[分享]某邦企业壳frida检测绕过

发表于: 2025-3-9 19:49 5689

[分享]某邦企业壳frida检测绕过

nianchu

2025-3-9 19:49

5689

某企业壳frida检测绕过尝试

遇见个汽车app 是个企业壳有frida检测，导致无法注入，本文记录下绕过的过程（使用的frida版本葫芦嗒）

通过查壳发现，这是某企业壳知其特点检测主要是在dexhelp这个so文件中，也就省去了定位检测位置这一步

尝试hook pthread_create 定位线程通过杀线程方法干掉他

function hook_pthread_create(){
    var pthread_create_addr = Module.findExportByName("libc.so", "pthread_create");
    console.log("pthread_create_addr: ", pthread_create_addr);
    Interceptor.attach(pthread_create_addr,{
        onEnter:function(args){
            console.log(args[2], Process.findModuleByAddress(args[2]).name);
        },onLeave:function(retval){
        }
    });
}
hook_pthread_create();

发现没啥用应该是检测到 pthread_create 被hook了既然pthread_create 被检测了那么是否还有其他方法定位线程呢，于是乎我打开了逆向小助手 gpt 首先我去问了下pthread_create 实现原理 gpt 给出了这个回答

然后我又去问了gpt hook pthread_create 被检测到了该怎么办他建议我去hook 其他相关函数比如pthread_join clone 通过gpt给出的答案 pthread_create 的实现会调用 clone 系统调用来创建新线程

他既然检测 pthread_create 函数头被hook 那clone函数应该没有把通过hook clone函数得到线程相关信息然后去nop 干掉线程是不是也能一把梭了说干就干

首先我去hook dlopen 在打开dexhelp这个so的时候去hook下jnionload 看看它做手脚的地方是否在init里面发现不是那我只需要去hook clone函数打印出相关线程信息然后加载这个so的时候 nop 掉它测试是否能绕过即可

于是开始写hook 首先找gpt要了一份 clone实现创建线程的例子

#define _GNU_SOURCE
#include <sched.h>
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
 
#define STACK_SIZE 1024*1024  // 分配线程栈空间
 
// 子线程函数
int thread_func(void *arg) {
    printf("Hello from the new thread!\n");
    return 0;
}
 
int main() {
    char *stack;  // 存放线程栈的空间
    char *stackTop;
 
    // 为线程分配栈
    stack = malloc(STACK_SIZE);
    if (stack == NULL) {
        perror("malloc");
        exit(1);
    }
    stackTop = stack + STACK_SIZE;  // 设置栈顶
 
    // 使用 clone 创建新线程
    int pid = clone(thread_func, stackTop, SIGCHLD, NULL);  // 子进程退出时会发出 SIGCHLD 信号
    if (pid == -1) {
        perror("clone");
        exit(1);
    }
 
    // 等待线程结束
    printf("Waiting for the thread to finish...\n");
    waitpid(pid, NULL, 0);
 
    free(stack);  // 释放栈空间
    return 0;
}

传进去第一个参数是子线程函数于是乎嘎嘎嘎hook 并且打印结果发现全是libc.so 这是咋回事呢看来还得好好学习于是乎我拿了一份libc.so ida打开它看pthread_create 如何去调用clone函数创建线程的

// Hook clone 系统调用
Interceptor.attach(Module.findExportByName(null, 'clone'), {
    onEnter: function (args) {
        // 获取线程函数的地址（即第一个参数）
        var thread_func = args[0];
 
        // 打印线程函数地址
        console.log('Thread function address: ' + thread_func);
 
        // 获取线程函数所在模块（.so 文件）
        var module = Process.findModuleByAddress(thread_func);
        if (module) {
            console.log('Thread function is located in module: ' + module.name);
        } else {
            console.log('Thread function is not in a loaded module or location could not be determined.');
        }
    },
    onLeave: function (retval) {
        // 可以在这里修改 clone 的返回值（如需要）
    }
});
 
输出
Thread function address: 0x749b4140dc
Thread function is located in module: libc.so
Thread function address: 0x749b4140dc
Thread function is located in module: libc.so
Thread function address: 0x749b4140dc
Thread function is located in module: libc.so

在上诉 clone hook处我打印了下堆栈看下哪里调用了代码和hook 结果如下

Interceptor.attach(Module.findExportByName(null, 'clone'), {
    onEnter: function (args) {
        // 获取线程函数地址
        var thread_func = args[0];
 
