModuleByAddress(ptr(this.returnAddress))，我在hook pthread_create时尝试获取了返回地址所属的so文件，frida脚本卡在这行代码没动了，我以为没有hook到 2024-5-3 16:04 0
文西哥雪币： 5547 活跃值： (4574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 9 关注私信	文西哥 9 楼牛逼了大佬 2024-5-4 12:11 0
AunCss 雪币： 268 活跃值： (1171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	AunCss 10 楼姜师？ 2024-5-11 11:54 0
道破红尘雪币： 58 活跃值： (1890) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 52 粉丝 10 关注私信	道破红尘 11 楼厉害了最后于 2024-5-21 15:58 被道破红尘编辑，原因： 2024-5-21 15:58 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 7 关注私信	liukuo362573 12 楼学习到了，感谢楼主分享。 2024-5-23 14:24 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 7 关注私信	liukuo362573 13 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对大佬你在那个 so init 函数入口处 hook 的脚本，能发一下吗？ 2024-5-23 16:20 0
ngiokweng 雪币： 2337 活跃值： (2933) 能力值： ( LV9，RANK：150 ) 在线值：发帖 12 回帖 92 粉丝 99 关注私信	ngiokweng 2 14 楼學習了分享一下另外的解決思路, 一種是IO重定向maps(配合魔改的frida), 另一種是直接不加載libmsaoaidsec.so 2024-5-24 11:41 0
Karwin 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Karwin 15 楼大哥，我有个问题：我从豌豆荚下载的7.76.0版本的app，我hook了看到只开了一个线程，而且换了线程过不去检测。之前我也遇到过类似的情况：跟着一个文章操作，app的版本一样，但是结果也是不一样。您知道这是什么原因吗 2024-5-24 20:58 0
ariesGinn 雪币： 179 活跃值： (724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 1 关注私信	ariesGinn 16 楼当在Java.perform()中hook java层代码的时候无法绕过反frida机制 2024-5-27 16:59 1
梦_魇雪币： 777 活跃值： (6200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	梦_魇 17 楼在启动时候 hook art中的regitsternative方法好像还是会被检测，我看了一下这个函数调用的返回地址没在本模块内，不知道怎么定位检测了，楼主有遇到吗？ 2024-6-4 11:13 0
未露姓名陈某雪币： 8 活跃值： (624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	未露姓名陈某 18 楼你不会就是那个传说中的孔明关门弟子吧 2024-6-5 17:22 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 19 楼老哥，私一个APP逆向，有偿 2024-7-25 17:02 0
养只猫不好么雪币： 1490 活跃值： (3511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 99 粉丝 1 关注私信	养只猫不好么 20 楼感谢分享 2024-7-25 18:28 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 21 楼老哥，私一个APP逆向，有偿 2024-7-25 21:21 0
MANKVIS 雪币： 3494 活跃值： (2971) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	MANKVIS 22 楼 ariesGinn 当在Java.perform()中hook java层代码的时候无法绕过反frida机制请问解决了吗 2024-8-5 18:23 0
北袅雪币： 286 活跃值： (201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 6 关注私信	北袅 23 楼 MANKVIS 请问解决了吗同问 2024-10-26 15:53 0
mb_kthocqep 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_kthocqep 24 楼其实替换一次就行了，打印下retval两次地址你就会发现都是相同的，因为替换的是函数定义，而且不是调用地～～ 2024-12-13 16:58 0
shley2333 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	shley2333 25 楼设置延时注入就可以 setTimeout(function() { Java.perform(function () { console.log("hello bilibili"); }) }, 1000); // 1000 毫秒等于 1 秒 2025-1-2 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

