-
-
[原创]libmsaoaidsec.so 检测监测 绕过 Hook 脚本
-
发表于: 9小时前
-
前文:[原创]libmsaoaidsec.so 检测体系分析
[原创]经典 Frida 检测 libmsaoaidsec.so 绕过
在 Android Native 安全分析中,很多安全组件并不会等到 JNI_OnLoad 后才启动检测,而是会将部分关键逻辑放在 .init **、** .init_proc 或 .init_array 等更早的初始化阶段。
libmsaoaidsec.so 的检测逻辑就存在这类特征:如果在 android_dlopen_ext 的 onLeave 阶段再安装 Hook,库的初始化逻辑通常已经执行完毕,部分反调试、注入检测或完整性校验可能已经触发,最终表现为 App 闪退、退出或关键流程异常。
Android 加载 Native SO 时,通常会经过以下流程:
需要注意的是,android_dlopen_ext 的 onLeave 并不等价于“SO 刚刚映射完成” 。当 onLeave 被触发时,加载器通常已经执行完 .init 和 .init_array 中的初始化函数。如果目标库把检测逻辑放在这些早期阶段,那么在 onLeave 再安装 Hook 往往已经太晚。
更合适的思路是:在 android_dlopen_ext 的 onEnter 中识别目标 SO 加载事件,然后寻找 .init_proc 内部调用的外部导入函数作为二级锚点。这样既可以保证目标 SO 已经进入加载流程,又能在其初始化逻辑执行过程中插入 Hook。
对 libmsaoaidsec.so 的 init_proc 进行分析,可以看到其早期逻辑中调用了 sub_123F0:
继续查看 sub_123F0,可以发现其调用了 __system_property_get 读取系统属性:
对应导入表中也可以看到 __system_property_get:
由此可以确定一个较理想的早期 Hook 链路:
这个锚点的优势在于: __system_property_get 是 .init_proc 早期调用的外部导入函数,触发时机早于大多数检测逻辑,且比盲目轮询模块加载更稳定。
脚本中主要通过函数返回值判断不同检测逻辑是否启用,并对部分关键分支进行返回值替换或直接写入 RET 指令。
部分检测逻辑不是由单个函数返回值决定,而是由多个函数组合判断。
Frida / 注入痕迹检测:
含义如下:
轮询代码 CRC 校验:
含义如下:
这类复合条件非常适合通过日志进行动态观察,因为它不仅能显示某个函数是否被调用,还能帮助判断当前运行环境下到底触发了哪一类检测。
整体脚本可以拆分为四个部分:
这里选择 onEnter 而不是 onLeave,关键原因在于:目标库的初始化函数会在 android_dlopen_ext 返回前执行。如果等待 onLeave,很多早期检测已经错过。
这段逻辑的核心是过滤属性名:
只有当目标库读取该属性时,才认为命中了早期初始化锚点。随后再获取 libmsaoaidsec.so 的基址并安装 Hook,避免对其他模块调用 __system_property_get 的行为造成干扰。
以 sub_CC64 为例,该函数返回 218 时,可以判断 Magisk / root 检测相关逻辑被启用:
这种写法适合做动态观测:每个检测函数在进入和返回时都会打印日志,最终通过 [DETECT] 或 [SKIP] 输出当前检测分支是否激活。
对于部分校验函数,脚本直接在 onLeave 阶段替换返回值。例如 sub_16720:
这里的重点不是固定值 666 本身,而是 通过修改返回值改变上层分支判断结果。
脚本还对若干偏移直接写入 ARM64 RET 指令,使相关函数立即返回:
对应 Patch 实现如下:
这种方式适用于已经确认目标函数主要用于检测、线程创建或轮询校验的场景。
下面是整理后的完整 Frida 脚本。脚本目标为 ARM64 环境下的 libmsaoaidsec.so,通过早期锚点安装 Hook,并输出各类检测分支状态。
使用 Frida spawn 模式启动目标 App,并加载 Hook 脚本:
示例输出如下:
继续观察 Patch 结果:
检测分支输出示例:
从输出可以确认:
本文围绕 libmsaoaidsec.so 的早期初始化检测,整理了一套可复用的 Frida 分析思路:
这类分析的关键不在于某一个固定偏移,而在于方法论:先解决 Hook 时机,再定位初始化锚点,最后围绕检测函数建立可观测、可验证、可迁移的动态分析链路。
| 阶段 | 关键函数或段 | 说明 |
|---|---|---|
| 1 | dlopen / android_dlopen_ext |
系统加载器将目标 SO 映射到进程内存 |
| 2 | .init / .init_proc |
执行 SO 的早期初始化代码 |
| 3 | .init_array |
执行初始化数组中的函数,例如 C++ 全局构造函数 |
| 4 | JNI_OnLoad |
注册 JNI 方法并完成 Java 与 Native 层绑定 |
| 函数 | 偏移 | 判断条件 | 检测含义 |
|---|---|---|---|
sub_CA28 |
0xCA28 |
返回值是否为 167 |
ADB / USB 调试环境检测 |
sub_CAA8 |
0xCAA8 |
返回值是否为 248 |
Frida / 注入痕迹检测的条件之一 |
sub_CAE8 |
0xCAE8 |
返回值是否为 249 |
反调试、TracerPid、线程状态检测 |
sub_CC64 |
0xCC64 |
返回值是否为 218 |
Magisk / root 检测 |
sub_CEE4 |
0xCEE4 |
返回值是否为 203 |
目标区域 CRC32 校验 |
sub_C830 |
0xC830 |
返回值是否为 1 |
轮询代码 CRC 校验条件之一 |
sub_95C8 |
0x95C8 |
返回值是否为真 | 轮询代码 CRC 校验条件之一 |
sub_12D9C |
0x12D9C |
返回值是否为真 | Frida / 注入痕迹检测的条件之一 |
sub_25A48 |
0x25A48 |
(retval & 1) == 0 |
Native 环境检测、代码 CRC / APK v1 签名校验 |
sub_CEA4 |
0xCEA4 |
返回值替换为 666 |
通过返回值修改绕过特定检测分支 |
sub_16720 |
0x16720 |
返回值替换为 666 |
通过返回值修改绕过校验结果 |
__int64 __fastcall init_proc(__int64 a1)
{
...
StatusReg = _ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2));
v15 = *(StatusReg + 40);
s_1 = &StatusReg - 250;
*off_47FB8 = sub_123F0(a1);
...
}
__int64 sub_123F0()
{
_QWORD nptr[2];
nptr[1] = *(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40);
nptr[0] = 0LL;
__system_property_get("ro.build.version.sdk", nptr);
return atoi(nptr);
}
extern:00000000000A76D8 IMPORT __imp___system_property_get
extern:00000000000A76D8 ; CODE XREF: __system_property_get+C
extern:00000000000A76D8 ; DATA XREF: LOAD:__system_property_get_0
const shouldCheck = lastSubCAA8Ret === 248 && !lastSub12D9CRet;
const shouldCheck = lastSubC830Ret !== 1 || !!lastSub95C8Ret;
[培训]《冰与火的战歌:Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。
