frida基于bug的Stalker跟踪检测和修复

发表于: 2025-4-2 17:50 3794

frida基于bug的Stalker跟踪检测和修复

zsa233

2025-4-2 17:50

3794

frida基于bug的Stalker跟踪检测和修复

前言

Stalker 是 Frida 内部的一个模块用于动态追踪目标程序的执行流程，也就是当我们需要知道：

函数是怎么调用的？

指令是怎么一步步执行的？

分支是怎么跳转的？

有哪些函数是频繁被调用的？

的时候，会用到Stalker.follow跟踪线程将要执行的指令，可以对指令动态插桩修改。对莫名其妙的反调试行为来说，是一个通用的兜底窥探方案。

stalker跟踪检测

关于stalker参考官方文档： af4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3M7X3W2V1j5g2)9J5k6i4u0W2i4K6u0r3k6r3!0U0M7#2)9J5c8Y4y4@1j5h3I4C8k6i4u0Q4x3V1j5`.

注：这个检测手段仅对于在开启Stalker.follow跟踪的线程生效

原理：stalker会对执行过的内存地址(block->real_start)存储的指令会进行缓存，当再次进入要执行同一个地址的指令的时候，通过比对内存和缓存中的指令来确定是否需要重编译block来确保执行到正确的原指令 - 本应该是如此，但是正如标题所说，这个检测依赖当前frida-gum项目的stalker的重编译bug，而这个bug就出现在比对和重编译上，导致了当执行同一个内存地址的block时候，实际指令都是在跟第一次编译后的缓存block的原指令快照进行比对。所以这样的后果就是显而易见的，初次执行该内存地址的指令会一直存在于stalker的"阴影中"，下面我会用一个测试例子来说明这个现象。

以上的场景说明存在简化，实际的问题路径在下面对应的代码:

通过下面一个例子来验证这个问题

为了利用上面这个bug，我们可以简单的实现两个函数，一个函数(add_99_func)是对传递的第一个参数+99，另一个函数(empty_func)是不做任何操作直接返回原参数。

uint64_t add_99_func(uint64_t count) {
    return count + 99;
}
 
// 对应的汇编可以是:
// add x0, x0, #99
// ret

uint64 empty_func(uint64_t count){
    return count;
}
 
// 对应的汇编可以是:
// ret

使用mmap来创建指定内存块用于复写和执行指令

static void *exec_addr = nullptr;
 
// insnBytes: 要写入的指令字节数组
// num: 调用func传递的count值
jstring mmap_exec(JNIEnv *env, jobject thiz, jbyteArray insnBytes, jint num) {
    size_t page_size = sysconf(_SC_PAGE_SIZE);
    if (page_size == -1) {
        std::cerr << "Failed to get page size!" << std::endl;
        return nullptr;
    }
 
    void *start_addr = exec_addr;
    int flags = MAP_ANON | MAP_PRIVATE;
    if (start_addr != nullptr) {
        flags |= MAP_FIXED;
    }
    void *mem = mmap(
            start_addr, page_size, PROT_READ | PROT_WRITE | PROT_EXEC,
             flags, -1, 0); 
    if (mem == MAP_FAILED) {
        std::cerr << "mmap failed!" << std::endl;
        exec_addr = nullptr;
        return nullptr;
    }
    if (exec_addr == nullptr) {
        exec_addr = mem; // 下次也使用同一内存地址来写入指令
    }
    jsize length = env->GetArrayLength((insnBytes));
 
    jbyte *code = env->GetByteArrayElements(insnBytes, nullptr);
    std::memcpy(mem, code, length);
 
    aarch64_sync_cache_range(mem, page_size); // 刷新cpu指令和内存数据缓存
 
    func_t func = reinterpret_cast<func_t>(mem);
     
    uint64_t sum = func(num); // 调用函数
 
    munmap(mem, page_size);
 
    env->ReleaseByteArrayElements(insnBytes, code, 0);
 
    char buff[128];
    std::sprintf(buff, "[%p] sum[%lu]", mem, sum);
 
    return env->NewStringUTF(buff);
}
 
 
// jni native
__attribute__((visibility("default")))
JNIEXPORT jobjectArray JNICALL
Java_com_example_frida_1stalker_1recompile_1fix_MainActivity_mmapExec(
        JNIEnv *env, jobject thiz, jbyteArray inst1, jbyteArray inst2, jint base_num) {
    jclass stringCls = env->FindClass("java/lang/String");
    const jsize test_num = 20;
    jobjectArray resultArray = env->NewObjectArray(test_num, stringCls, nullptr);
    // 每点击一次按钮，遍历交替复写执行20次
    for(jsize i = 0; i < test_num; i++) {
        jbyteArray inst = i % 2 == 0 ? inst1 : inst2;
        jstring result1 = mmap_exec(env, thiz, inst, base_num);
        env->SetObjectArrayElement(resultArray, i, result1);
    }
    return resultArray;
}