天水姜伯约

发帖

140

回帖

225

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
mudebug 雪币： 9878 活跃值： (7095) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 320 粉丝 52 关注私信	mudebug 2 楼 2024-5-1 21:31 0
秋狝雪币： 4693 活跃值： (31631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 3 楼感谢分享 2024-5-1 22:08 1
院士雪币： 4427 活跃值： (4766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 189 粉丝 2 关注私信	院士 4 楼厉害了。 2024-5-2 12:42 0
xinsui 雪币： 52 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 36 粉丝 2 关注私信	xinsui 5 楼 2024-5-2 13:12 0
mb_fidppcok 雪币： 1909 活跃值： (2105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	mb_fidppcok 6 楼牛逼了大佬 2024-5-3 10:25 0
安卓逆向test 雪币： 495 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 15 粉丝 20 关注私信	安卓逆向test 7 楼奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对 2024-5-3 15:25 1
天水姜伯约雪币： 3225 活跃值： (6048) 能力值： ( LV9，RANK：225 ) 在线值：发帖 22 回帖 140 粉丝 201 关注私信	天水姜伯约 4 8 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对我发现了，Process.findModuleByAddress(ptr(this.returnAddress))，我在hook pthread_create时尝试获取了返回地址所属的so文件，frida脚本卡在这行代码没动了，我以为没有hook到 2024-5-3 16:04 0
文西哥雪币： 5547 活跃值： (4574) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 9 关注私信	文西哥 9 楼牛逼了大佬 2024-5-4 12:11 0
AunCss 雪币： 268 活跃值： (1171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	AunCss 10 楼姜师？ 2024-5-11 11:54 0
道破红尘雪币： 58 活跃值： (1890) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 52 粉丝 10 关注私信	道破红尘 11 楼厉害了最后于 2024-5-21 15:58 被道破红尘编辑，原因： 2024-5-21 15:58 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 7 关注私信	liukuo362573 12 楼学习到了，感谢楼主分享。 2024-5-23 14:24 0
liukuo362573 雪币： 171 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 7 关注私信	liukuo362573 13 楼安卓逆向test 奇怪了，我看了下这个版本的app，我在它那个so init函数的入口处hook pthread_create是可以看到有检测线程的,应该是你下hook的时机没对大佬你在那个 so init 函数入口处 hook 的脚本，能发一下吗？ 2024-5-23 16:20 0
ngiokweng 雪币： 2337 活跃值： (2933) 能力值： ( LV9，RANK：150 ) 在线值：发帖 12 回帖 92 粉丝 99 关注私信	ngiokweng 2 14 楼學習了分享一下另外的解決思路, 一種是IO重定向maps(配合魔改的frida), 另一種是直接不加載libmsaoaidsec.so 2024-5-24 11:41 0
Karwin 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Karwin 15 楼大哥，我有个问题：我从豌豆荚下载的7.76.0版本的app，我hook了看到只开了一个线程，而且换了线程过不去检测。之前我也遇到过类似的情况：跟着一个文章操作，app的版本一样，但是结果也是不一样。您知道这是什么原因吗 2024-5-24 20:58 0
ariesGinn 雪币： 179 活跃值： (724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 1 关注私信	ariesGinn 16 楼当在Java.perform()中hook java层代码的时候无法绕过反frida机制 2024-5-27 16:59 1
梦_魇雪币： 777 活跃值： (6200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	梦_魇 17 楼在启动时候 hook art中的regitsternative方法好像还是会被检测，我看了一下这个函数调用的返回地址没在本模块内，不知道怎么定位检测了，楼主有遇到吗？ 2024-6-4 11:13 0
未露姓名陈某雪币： 8 活跃值： (624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 2 关注私信	未露姓名陈某 18 楼你不会就是那个传说中的孔明关门弟子吧 2024-6-5 17:22 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 19 楼老哥，私一个APP逆向，有偿 2024-7-25 17:02 0
养只猫不好么雪币： 1490 活跃值： (3511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 99 粉丝 1 关注私信	养只猫不好么 20 楼感谢分享 2024-7-25 18:28 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 21 楼老哥，私一个APP逆向，有偿 2024-7-25 21:21 0
MANKVIS 雪币： 3494 活跃值： (2971) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 2 关注私信	MANKVIS 22 楼 ariesGinn 当在Java.perform()中hook java层代码的时候无法绕过反frida机制请问解决了吗 2024-8-5 18:23 0
北袅雪币： 286 活跃值： (201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 6 关注私信	北袅 23 楼 MANKVIS 请问解决了吗同问 2024-10-26 15:53 0
mb_kthocqep 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_kthocqep 24 楼其实替换一次就行了，打印下retval两次地址你就会发现都是相同的，因为替换的是函数定义，而且不是调用地～～ 2024-12-13 16:58 0
shley2333 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	shley2333 25 楼设置延时注入就可以 setTimeout(function() { Java.perform(function () { console.log("hello bilibili"); }) }, 1000); // 1000 毫秒等于 1 秒 2025-1-2 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

绕过最新版bilibili app反frida机制

账号登录 验证码登录

账号登录

验证码登录