        // 尝试获取线程函数所在模块
        var module = Process.findModuleByAddress(thread_func);
        if (module) {
            console.log('Thread function is located in module: ' + module.name);
        } else {
 
        }
 
        // 打印调用栈
        console.log('Backtrace:');
        console.log(Thread.backtrace(this.context, Backtracer.ACCURATE)
            .map(DebugSymbol.fromAddress).join('\n'));
    },
    onLeave: function (retval) {
        // 返回值处理（如果需要）
    }
});
 
结果
Thread function is located in module: libc.so
Backtrace:
0x749b413e40 libc.so!pthread_create+0x27c

然后 IDA跳转到pthread_create+0x27c 此处调用了函数E6850 于是进去瞧一瞧发现是DCQ数据

继续使用frida hook 读取下结果是clone 也就说这里调用了clone函数

Interceptor.attach(Module.findExportByName(null, 'clone'), {
    onEnter: function (args) {
        // 获取线程函数地址
        var thread_func = args[0];
 
 
 
        // 尝试获取线程函数所在模块
        var module = Process.findModuleByAddress(thread_func);
        if (module) {
            console.log('Thread function is located in module: ' + module.name);
            const address = module.base.add(0xF06E8);
            const value = Memory.readU64(address);
            const symbol = DebugSymbol.fromAddress(ptr(value));
            console.log("name",symbol.name)
 
        } else {
 
        }
 
        // 打印调用栈
 
    },
    onLeave: function (retval) {
        // 返回值处理（如果需要）
    }
});
 
结果 clone

观察 pthread_create 函数的传参走向也就是 a3

此处的 E6850是clone 而通过 pthread_create 函数创建线程传递的线程函数就是 v50 而clone函数的第四个参数 v27 + 96 是所需要的线程函数这样就可以去试试写一下hook clone代码了

var clone = Module.findExportByName('libc.so', 'clone');
Interceptor.attach(clone, {
    onEnter: function(args) {
        // args[3] 子线程的栈地址。如果这个值为 0，可能意味着没有指定栈地址
        if(args[3] != 0){
            var addr = args[3].add(96).readPointer()
            var so_name = Process.findModuleByAddress(addr).name;
            var so_base = Module.getBaseAddress(so_name);
            var offset = (addr - so_base);
            console.log("===============>", so_name, addr,offset, offset.toString(16));
        }
    },
    onLeave: function(retval) {
 
    }
});

然后运行后发现非常阔以打印出来了我们所需要的参数非常nice

最后我们去给他nop掉即可

function hook_dlopen(so_name) {
    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), {
        onEnter: function (args) {
            var pathptr = args[0];
            if (pathptr !== undefined && pathptr != null) {
                var path = ptr(pathptr).readCString();
                // console.log(path)
                if (path.indexOf(so_name) !== -1) {
                    this.match = true
                }
            }
        },
        onLeave: function (retval) {
            if (this.match) {
                console.log(so_name, "加载成功");
                var base = Module.findBaseAddress("libDexHelper.so")
                patch_func_nop(base.add(322008));
                patch_func_nop(base.add(308756));
 
            }
        }
    });
}
function patch_func_nop(addr) {
    Memory.patchCode(addr, 8, function (code) {
        code.writeByteArray([0xE0, 0x03, 0x00, 0xAA]);
        code.writeByteArray([0xC0, 0x03, 0x5F, 0xD6]);
        console.log("patch code at " + addr)
    });
}
hook_dlopen("libDexHelper.so")

