[原创] libmsaoaidsec.so 过检测 frida（或许还有debug）-Android安全-看雪安全社区

[原创] libmsaoaidsec.so 过检测 frida（或许还有debug）

发表于: 2025-8-6 18:48 2980

[原创] libmsaoaidsec.so 过检测 frida（或许还有debug）

wx_小友

2025-8-6 18:48

2980

之前写了一篇，但是那种办法不稳定，而且并没有普遍性，今天在弄一个体育类的APP时，发现还是会不时被检测，所以有找到一种新的hook方式，可以过掉frida的检测。没有测试debug是否也一起过了，应该是一起过了的。

先说下步骤。

1、打印下so的加载，看哪个so检测的。

2、测试是在哪里被检测的，（.init_proc或jni_load）。

3、替换对应的方法。

上代码。

function my_hook_dlopen(soName) {
  var name = Module.findExportByName(null, "android_dlopen_ext");
  console.log(name);
  Interceptor.attach(name, {
    onEnter: function (args) {
      var pathptr = args[0];
      if (pathptr !== undefined && pathptr != null) {
        var path = ptr(pathptr).readCString();
        console.log(path);
       
        if (path.indexOf(soName) != -1) {
            hook_call_constructors()
        }
      }
    },
    onLeave: function (retval) {
      if (this.is_can_hook) {
        dump_so(soName);
      }
    },
  });
}

var first = false;
function hook_call_constructors() {
  var linker = Process.findModuleByName("linker64");
  Interceptor.attach(linker.base.add(0x4A174), {
    onEnter: function () {
      var module = Process.findModuleByName("libmsaoaidsec.so");
      if (module && !first) {
        first = true;
        Interceptor.replace(
          module.base.add(0x14400),
          new NativeCallback(
            function () {
              console.log("Bypassed sub_14400");
            },
            "void",
            []
          )
        );

        Interceptor.replace(module.base.add(0x13A4C), new NativeCallback(
    function (vm, reserved) {
        console.log("[+] Fake JNI_OnLoad called!");
       
        // 原始功能（可选调用原函数）
        // const old_ret = old_jni_onload(vm, reserved);
       
        // 返回版本号（通常0x10004 for JNI 1.4）
        return 0x10006; // JNI 1.6
    },
    "int", ["pointer", "pointer"]
))
      }
    },
  });
}

function main() {
  my_hook_dlopen("libmsaoaidsec.so");
}
setImmediate(main);

解释一下里面用到的地址。

linker.base.add(0x4A174)

这个对应的是linker64的 __dl__ZN6soinfo17call_constructorsEv 在android 11中没有被导出，所以直接拿到这个文件IDA查找到了这个地址。

module.base.add(0x14400)

这个是对应的 libmsaoaidesc.so的 .init_proc 方法。

module.base.add(0x13A4C)