frida测试脚本

setImmediate(() => {
    Interceptor.attach(
        Module.getExportByName('libdl.so', 'android_dlopen_ext'), {
            onEnter(args) {
                this.filename = args[0].readCString()
                console.error(`[android_dlopen_ext] ${this.filename}`)
            },
            onLeave(retval) {
                const filename: string = this.filename
                if(filename.includes('libtest_frida.so')) {
                    attachMmapExec(Process.findModuleByName(filename)!)
                }
            },
        }
    )

    function attachMmapExec(mod: Module) {
        console.error(`[attachMmapExec] ${JSON.stringify(mod)}`)
        const target = mod.getExportByName("Java_com_example_frida_1stalker_1recompile_1fix_MainActivity_mmapExec")
        Interceptor.attach(target, {
            onEnter(args) {
                console.log(`[mmap_exec] follow => tid[${Process.getCurrentThreadId()}]`)
                Stalker.follow(Process.getCurrentThreadId(), {
                    transform(iterator: StalkerArm64Iterator) {
                        let inst
                        while((inst = iterator.next()) !== null) {
                            // console.log(`[${Process.getCurrentThreadId()}] ${inst}`)
                            iterator.keep()
                        }
                    }
                })
            },
            onLeave(retval) {
                Stalker.unfollow()
                console.error(`[mmap_exec] unfollow => tid[${Process.getCurrentThreadId()}]`)
            },
        })
    }
})

通过对于同一个内存块进行来回按照empty_func，add_99_func的顺序来写入对应的的汇编来执行（假设传递的count=1）：

第一次执行empty_func(1)的时候返回值是1（首次编译，缓存根据empty_func生成的插桩指令）
通过比对指令，第二次进行了重编译，执行add_99_func(1)返回100 (第一次重编译，缓存根据add_99_func生成的插桩指令，但是指令快照却是empty_func)
第三次执行，预期是执行empty_func(1)返回1，但实际却因为快照是第一次编译的指令（empty_func），所以误认为指令没变动，所以执行了第一次重编译的插桩代码add_99_func，导致了此时会返回100。
第四次执行，预期是执行add_99_func(1)返回100，实际上也是执行了add_99_func(1)，但是错误的又重编译一次
...接下来的都会是执行add_99_func(1)的结果

以下展示了三种测试结果用于说明：

1. 正常无frida-stalker跟踪现象

2. 使用原版frida-stalker跟踪现象

3. 使用修复的frida-stalker后的跟踪现象

编译修复frida-server

拉取源项目和合并修改

# 从frida中递归子模块拉取主分支(修改基于16.5.9进行，所以我编译这个版本，其他版本如果没冲突可以试试)
git clone --branch 16.5.9 --single-branch --recurse-submodules https://github.com/frida/frida.git
 
# 进入子模块下的frida-gum
cd subprojects/frida-gum
 
# 添加修复的远程代码仓库地址
git remote add zsa233 https://github.com/zsa233/frida-gum.git
 
# 拉取zsa233仓库，并且将对应的修改分支合并到本地仓库
git fetch zsa233
git merge zsa233/fix/stalker-wrong-recompile
 
# 后面接着就是编译

编译

参考官方文档： 899K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3M7X3W2V1j5g2)9J5k6i4u0W2i4K6u0r3k6r3!0U0M7#2)9J5c8X3u0#2K9h3I4V1K9h3&6Y4i4K6u0r3i4K6t1K6j5%4u0G2M7%4x3`.

# 指定ANDROID_NDK_ROOT，我这里下载r25c版本（16.5.9要求
# wget 07bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8q4)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5c8X3q4F1k6s2u0G2K9h3c8Q4x3V1k6J5k6i4m8G2M7$3W2@1L8%4u0&6i4K6u0r3j5h3&6V1M7X3!0A6k6q4)9J5k6r3&6V1K9#2)9J5k6s2t1J5y4h3y4Q4x3X3c8D9K9h3&6#2P5q4)9J5k6i4A6A6M7l9`.`.
# 其中还需要node.js >= 18之类的编译依赖，根据错误提示解决即可，这里不再赘述
# 
export ANDROID_NDK_VERSION=r25c
# ！！！/mypath/改成自己的ndk路径
export ANDROID_NDK_ROOT=/mypath/android-ndk-$ANDROID_NDK_VERSION/
 
# 回到frida项目下，配置编译android-arm64平台
./configure --host=android-arm64
 
# 编译
make
 
# 将编译成功的frida-server上传
adb push build/subprojects/frida-core/server/frida-server /data/local/tmp/frida-server
# 加上x权限
adb shell chmod u+x /data/local/tmp/frida-server