最后看结果

[注意]看雪招聘，专注安全领域的专业人才平台！

#工具脚本

收藏・43

免费・9

支持

赞赏记录

参与人

雪币

留言

时间

zxqi

期待更多优质内容的分享，论坛有你更精彩！

2天前

akuza

你的帖子非常有用，感谢分享！

2025-4-16 16:36

mb_nwjlihsi

非常支持你的观点！

2025-3-23 20:38

eeeeelukou

感谢你分享这么好的资源！

2025-3-14 01:08

逆天而行

谢谢你的细致分析，受益匪浅！

2025-3-12 11:51

ovo_帮我不c

谢谢你的细致分析，受益匪浅！

2025-3-10 11:37

sinker_

感谢你的贡献，论坛因你而更加精彩！

2025-3-10 09:24

lanoche

这个讨论对我很有帮助，谢谢！

2025-3-10 08:38

ngiokweng

感谢你的积极参与，期待更多精彩内容！

2025-3-9 20:59

最新回复 (13)
mb_cfjwplfo 雪币： 27 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 12 粉丝 2 关注私信	mb_cfjwplfo 2 楼大佬可以加个好友吗 2025-3-9 22:41 0
zx_968369 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	zx_968369 3 楼思路可以好像不是通用不同的邦邦检测也不一样 2025-3-10 08:52 0
onwyc123 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	onwyc123 4 楼大佬,我的IDA反编译为何 clone函数看不到参数呢? 2025-3-10 14:59 0
Bileton 雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 1 粉丝 4 关注私信	Bileton 5 楼 onwyc123 大佬,我的IDA反编译为何 clone函数看不到参数呢? 双击进去clone函数里，按F5刷新下，再退出来，然后再F5刷新下，就可以看到了 2025-3-10 15:29 0
黑屏雪币： 4327 活跃值： (4154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 2 关注私信	黑屏 6 楼得到上述错误改怎么解决 2025-3-10 16:21 0
D-t 雪币： 5019 活跃值： (4701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 21 关注私信	D-t 7 楼黑屏得到上述错误改怎么解决中邮？ 2025-3-10 19:46 0
limign 雪币： 24 活跃值： (568) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	limign 8 楼学到了 2025-3-10 22:29 0
黑屏雪币： 4327 活跃值： (4154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 2 关注私信	黑屏 9 楼 D-t 中邮？嗯能否搞一下 2025-3-11 10:25 0
onwyc123 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	onwyc123 10 楼有用,谢谢! 2025-3-11 16:13 0
woainihehe 雪币： 157 活跃值： (2211) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 10 关注私信	woainihehe 11 楼黑屏嗯能否搞一下有纯算,要吗? 2025-3-12 11:17 0
tensile 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	tensile 12 楼要 2025-3-14 09:49 0
WMBa0 雪币： 1507 活跃值： (2408) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 88 粉丝 25 关注私信	WMBa0 13 楼 good 的思路 2025-3-15 23:23 0
霸王茶几雪币： 425 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 14 关注私信	霸王茶几 14 楼和之前nop pthread_create里的线程函数地址的思路本质是不是一样？感觉没啥区别呢 2025-3-17 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nianchu

发帖

回帖

RANK

关注

私信

某企业壳frida检测绕过尝试

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
mb_cfjwplfo 雪币： 27 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 12 粉丝 2 关注私信	mb_cfjwplfo 2 楼大佬可以加个好友吗 2025-3-9 22:41 0
zx_968369 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	zx_968369 3 楼思路可以好像不是通用不同的邦邦检测也不一样 2025-3-10 08:52 0
onwyc123 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	onwyc123 4 楼大佬,我的IDA反编译为何 clone函数看不到参数呢? 2025-3-10 14:59 0
Bileton 雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 1 粉丝 4 关注私信	Bileton 5 楼 onwyc123 大佬,我的IDA反编译为何 clone函数看不到参数呢? 双击进去clone函数里，按F5刷新下，再退出来，然后再F5刷新下，就可以看到了 2025-3-10 15:29 0
黑屏雪币： 4327 活跃值： (4154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 2 关注私信	黑屏 6 楼得到上述错误改怎么解决 2025-3-10 16:21 0
D-t 雪币： 5019 活跃值： (4701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 21 关注私信	D-t 7 楼黑屏得到上述错误改怎么解决中邮？ 2025-3-10 19:46 0
limign 雪币： 24 活跃值： (568) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	limign 8 楼学到了 2025-3-10 22:29 0
黑屏雪币： 4327 活跃值： (4154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 2 关注私信	黑屏 9 楼 D-t 中邮？嗯能否搞一下 2025-3-11 10:25 0
onwyc123 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	onwyc123 10 楼有用,谢谢! 2025-3-11 16:13 0
woainihehe 雪币： 157 活跃值： (2211) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 10 关注私信	woainihehe 11 楼黑屏嗯能否搞一下有纯算,要吗? 2025-3-12 11:17 0
tensile 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	tensile 12 楼要 2025-3-14 09:49 0
WMBa0 雪币： 1507 活跃值： (2408) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 88 粉丝 25 关注私信	WMBa0 13 楼 good 的思路 2025-3-15 23:23 0
霸王茶几雪币： 425 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 14 关注私信	霸王茶几 14 楼和之前nop pthread_create里的线程函数地址的思路本质是不是一样？感觉没啥区别呢 2025-3-17 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享]某邦企业壳frida检测绕过

某企业壳frida检测绕过尝试

尝试hook pthread_create 定位线程 通过杀线程方法干掉他

账号登录 验证码登录

尝试hook pthread_create 定位线程通过杀线程方法干掉他

账号登录

验证码登录