这个是 JNI_LOAD 方法。

没有更多内容了，简单吧。。哈哈哈。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

#逆向分析

收藏・12

免费・6

支持

最新回复 (22)
ty1937 雪币： 2586 活跃值： (3507) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 13 关注私信	ty1937 2 楼我把我手机的__dl__ZN6soinfo17call_constructorsEv 改了，我的目标测试app,.init_proc 和JNI_LOAD 地址和你的是一样的，但是 -U -f 启附加了脚本，依旧会退出， Bypassed sub_14400 [+] Fake JNI_OnLoad called! ........ Process terminated 2025-8-11 09:25 0
wx_小友雪币： 260 活跃值： (1070) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 41 粉丝 25 关注私信	wx_小友 3 楼 ty1937 我把我手机的__dl__ZN6soinfo17call_constructorsEv 改了，我的目标测试app,.init_proc 和JNI_LOAD 地址和你的是一样的，但是 -U -f 启附 ... 方便告知下app吗？共同学习下 2025-8-11 13:53 0
ty1937 雪币： 2586 活跃值： (3507) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 13 关注私信	ty1937 4 楼 wx_小友方便告知下app吗？共同学习下私你了 2025-8-11 16:43 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 5 楼其实有个更简单的方法，那就是删除so，或者阻止so的加载，，， 2025-8-11 16:55 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 6 楼陈可牛其实有个更简单的方法，那就是删除so，或者阻止so的加载，，，大佬能具体说下么？有个app怎么也过不了，好像还有爱加密的壳，里面也有libmsaoaidsec.so 2025-8-11 23:13 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 7 楼 wx_小友方便告知下app吗？共同学习下同求，学习，自己测试几个有libmsaoaidsec.so 怎么也过不去，抓狂 2025-8-11 23:14 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 8 楼 mb_hojnmyba 大佬能具体说下么？有个app怎么也过不了，好像还有爱加密的壳，里面也有libmsaoaidsec.so 发apk，我瞅瞅 2025-8-12 11:47 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 9 楼陈可牛发apk，我瞅瞅 fe2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4#2!0m8y4#2)9^5x3g2!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5c8W2)9&6x3g2!0q4z5q4!0n7c8W2)9&6z5g2!0q4z5g2)9^5y4#2)9^5b7#2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4#2)9&6c8W2!0m8y4g2!0q4z5g2)9^5x3g2)9&6x3#2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4g2)9&6x3q4!0m8y4W2!0q4z5q4!0n7c8W2)9&6c8q4!0q4z5q4!0m8y4#2)9^5y4l9`.`. 2025-8-12 19:41 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 10 楼 aq88 4b4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4 私信不了，发这里不知道是否违规啥问题都没最后于 2025-8-12 21:24 被陈可牛编辑，原因：说多了 2025-8-12 21:22 0
mb_vzsnpfhs 雪币： 547 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mb_vzsnpfhs 11 楼直接删了也可以 2025-8-13 14:50 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 12 楼陈可牛 aq88 13dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4 私信不了，发这里不知道是否违规 ... 大佬，我这里就是不行啊，frida换成和你一样的版本也不行 0x768c0c20f8 里面地址，脚本里面的地址是怎么计算的？需要修改么？方便留个联系方式请教上传的附件：微信图片_20250815114617.png （65.50kb，3次下载） 2025-8-15 11:48 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 13 楼 mb_vzsnpfhs 直接删了也可以不能直接删除，有签名校验，删掉重新签名安装，打开闪退。 2025-8-15 12:03 0
mb_vzsnpfhs 雪币： 547 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mb_vzsnpfhs 14 楼 aq88 不能直接删除，有签名校验，删掉重新签名安装，打开闪退。先安装，再删除。写个py脚本删 2025-8-18 09:46 0
mb_jkykcuwo 雪币： 201 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jkykcuwo 15 楼大佬！！！不知道发生了什么但是好像发生了很多！！！ 2025-8-18 20:38 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 16 楼陈可牛 aq88 833K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4 私信不了，发这里不知道是否违规 ... 大佬能分享下你的脚本么？是地址需要修改还是啥？ 2025-8-23 15:34 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 17 楼 aq88 大佬能分享下你的脚本么？是地址需要修改还是啥？你这个是爱加密，跟帖子两码事。爱加密的样本也可以发出来，我简单瞅瞅 2025-8-23 22:17 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 18 楼陈可牛你这个是爱加密，跟帖子两码事。爱加密的样本也可以发出来，我简单瞅瞅我看你的截图hook成功了啊，样本就是之前发网盘发过的，就是能否分享一下你hook成功的脚本，小弟学习一下 2025-9-4 09:04 0
mb_pkmnczqg 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_pkmnczqg 19 楼怎么联系想买个 2025-9-25 08:51 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 20 楼 mb_pkmnczqg 怎么联系想买个兄弟，你要买啥？ 2025-9-29 09:21 0
Joyboy_L 雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Joyboy_L 21 楼陈可牛发apk，我瞅瞅大佬，我这种有啥思路吗？ 2025-10-13 17:53 0
mb_pkmnczqg 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_pkmnczqg 22 楼 aq88 兄弟，你要买啥？买你的unidbg 2025-11-26 08:43 0
mb_cxjxrwqb 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_cxjxrwqb 23 楼膜拜大佬，学习新思路了 2025-12-5 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_小友