测试

修复的测试结果如上图

资源链接

代码仓库

测试app代码

so库实现

frida注入脚本

编译的arm64测试apk

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

#基础理论 #逆向分析

收藏・19

免费・7

支持

最新回复 (6)
zhuzhu_biu 雪币： 2784 活跃值： (5880) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 76 关注私信	zhuzhu_biu 2 楼没太看明白你的commit, 根据我的对stalker源码的理解,把trust_threshold 加大,或者永远都重新编译不就能轻松解决问题嘛 2025-6-24 17:55 0
zsa233 雪币： 502 活跃值： (1150) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 8 粉丝 42 关注私信	zsa233 3 楼可能是对重编译的这个词表达的不太准确，重编译这个说法实际上跟trust_threshold的关系不是很大 1. trust_threshold这个值的作用是在未达到阈值之前，走block都会由stalker引擎来决定是否进行后补丁(backpatch)，其中的backpatch可以简单理解成将blockA的下一步直接连接到blockB，这样就不会有stalker引擎在这两个block中间介入上下文操作，而达到加快执行速度的目的（没有stalker的上下文介入就必然会导致stalker在这之间无法感知任何的变动）； 2. 然而重编译(recompile)这个说法更偏向于说的是让用户决定怎么去transform这个block（也就是js中所写的stalker.follow的transform方法实现）- 对应的调用是在gum_exec_ctx_compile_block方法中的ctx->transform_block_impl。而这篇文章所说的问题是，进入了stalker引擎后（也就是说这本来就是threshold在阈值之内的事情），在判断是否要进行重编译的这个判断逻辑上出现了一些问题 2025-6-25 13:09 0
zsa233 雪币： 502 活跃值： (1150) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 8 粉丝 42 关注私信	zsa233 4 楼 zhuzhu_biu 没太看明白你的commit, 根据我的对stalker源码的理解,把trust_threshold 加大,或者永远都重新编译不就能轻松解决问题嘛[em_049] 可能是对重编译的这个词表达的不太准确，重编译这个说法实际上跟trust_threshold的关系不是很大 1. trust_threshold这个值的作用是在未达到阈值之前，走block都会由stalker引擎来决定是否进行后补丁(backpatch)，其中的backpatch可以简单理解成将blockA的下一步直接连接到blockB，这样就不会有stalker引擎在这两个block中间介入上下文操作，而达到加快执行速度的目的（没有stalker的上下文介入就必然会导致stalker在这之间无法感知任何的变动）； 2. 然而重编译(recompile)这个说法更偏向于说的是让用户决定怎么去transform这个block（也就是js中所写的stalker.follow的transform方法实现）- 对应的调用是在gum_exec_ctx_compile_block方法中的ctx->transform_block_impl。而这篇文章所说的问题是，进入了stalker引擎后（也就是说这本来就是threshold在阈值之内的事情），在判断是否要进行重编译的这个判断逻辑上出现了一些问题 2025-6-25 13:10 0
zhuzhu_biu 雪币： 2784 活跃值： (5880) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 76 关注私信	zhuzhu_biu 5 楼 zsa233 可能是对重编译的这个词表达的不太准确，重编译这个说法实际上跟trust_threshold的关系不是很大 1. trust_threshold这个值的作用是在未达到阈值之前，走block都会由sta ... 好的，看来是我理解的浅显了，大佬看你提交代码改了挺多的；我很好奇，你是配置出了完整的代码跳转，提示那些吗（c/vala）,我目前的方法是直接把meson用 cmake重写了一遍， 2025-6-25 19:52 0
zsa233 雪币： 502 活跃值： (1150) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 8 粉丝 42 关注私信	zsa233 6 楼 zhuzhu_biu 好的，看来是我理解的浅显了，大佬看你提交代码改了挺多的；我很好奇，你是配置出了完整的代码跳转，提示那些吗（c/vala）,我目前的方法是直接把meson用 cmake重写了一遍，我是frida项目子模块迭代拉下来，只关注我要改的子模块（在了解了项目模块大概的前提下），比如frida-gum。vscode的打开这个模块，函数跳转的话通常能跳转就跳转，不能跳转就搜索关键词。调试验证就是用__android_log_print打日志来观察，编译还是按照官方的来。说实话项目内容太多了，改得越多越不好发现问题，如果觉得修改后手动编译替换的操作流程太长，我是建议写脚本来自动化这个编译上机流程。 2025-6-26 14:01 0
zhuzhu_biu 雪币： 2784 活跃值： (5880) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 76 关注私信	zhuzhu_biu 7 楼好吧,我以为终于遇到一个能搭建官方的开发环境的人了, 我直接全部meson移植cmake,目前用着很舒服,跳转,补全,编译,都没问题, 你也可以试试,我目前用起来是比较方便的, 换成cmake的难度也不大 2025-6-26 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zsa233

