[分享]某企业壳frida检测绕过（二）

发表于: 2025-3-11 15:41 4969

[分享]某企业壳frida检测绕过（二）

nianchu

2025-3-11 15:41

4969

某企业壳frida检测绕过（二）

看到有人在绕过检测时出现了问题，于是乎我跑过去看了一下受害者是 x邮x投同样的厂商加固

下载了一份APP 然后首先跑了一下clone 脚本报错信息如下

var clone = Module.findExportByName('libc.so', 'clone');
Interceptor.attach(clone, {
    onEnter: function(args) {
        if(args[3] != 0){
            var addr = args[3].add(96).readPointer()
            var so_name = Process.findModuleByAddress(addr).name;
            var so_base = Module.getBaseAddress(so_name);
            var offset = (addr - so_base);
            console.log("===============>", so_name, addr,offset, offset.toString(16));
        }
    },
    onLeave: function(retval) {
 
    }
});

于是乎准备再拿一份libc来瞧瞧发现原来是32位哦豁那这就可能是问题所在呢昨天的受害者是64的老办法拿到libc 瞧一瞧 pthread_create 如何调用clone函数创建线程

至此发现实现与 64位不一样于是改改代码也就能over了

var clone = Module.findExportByName('libc.so', 'clone');
Interceptor.attach(clone, {
    onEnter: function(args) {
        // args[3] 子线程的栈地址。如果这个值为 0，可能意味着没有指定栈地址
        if(args[3] != 0){
            var addr = args[3].add(48).readPointer()
            var so_name = Process.findModuleByAddress(addr).name;
            var so_base = Module.getBaseAddress(so_name);
            var offset = (addr - so_base);
            console.log("===============>", so_name, addr,offset, offset.toString(16));
        }
    },
    onLeave: function(retval) {
 
    }
});

阔以看见成功的打印出来了线程信息剩下的就是干掉它

最后看结果

[注意]看雪招聘，专注安全领域的专业人才平台！

#其他

收藏・18

免费・3

支持

赞赏记录

参与人

雪币

留言

时间

mb_nwjlihsi

期待更多优质内容的分享，论坛有你更精彩！

2025-3-24 10:54

against

你的分享对大家帮助很大，非常感谢！

2025-3-13 21:59

老小白

感谢你分享这么好的资源！

2025-3-13 09:05

最新回复 (13)
逆向小玖雪币： 204 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	逆向小玖 2 楼试试hook函数看看闪退不 2025-3-11 15:47 0
nianchu 雪币： 343 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 17 关注私信	nianchu 3 楼正常锕 2025-3-11 15:58 0
cpannn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	cpannn 4 楼也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， 2025-3-11 20:39 0
nianchu 雪币： 343 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 17 关注私信	nianchu 5 楼 cpannn 也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， libmsaoaidsec 论坛不全是文章不随便弄吗 2025-3-11 21:14 0
woainihehe 雪币： 157 活跃值： (2181) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 10 关注私信	woainihehe 6 楼出 qi5uxeel 纯算... 2025-3-12 11:14 0
against 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	against 7 楼大佬nb，学到了 2025-3-13 21:57 0
太岁又沐风雪币： 272 活跃值： (754) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 6 粉丝 21 关注私信	太岁又沐风 8 楼这个思路估计大部分检测都能过，libmsaoaidsec也可以用 2025-3-14 10:28 0
nianchu 雪币： 343 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 17 关注私信	nianchu 9 楼太岁又沐风这个思路估计大部分检测都能过，libmsaoaidsec也可以用岁哥哥 2025-3-14 13:39 0
mb_cfjwplfo 雪币： 27 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 11 粉丝 1 关注私信	mb_cfjwplfo 10 楼大佬出一期爱加密的吧 2025-3-16 10:58 0
黑屏雪币： 4276 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 2 关注私信	黑屏 11 楼为什么我nop完 app卡死了白屏了 2025-3-20 11:22 0
calleng 雪币： 31 活跃值： (3480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 133 粉丝 64 关注私信	calleng 12 楼 25年1月份的时候，菜鸡同志的我，卡得哭???? 2025-3-24 00:14 0
null0bj 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 3 关注私信	null0bj 13 楼这种思路对子线程检测有效，但是对于主线程检测就没办法了 2025-3-28 14:08 0
mb_inwtnmar 雪币： 30 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_inwtnmar 14 楼 woainihehe 出 qi5uxeel 纯算...[em_014] 什么价格 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nianchu

发帖

回帖

RANK

关注

私信

某企业壳frida检测绕过（二）

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
逆向小玖雪币： 204 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	逆向小玖 2 楼试试hook函数看看闪退不 2025-3-11 15:47 0
nianchu 雪币： 343 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 17 关注私信	nianchu 3 楼正常锕 2025-3-11 15:58 0
cpannn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	cpannn 4 楼也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， 2025-3-11 20:39 0
nianchu 雪币： 343 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 17 关注私信	nianchu 5 楼 cpannn 也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， libmsaoaidsec 论坛不全是文章不随便弄吗 2025-3-11 21:14 0
woainihehe 雪币： 157 活跃值： (2181) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 10 关注私信	woainihehe 6 楼出 qi5uxeel 纯算... 2025-3-12 11:14 0
against 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	against 7 楼大佬nb，学到了 2025-3-13 21:57 0
太岁又沐风雪币： 272 活跃值： (754) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 6 粉丝 21 关注私信	太岁又沐风 8 楼这个思路估计大部分检测都能过，libmsaoaidsec也可以用 2025-3-14 10:28 0
nianchu 雪币： 343 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 17 关注私信	nianchu 9 楼太岁又沐风这个思路估计大部分检测都能过，libmsaoaidsec也可以用岁哥哥 2025-3-14 13:39 0
mb_cfjwplfo 雪币： 27 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 11 粉丝 1 关注私信	mb_cfjwplfo 10 楼大佬出一期爱加密的吧 2025-3-16 10:58 0
黑屏雪币： 4276 活跃值： (4114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 2 关注私信	黑屏 11 楼为什么我nop完 app卡死了白屏了 2025-3-20 11:22 0
calleng 雪币： 31 活跃值： (3480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 133 粉丝 64 关注私信	calleng 12 楼 25年1月份的时候，菜鸡同志的我，卡得哭???? 2025-3-24 00:14 0
null0bj 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 3 关注私信	null0bj 13 楼这种思路对子线程检测有效，但是对于主线程检测就没办法了 2025-3-28 14:08 0
mb_inwtnmar 雪币： 30 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_inwtnmar 14 楼 woainihehe 出 qi5uxeel 纯算...[em_014] 什么价格 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享]某企业壳frida检测绕过（二）

某企业壳frida检测绕过（二）

账号登录 验证码登录

账号登录

验证码登录