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
ty1937 雪币： 2586 活跃值： (3507) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 13 关注私信	ty1937 2 楼我把我手机的__dl__ZN6soinfo17call_constructorsEv 改了，我的目标测试app,.init_proc 和JNI_LOAD 地址和你的是一样的，但是 -U -f 启附加了脚本，依旧会退出， Bypassed sub_14400 [+] Fake JNI_OnLoad called! ........ Process terminated 2025-8-11 09:25 0
wx_小友雪币： 260 活跃值： (1070) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 41 粉丝 25 关注私信	wx_小友 3 楼 ty1937 我把我手机的__dl__ZN6soinfo17call_constructorsEv 改了，我的目标测试app,.init_proc 和JNI_LOAD 地址和你的是一样的，但是 -U -f 启附 ... 方便告知下app吗？共同学习下 2025-8-11 13:53 0
ty1937 雪币： 2586 活跃值： (3507) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 32 粉丝 13 关注私信	ty1937 4 楼 wx_小友方便告知下app吗？共同学习下私你了 2025-8-11 16:43 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 5 楼其实有个更简单的方法，那就是删除so，或者阻止so的加载，，， 2025-8-11 16:55 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 6 楼陈可牛其实有个更简单的方法，那就是删除so，或者阻止so的加载，，，大佬能具体说下么？有个app怎么也过不了，好像还有爱加密的壳，里面也有libmsaoaidsec.so 2025-8-11 23:13 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 7 楼 wx_小友方便告知下app吗？共同学习下同求，学习，自己测试几个有libmsaoaidsec.so 怎么也过不去，抓狂 2025-8-11 23:14 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 8 楼 mb_hojnmyba 大佬能具体说下么？有个app怎么也过不了，好像还有爱加密的壳，里面也有libmsaoaidsec.so 发apk，我瞅瞅 2025-8-12 11:47 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 9 楼陈可牛发apk，我瞅瞅 fe2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4y4#2!0m8y4#2)9^5x3g2!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4q4!0n7b7g2)9^5y4W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5c8W2)9&6x3g2!0q4z5q4!0n7c8W2)9&6z5g2!0q4z5g2)9^5y4#2)9^5b7#2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4#2)9&6c8W2!0m8y4g2!0q4z5g2)9^5x3g2)9&6x3#2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4g2)9&6x3q4!0m8y4W2!0q4z5q4!0n7c8W2)9&6c8q4!0q4z5q4!0m8y4#2)9^5y4l9`.`. 2025-8-12 19:41 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 10 楼 aq88 4b4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4 私信不了，发这里不知道是否违规啥问题都没最后于 2025-8-12 21:24 被陈可牛编辑，原因：说多了 2025-8-12 21:22 0
mb_vzsnpfhs 雪币： 547 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mb_vzsnpfhs 11 楼直接删了也可以 2025-8-13 14:50 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 12 楼陈可牛 aq88 13dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4 私信不了，发这里不知道是否违规 ... 大佬，我这里就是不行啊，frida换成和你一样的版本也不行 0x768c0c20f8 里面地址，脚本里面的地址是怎么计算的？需要修改么？方便留个联系方式请教上传的附件：微信图片_20250815114617.png （65.50kb，3次下载） 2025-8-15 11:48 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 13 楼 mb_vzsnpfhs 直接删了也可以不能直接删除，有签名校验，删掉重新签名安装，打开闪退。 2025-8-15 12:03 0
mb_vzsnpfhs 雪币： 547 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mb_vzsnpfhs 14 楼 aq88 不能直接删除，有签名校验，删掉重新签名安装，打开闪退。先安装，再删除。写个py脚本删 2025-8-18 09:46 0
mb_jkykcuwo 雪币： 201 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jkykcuwo 15 楼大佬！！！不知道发生了什么但是好像发生了很多！！！ 2025-8-18 20:38 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 16 楼陈可牛 aq88 833K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1I4x3U0x3$3z5o6c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6i4K6u0r3L8K6g2i4j5h3A6$3i4K6u0V1L8$3V1#2j5%4k6Q4x3@1k6H3N6$3c8Q4x3@1c8f1k6@1S2q4 私信不了，发这里不知道是否违规 ... 大佬能分享下你的脚本么？是地址需要修改还是啥？ 2025-8-23 15:34 0
陈可牛雪币： 6437 活跃值： (6027) 能力值： ( LV5，RANK：76 ) 在线值：发帖 3 回帖 111 粉丝 35 关注私信	陈可牛 1 17 楼 aq88 大佬能分享下你的脚本么？是地址需要修改还是啥？你这个是爱加密，跟帖子两码事。爱加密的样本也可以发出来，我简单瞅瞅 2025-8-23 22:17 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 18 楼陈可牛你这个是爱加密，跟帖子两码事。爱加密的样本也可以发出来，我简单瞅瞅我看你的截图hook成功了啊，样本就是之前发网盘发过的，就是能否分享一下你hook成功的脚本，小弟学习一下 2025-9-4 09:04 0
mb_pkmnczqg 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_pkmnczqg 19 楼怎么联系想买个 2025-9-25 08:51 0
aq88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	aq88 20 楼 mb_pkmnczqg 怎么联系想买个兄弟，你要买啥？ 2025-9-29 09:21 0
Joyboy_L 雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Joyboy_L 21 楼陈可牛发apk，我瞅瞅大佬，我这种有啥思路吗？ 2025-10-13 17:53 0
mb_pkmnczqg 雪币： 242 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	mb_pkmnczqg 22 楼 aq88 兄弟，你要买啥？买你的unidbg 2025-11-26 08:43 0
mb_cxjxrwqb 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_cxjxrwqb 23 楼膜拜大佬，学习新思路了 2025-12-5 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复