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
zhuzhu_biu 雪币： 2784 活跃值： (5880) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 76 关注私信	zhuzhu_biu 2 楼没太看明白你的commit, 根据我的对stalker源码的理解,把trust_threshold 加大,或者永远都重新编译不就能轻松解决问题嘛 2025-6-24 17:55 0
zsa233 雪币： 502 活跃值： (1150) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 8 粉丝 42 关注私信	zsa233 3 楼可能是对重编译的这个词表达的不太准确，重编译这个说法实际上跟trust_threshold的关系不是很大 1. trust_threshold这个值的作用是在未达到阈值之前，走block都会由stalker引擎来决定是否进行后补丁(backpatch)，其中的backpatch可以简单理解成将blockA的下一步直接连接到blockB，这样就不会有stalker引擎在这两个block中间介入上下文操作，而达到加快执行速度的目的（没有stalker的上下文介入就必然会导致stalker在这之间无法感知任何的变动）； 2. 然而重编译(recompile)这个说法更偏向于说的是让用户决定怎么去transform这个block（也就是js中所写的stalker.follow的transform方法实现）- 对应的调用是在gum_exec_ctx_compile_block方法中的ctx->transform_block_impl。而这篇文章所说的问题是，进入了stalker引擎后（也就是说这本来就是threshold在阈值之内的事情），在判断是否要进行重编译的这个判断逻辑上出现了一些问题 2025-6-25 13:09 0
zsa233 雪币： 502 活跃值： (1150) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 8 粉丝 42 关注私信	zsa233 4 楼 zhuzhu_biu 没太看明白你的commit, 根据我的对stalker源码的理解,把trust_threshold 加大,或者永远都重新编译不就能轻松解决问题嘛[em_049] 可能是对重编译的这个词表达的不太准确，重编译这个说法实际上跟trust_threshold的关系不是很大 1. trust_threshold这个值的作用是在未达到阈值之前，走block都会由stalker引擎来决定是否进行后补丁(backpatch)，其中的backpatch可以简单理解成将blockA的下一步直接连接到blockB，这样就不会有stalker引擎在这两个block中间介入上下文操作，而达到加快执行速度的目的（没有stalker的上下文介入就必然会导致stalker在这之间无法感知任何的变动）； 2. 然而重编译(recompile)这个说法更偏向于说的是让用户决定怎么去transform这个block（也就是js中所写的stalker.follow的transform方法实现）- 对应的调用是在gum_exec_ctx_compile_block方法中的ctx->transform_block_impl。而这篇文章所说的问题是，进入了stalker引擎后（也就是说这本来就是threshold在阈值之内的事情），在判断是否要进行重编译的这个判断逻辑上出现了一些问题 2025-6-25 13:10 0
zhuzhu_biu 雪币： 2784 活跃值： (5880) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 76 关注私信	zhuzhu_biu 5 楼 zsa233 可能是对重编译的这个词表达的不太准确，重编译这个说法实际上跟trust_threshold的关系不是很大 1. trust_threshold这个值的作用是在未达到阈值之前，走block都会由sta ... 好的，看来是我理解的浅显了，大佬看你提交代码改了挺多的；我很好奇，你是配置出了完整的代码跳转，提示那些吗（c/vala）,我目前的方法是直接把meson用 cmake重写了一遍， 2025-6-25 19:52 0
zsa233 雪币： 502 活跃值： (1150) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 8 粉丝 42 关注私信	zsa233 6 楼 zhuzhu_biu 好的，看来是我理解的浅显了，大佬看你提交代码改了挺多的；我很好奇，你是配置出了完整的代码跳转，提示那些吗（c/vala）,我目前的方法是直接把meson用 cmake重写了一遍，我是frida项目子模块迭代拉下来，只关注我要改的子模块（在了解了项目模块大概的前提下），比如frida-gum。vscode的打开这个模块，函数跳转的话通常能跳转就跳转，不能跳转就搜索关键词。调试验证就是用__android_log_print打日志来观察，编译还是按照官方的来。说实话项目内容太多了，改得越多越不好发现问题，如果觉得修改后手动编译替换的操作流程太长，我是建议写脚本来自动化这个编译上机流程。 2025-6-26 14:01 0
zhuzhu_biu 雪币： 2784 活跃值： (5880) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 76 关注私信	zhuzhu_biu 7 楼好吧,我以为终于遇到一个能搭建官方的开发环境的人了, 我直接全部meson移植cmake,目前用着很舒服,跳转,补全,编译,都没问题, 你也可以试试,我目前用起来是比较方便的, 换成cmake的难度也不大 2025-6-26 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复