[分享]某企业壳frida检测绕过（二）

发表于: 2025-3-11 15:41 9863

[分享]某企业壳frida检测绕过（二）

nianchu

2025-3-11 15:41

9863

某企业壳frida检测绕过（二）

看到有人在绕过检测时出现了问题，于是乎我跑过去看了一下受害者是 x邮x投同样的厂商加固

下载了一份APP 然后首先跑了一下clone 脚本报错信息如下

var clone = Module.findExportByName('libc.so', 'clone');
Interceptor.attach(clone, {
    onEnter: function(args) {
        if(args[3] != 0){
            var addr = args[3].add(96).readPointer()
            var so_name = Process.findModuleByAddress(addr).name;
            var so_base = Module.getBaseAddress(so_name);
            var offset = (addr - so_base);
            console.log("===============>", so_name, addr,offset, offset.toString(16));
        }
    },
    onLeave: function(retval) {
 
    }
});

于是乎准备再拿一份libc来瞧瞧发现原来是32位哦豁那这就可能是问题所在呢昨天的受害者是64的老办法拿到libc 瞧一瞧 pthread_create 如何调用clone函数创建线程

至此发现实现与 64位不一样于是改改代码也就能over了

var clone = Module.findExportByName('libc.so', 'clone');
Interceptor.attach(clone, {
    onEnter: function(args) {
        // args[3] 子线程的栈地址。如果这个值为 0，可能意味着没有指定栈地址
        if(args[3] != 0){
            var addr = args[3].add(48).readPointer()
            var so_name = Process.findModuleByAddress(addr).name;
            var so_base = Module.getBaseAddress(so_name);
            var offset = (addr - so_base);
            console.log("===============>", so_name, addr,offset, offset.toString(16));
        }
    },
    onLeave: function(retval) {
 
    }
});

