[原创] Bypass 某 x 书 frida 检测-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] Bypass 某 x 书 frida 检测

发表于: 2024-7-25 16:43 33400

[原创] Bypass 某 x 书 frida 检测

行简

2024-7-25 16:43

33400

app 版本：8.46.0 酷安下载
设备：Pixel 2XL Android 8.1
hook：frida 12.8.0、frida-tools 5.3.0

hook libc.so 模块中 strstr 与 strcmp，一把绕过。

图片描述

function Bypass_frida() {

    var pt_strstr = Module.findExportByName("libc.so", 'strstr');

    Interceptor.attach(pt_strstr, {

        onEnter: function (args) {

            var args1 = args[0].readCString();

            var args2 = args[1].readCString();

            if (

                args2.indexOf("gum-js-loop") !== -1 ||

                args2.indexOf("pool-frida") !== -1||

                args2.indexOf("linjector") !== -1 ||

                args2.indexOf("REJECT") !== -1 ||

                args2.indexOf("frida") !== -1 ||

                args2.indexOf("gmain") !== -1 ||

                args2.indexOf("gdbus") !== -1 ||

                args2.indexOf("tmp") !== -1

            ) {

                console.log("strstr-->", args1, args2);

                this.hook_str = true;

            }

        }, onLeave: function (retval) {

            if (this.hook_str) {

                retval.replace(0);

            }

        }

    });
 
    var pt_strcmp = Module.findExportByName("libc.so", 'strcmp');

    Interceptor.attach(pt_strcmp, {

        onEnter: function (args) {

            var args1 = args[0].readCString();

            var args2 = args[1].readCString();

            if (

                args2.indexOf("gum-js-loop") !== -1 ||

                args2.indexOf("pool-frida") !== -1||

                args2.indexOf("linjector") !== -1 ||

                args2.indexOf("REJECT") !== -1 ||

                args2.indexOf("frida") !== -1 ||

                args2.indexOf("gmain") !== -1 ||

                args2.indexOf("gdbus") !== -1 ||

                args2.indexOf("tmp") !== -1

            ) {

                console.log("strcmp-->", args1, args2);

                this.hook_cmp = true;

            }

        }, onLeave: function (retval) {

            if (this.hook_cmp) {

                retval.replace(0);

            }

        }

    })
}
Bypass_frida();

function Bypass_frida() {

var pt_strstr = Module.findExportByName("libc.so", 'strstr');

Interceptor.attach(pt_strstr, {

onEnter: function (args) {

var args1 = args[0].readCString();

var args2 = args[1].readCString();

if (

args2.indexOf("gum-js-loop") !== -1 ||

args2.indexOf("pool-frida") !== -1||

args2.indexOf("linjector") !== -1 ||

args2.indexOf("REJECT") !== -1 ||

args2.indexOf("frida") !== -1 ||

args2.indexOf("gmain") !== -1 ||

args2.indexOf("gdbus") !== -1 ||

args2.indexOf("tmp") !== -1

) {

console.log("strstr-->", args1, args2);

this.hook_str = true;

}

}, onLeave: function (retval) {

if (this.hook_str) {

retval.replace(0);

}

});

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2024-7-25 16:54 被行简编辑，原因： Done

#基础理论 #逆向分析 #HOOK注入

收藏・24

免费・6

支持

最新回复 (8)
你瞒我瞒雪币： 2340 活跃值： (10417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 249 粉丝 2 关注私信	你瞒我瞒 2 楼 x是什么，小白猜不到。 2024-7-26 09:36 0
行简雪币： 3113 活跃值： (4279) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 57 粉丝 166 关注私信	行简 3 楼你瞒我瞒 x是什么，小白猜不到。是 x 啊 2024-7-26 10:03 0
hacker521 雪币： 742 活跃值： (1471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 72 粉丝 21 关注私信	hacker521 4 楼你瞒我瞒 x是什么，小白猜不到。小红薯 2024-7-28 00:16 0
你瞒我瞒雪币： 2340 活跃值： (10417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 249 粉丝 2 关注私信	你瞒我瞒 5 楼行简是 x 啊[em_76] 之前的蓝尿? 2024-7-29 09:38 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 6 楼大佬，能帮忙app去壳吗？https://f.ws28.cn/f/epnkmz8iilm 2024-7-29 19:20 0
行简雪币： 3113 活跃值： (4279) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 57 粉丝 166 关注私信	行简 7 楼 mb_rugymctl 大佬，能帮忙app去壳吗？https://f.ws28.cn/f/epnkmz8iilm 可私我 2024-7-30 10:46 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 8 楼行简可私我呃。。。账号没权限私信 2024-7-30 17:37 0
mb_jeslfge 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_jeslfge 9 楼看样子像脸书 2024-11-9 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

行简

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
你瞒我瞒雪币： 2340 活跃值： (10417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 249 粉丝 2 关注私信	你瞒我瞒 2 楼 x是什么，小白猜不到。 2024-7-26 09:36 0
行简雪币： 3113 活跃值： (4279) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 57 粉丝 166 关注私信	行简 3 楼你瞒我瞒 x是什么，小白猜不到。是 x 啊 2024-7-26 10:03 0
hacker521 雪币： 742 活跃值： (1471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 72 粉丝 21 关注私信	hacker521 4 楼你瞒我瞒 x是什么，小白猜不到。小红薯 2024-7-28 00:16 0
你瞒我瞒雪币： 2340 活跃值： (10417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 249 粉丝 2 关注私信	你瞒我瞒 5 楼行简是 x 啊[em_76] 之前的蓝尿? 2024-7-29 09:38 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 6 楼大佬，能帮忙app去壳吗？https://f.ws28.cn/f/epnkmz8iilm 2024-7-29 19:20 0
行简雪币： 3113 活跃值： (4279) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 57 粉丝 166 关注私信	行简 7 楼 mb_rugymctl 大佬，能帮忙app去壳吗？https://f.ws28.cn/f/epnkmz8iilm 可私我 2024-7-30 10:46 0
mb_rugymctl 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	mb_rugymctl 8 楼行简可私我呃。。。账号没权限私信 2024-7-30 17:37 0
mb_jeslfge 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_jeslfge 9 楼看样子像脸书 2024-11-9 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复