[分享]某企业壳frida检测绕过（二）

发表于: 2025-3-11 15:41 8302

[分享]某企业壳frida检测绕过（二）

nianchu

2025-3-11 15:41

8302

某企业壳frida检测绕过（二）

看到有人在绕过检测时出现了问题，于是乎我跑过去看了一下受害者是 x邮x投同样的厂商加固

下载了一份APP 然后首先跑了一下clone 脚本报错信息如下

var clone = Module.findExportByName('libc.so', 'clone');
Interceptor.attach(clone, {
    onEnter: function(args) {
        if(args[3] != 0){
            var addr = args[3].add(96).readPointer()
            var so_name = Process.findModuleByAddress(addr).name;
            var so_base = Module.getBaseAddress(so_name);
            var offset = (addr - so_base);
            console.log("===============>", so_name, addr,offset, offset.toString(16));
        }
    },
    onLeave: function(retval) {
 
    }
});

于是乎准备再拿一份libc来瞧瞧发现原来是32位哦豁那这就可能是问题所在呢昨天的受害者是64的老办法拿到libc 瞧一瞧 pthread_create 如何调用clone函数创建线程

至此发现实现与 64位不一样于是改改代码也就能over了

var clone = Module.findExportByName('libc.so', 'clone');
Interceptor.attach(clone, {
    onEnter: function(args) {
        // args[3] 子线程的栈地址。如果这个值为 0，可能意味着没有指定栈地址
        if(args[3] != 0){
            var addr = args[3].add(48).readPointer()
            var so_name = Process.findModuleByAddress(addr).name;
            var so_base = Module.getBaseAddress(so_name);
            var offset = (addr - so_base);
            console.log("===============>", so_name, addr,offset, offset.toString(16));
        }
    },
    onLeave: function(retval) {
 
    }
});

阔以看见成功的打印出来了线程信息剩下的就是干掉它

最后看结果

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

#其他

收藏・34

免费・9

支持

最新回复 (16)
逆向小玖雪币： 180 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	逆向小玖 2 楼试试hook函数看看闪退不 2025-3-11 15:47 0
nianchu 雪币： 766 活跃值： (676) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 7 粉丝 54 关注私信	nianchu 3 楼正常锕 2025-3-11 15:58 0
cpannn 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	cpannn 4 楼也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， 2025-3-11 20:39 0
nianchu 雪币： 766 活跃值： (676) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 7 粉丝 54 关注私信	nianchu 5 楼 cpannn 也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， libmsaoaidsec 论坛不全是文章不随便弄吗 2025-3-11 21:14 0
woainihehe 雪币： 157 活跃值： (2531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 10 关注私信	woainihehe 6 楼出 qi5uxeel 纯算... 2025-3-12 11:14 0
against 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	against 7 楼大佬nb，学到了 2025-3-13 21:57 0
太岁又沐风雪币： 239 活跃值： (1016) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 11 粉丝 30 关注私信	太岁又沐风 8 楼这个思路估计大部分检测都能过，libmsaoaidsec也可以用 2025-3-14 10:28 0
nianchu 雪币： 766 活跃值： (676) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 7 粉丝 54 关注私信	nianchu 9 楼太岁又沐风这个思路估计大部分检测都能过，libmsaoaidsec也可以用岁哥哥 2025-3-14 13:39 0
mb_cfjwplfo 雪币： 156 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 57 粉丝 5 关注私信	mb_cfjwplfo 10 楼大佬出一期爱加密的吧 2025-3-16 10:58 0
黑屏雪币： 4978 活跃值： (5039) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 101 粉丝 2 关注私信	黑屏 11 楼为什么我nop完 app卡死了白屏了 2025-3-20 11:22 0
calleng 雪币： 45 活跃值： (3876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 146 粉丝 71 关注私信	calleng 12 楼 25年1月份的时候，菜鸡同志的我，卡得哭???? 2025-3-24 00:14 0
null0bj 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 14 粉丝 6 关注私信	null0bj 13 楼这种思路对子线程检测有效，但是对于主线程检测就没办法了 2025-3-28 14:08 0
玺子雪币： 1248 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	玺子 14 楼 woainihehe 出 qi5uxeel 纯算...[em_014] 什么价格 2025-4-14 11:45 0
r8e8cd8 雪币： 263 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 23 关注私信	r8e8cd8 15 楼有说法 2025-5-11 14:46 0
mb_jwvcvtfi 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jwvcvtfi 16 楼大佬看看菠萝包轻小说，也是该加固。 2025-5-14 10:08 0
清味瞳雪币： 241 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	清味瞳 17 楼 32位架构的怎么修补啊，我一直报错 2025-7-4 16:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nianchu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
逆向小玖雪币： 180 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	逆向小玖 2 楼试试hook函数看看闪退不 2025-3-11 15:47 0
nianchu 雪币： 766 活跃值： (676) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 7 粉丝 54 关注私信	nianchu 3 楼正常锕 2025-3-11 15:58 0
cpannn 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	cpannn 4 楼也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， 2025-3-11 20:39 0
nianchu 雪币： 766 活跃值： (676) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 7 粉丝 54 关注私信	nianchu 5 楼 cpannn 也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， libmsaoaidsec 论坛不全是文章不随便弄吗 2025-3-11 21:14 0
woainihehe 雪币： 157 活跃值： (2531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 10 关注私信	woainihehe 6 楼出 qi5uxeel 纯算... 2025-3-12 11:14 0
against 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	against 7 楼大佬nb，学到了 2025-3-13 21:57 0
太岁又沐风雪币： 239 活跃值： (1016) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 11 粉丝 30 关注私信	太岁又沐风 8 楼这个思路估计大部分检测都能过，libmsaoaidsec也可以用 2025-3-14 10:28 0
nianchu 雪币： 766 活跃值： (676) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 7 粉丝 54 关注私信	nianchu 9 楼太岁又沐风这个思路估计大部分检测都能过，libmsaoaidsec也可以用岁哥哥 2025-3-14 13:39 0
mb_cfjwplfo 雪币： 156 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 57 粉丝 5 关注私信	mb_cfjwplfo 10 楼大佬出一期爱加密的吧 2025-3-16 10:58 0
黑屏雪币： 4978 活跃值： (5039) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 101 粉丝 2 关注私信	黑屏 11 楼为什么我nop完 app卡死了白屏了 2025-3-20 11:22 0
calleng 雪币： 45 活跃值： (3876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 146 粉丝 71 关注私信	calleng 12 楼 25年1月份的时候，菜鸡同志的我，卡得哭???? 2025-3-24 00:14 0
null0bj 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 14 粉丝 6 关注私信	null0bj 13 楼这种思路对子线程检测有效，但是对于主线程检测就没办法了 2025-3-28 14:08 0
玺子雪币： 1248 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	玺子 14 楼 woainihehe 出 qi5uxeel 纯算...[em_014] 什么价格 2025-4-14 11:45 0
r8e8cd8 雪币： 263 活跃值： (331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 23 关注私信	r8e8cd8 15 楼有说法 2025-5-11 14:46 0
mb_jwvcvtfi 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jwvcvtfi 16 楼大佬看看菠萝包轻小说，也是该加固。 2025-5-14 10:08 0
清味瞳雪币： 241 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	清味瞳 17 楼 32位架构的怎么修补啊，我一直报错 2025-7-4 16:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复