阔以看见成功的打印出来了线程信息剩下的就是干掉它

最后看结果

[内核课程]《Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。

#其他

收藏・34

免费・9

打赏

最新回复 (17)
逆向小玖雪币： 178 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	逆向小玖 2 楼试试hook函数看看闪退不 2025-3-11 15:47 0
nianchu 雪币： 1154 活跃值： (1426) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 8 粉丝 60 关注私信	nianchu 3 楼正常锕 2025-3-11 15:58 0
cpannn 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	cpannn 4 楼也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， 2025-3-11 20:39 0
nianchu 雪币： 1154 活跃值： (1426) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 8 粉丝 60 关注私信	nianchu 5 楼 cpannn 也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， libmsaoaidsec 论坛不全是文章不随便弄吗 2025-3-11 21:14 0
woainihehe 雪币： 157 活跃值： (2646) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 10 关注私信	woainihehe 6 楼出 qi5uxeel 纯算... 2025-3-12 11:14 0
against 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	against 7 楼大佬nb，学到了 2025-3-13 21:57 0
太岁又沐风雪币： 60 活跃值： (1585) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 50 关注私信	太岁又沐风 8 楼这个思路估计大部分检测都能过，libmsaoaidsec也可以用 2025-3-14 10:28 0
nianchu 雪币： 1154 活跃值： (1426) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 8 粉丝 60 关注私信	nianchu 9 楼太岁又沐风这个思路估计大部分检测都能过，libmsaoaidsec也可以用岁哥哥 2025-3-14 13:39 0
mb_cfjwplfo 雪币： 311 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 75 粉丝 8 关注私信	mb_cfjwplfo 10 楼大佬出一期爱加密的吧 2025-3-16 10:58 0
黑屏雪币： 5309 活跃值： (5554) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 132 粉丝 2 关注私信	黑屏 11 楼为什么我nop完 app卡死了白屏了 2025-3-20 11:22 0
calleng 雪币： 45 活跃值： (3901) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 146 粉丝 75 关注私信	calleng 12 楼 25年1月份的时候，菜鸡同志的我，卡得哭???? 2025-3-24 00:14 0
null0bj 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 14 粉丝 7 关注私信	null0bj 13 楼这种思路对子线程检测有效，但是对于主线程检测就没办法了 2025-3-28 14:08 0
玺子雪币： 868 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	玺子 14 楼 woainihehe 出 qi5uxeel 纯算...[em_014] 什么价格 2025-4-14 11:45 0
r8e8cd8 雪币： 270 活跃值： (481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 31 关注私信	r8e8cd8 15 楼有说法 2025-5-11 14:46 0
mb_jwvcvtfi 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jwvcvtfi 16 楼大佬看看菠萝包轻小说，也是该加固。 2025-5-14 10:08 0
清味瞳雪币： 241 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	清味瞳 17 楼 32位架构的怎么修补啊，我一直报错 2025-7-4 16:53 0
git_86741axiliya2568 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	git_86741axiliya2568 18 楼 66666666 2026-3-2 22:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nianchu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
逆向小玖雪币： 178 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	逆向小玖 2 楼试试hook函数看看闪退不 2025-3-11 15:47 0
nianchu 雪币： 1154 活跃值： (1426) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 8 粉丝 60 关注私信	nianchu 3 楼正常锕 2025-3-11 15:58 0
cpannn 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	cpannn 4 楼也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， 2025-3-11 20:39 0
nianchu 雪币： 1154 活跃值： (1426) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 8 粉丝 60 关注私信	nianchu 5 楼 cpannn 也是这个加固企业版，麦当劳除了dexhelper 还有 libmsaoaidsec,不会弄了， libmsaoaidsec 论坛不全是文章不随便弄吗 2025-3-11 21:14 0
woainihehe 雪币： 157 活跃值： (2646) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 10 关注私信	woainihehe 6 楼出 qi5uxeel 纯算... 2025-3-12 11:14 0
against 雪币： 21 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	against 7 楼大佬nb，学到了 2025-3-13 21:57 0
太岁又沐风雪币： 60 活跃值： (1585) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 12 粉丝 50 关注私信	太岁又沐风 8 楼这个思路估计大部分检测都能过，libmsaoaidsec也可以用 2025-3-14 10:28 0
nianchu 雪币： 1154 活跃值： (1426) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 8 粉丝 60 关注私信	nianchu 9 楼太岁又沐风这个思路估计大部分检测都能过，libmsaoaidsec也可以用岁哥哥 2025-3-14 13:39 0
mb_cfjwplfo 雪币： 311 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 75 粉丝 8 关注私信	mb_cfjwplfo 10 楼大佬出一期爱加密的吧 2025-3-16 10:58 0
黑屏雪币： 5309 活跃值： (5554) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 132 粉丝 2 关注私信	黑屏 11 楼为什么我nop完 app卡死了白屏了 2025-3-20 11:22 0
calleng 雪币： 45 活跃值： (3901) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 146 粉丝 75 关注私信	calleng 12 楼 25年1月份的时候，菜鸡同志的我，卡得哭???? 2025-3-24 00:14 0
null0bj 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 14 粉丝 7 关注私信	null0bj 13 楼这种思路对子线程检测有效，但是对于主线程检测就没办法了 2025-3-28 14:08 0
玺子雪币： 868 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	玺子 14 楼 woainihehe 出 qi5uxeel 纯算...[em_014] 什么价格 2025-4-14 11:45 0
r8e8cd8 雪币： 270 活跃值： (481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 31 关注私信	r8e8cd8 15 楼有说法 2025-5-11 14:46 0
mb_jwvcvtfi 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jwvcvtfi 16 楼大佬看看菠萝包轻小说，也是该加固。 2025-5-14 10:08 0
清味瞳雪币： 241 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	清味瞳 17 楼 32位架构的怎么修补啊，我一直报错 2025-7-4 16:53 0
git_86741axiliya2568 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	git_86741axiliya2568 18 楼 66666666 2026-3-2 22:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复