绕过某书frida反调试检测 获取某宝支付参数

已于 2025-03-06 01:47:41 修改
阅读量2.5k 收藏 33
点赞数 61
文章标签: python 安全威胁分析 android
于 2025-03-05 13:12:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/braintrust2003/article/details/146040533
版权

前言

在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。

检测原理分析

现代Android应用通常采用多种方式检测Frida等工具:

  1. 字符串检测:在内存或进程列表中查找特征字符串,如"frida"、"gum-js-loop"等
  2. 文件检测:检查特定目录是否存在可疑文件
  3. 端口检测:检查Frida默认使用的27042端口是否开放
  4. 本地库检测:使用Native库实现更复杂的检测逻辑

在某书应用中,我们发现它主要通过libmsaoaidsec.so这个本地库实现了反调试检测。

绕过策略

在多次尝试后,我们确定了一种有效的绕过策略,包含三个主要组件:

  1. 字符串检测绕过:拦截字符串相关函数,防止检测关键词
  2. 库加载阻断:阻止目标检测库的加载或替换为空实现
  3. Java层方法钩子:监控和记录关键方法调用

下面详细介绍这些技术的实现。

实现代码

1. 字符串检测绕过

首先,我们需要钩住常见的字符串比较函数,如strstrstrcmp,来阻止关键词检测:

function hook_dlopen(soName = '') {
   
    // 定义要检测的关键词
    var keywords = ["REJECT", "tmp", "frida", "gum-js-loop", "gmain", "linjector", "gadget", "magisk", "xposed"];

    // 拦截 strstr 函数
    var pt_strstr = Module.findExportByName("libc.so", 'strstr');
    if (pt_strstr) {
   
        Interceptor.attach(pt_strstr, {
   
            onEnter: function (args) {
   
                try {
   
                    if (args[0] !== null && args[1] !== null) {
   
                        var str1 = Memory.readCString(args[0]);
                        var str2 = Memory.readCString(args[1]);
                        
                        if (str1 && str2) {
   
                            // 检查第二个参数是否包含任何关键词
                            for (var i = 0; i < keywords.length; i++) {
   
                                if (str2.indexOf(keywords[i]) !== -1) {
   
                                    console.log("strstr 拦截 -->", str1, str2);
                                    this.hook = true;
                                    break;
                                }
                            }
                        }
最低0.47元/天 解锁文章
frida反调试
qq_32445755的博客
05-19 1431
frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测frida,不管是attach模式还是spawn模式都附加不上。一般来说,frida检测由如下几个方面:检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。
白帽子Android渗透测试指南
AI天才研究院
08-06 1347
随着智能手机的普及和移动互联网的快速发展,Android系统作为全球市场占有率最高的移动操作系统,其安全性越来越受到人们的重视。与此同时,针对Android系统的恶意软件和攻击手段也层出不穷,给用户的信息安全和隐私保护带来了极大的威胁。为了帮助广大开发者和安全爱好者更好地了解Android系统的安全机制,掌握Android渗透测试的基本方法和技巧,本文将从白帽子的角度出发,详细介绍Android渗透测试的流程、技术和工具,并结合实际案例进行分析和讲解。
Frida Hook 入门(5)| 绕过 Frida 检测反调试技术
weixin_65409651的博客
01-07 1107
Android 和其他平台的安全研究中,Frida 是不可或缺的动态分析工具。然而,越来越多的应用会主动检测 Frida 的存在,甚至结合反调试技术(Anti-Debugging)来阻止逆向工程或分析检测 Frida 服务器进程(如检测 Frida 插件注入的迹象(如 Hook 方法)。使用反调试技术绕过调试工具的附加。对于研究人员而言,学会绕过这些防护手段,能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理,并通过 Frida 实现绕过它们的实践。
绕过bili frida反调试
头铁逆向的旅程
04-29 6595
绕过bilibili frida反调试
Frida检测及其绕过
最新发布
2301_80198695的博客
04-01 656
目录的作用在于提供了一种方便的方式来查看进程的文件描述符信息,这对于调试和监控进程非常有用。协议通信,D-Bus是一种进程间通信(IPC)和远程过程调用(RPC)机制,最初是为Linux开发的,目的是用一个统一的协议替代现有的和竞争的IPC解决方案。是一个特殊的文件,它包含了当前进程的内存映射信息。原理就是通过修改函数的开头,写一个跳板,实现定向跳转,通过检测当前函数的前16个字节来判断是否被hook。下存放的是当前进程下的线程,每个线程内有一个目录,进入线程目录的。文件夹下可以看到当前线程的名字,例如。
Frida使用指南 - Frida 检测绕过
dafan0的博客
05-12 3048
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida反调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
frida反调试绕过
qq_53761850的博客
12-02 384
这个app是有壳的,防护大概率会是在so层,毕竟java层的反调试已经过时了,我们可以通过hook安卓系统的libdl.so中的android_dlopen_ext来定位问题出现在哪个so,定位到具体so再定位so里面的反调试线程,找出来反调试线程最终把反调试线程替换成空。普遍的就是:使用葫芦娃版本的frida、改frida_server的名称,修改frida_server的端口,文章中的frida_server均已满足以上条件,情况比较严峻。以上hook代码的作用用于定位反调试出现在哪个so文件。
Frida反调试
TF的博客
08-09 2767
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
Frida与hook技术结合:反射调用与对象交互详解
本文全面探讨了Frida与hook技术的应用及高级技巧,包括对反射调用机制的深入理解、Frida在对象交互中的应用,以及Frida hook技术的实践和优化策略。文章首先概述了Frida与hook技术,然后分析了反射调用在动态语言中...
黑盒测试效率提升:Frida反射调用在测试中的应用
首先概述了Frida的基本原理和反射调用的基础知识,然后深入探讨了Frida在自动化测试中的集成,以及其在提高测试效率和安全性方面的高级应用。文章还分析Frida脚本编写技巧,如何提升测试覆盖率和准确性,最后对...
DetectFrida:检测AndroidFrida
05-09
DetectFrida 这个项目有3种方法来检测frida的钩子 通过Frida使用的命名管道进行检测 通过frida特定的命名线程进行检测 比较libc和本机库的内存中的文本部分与磁盘中的文本部分 可以在我的博客中找到更多详细信息-> 此外,这个专案有3种机制来强化本机程式码 将某些libc调用替换为syscalls 用自定义实现替换字符串,与内存相关的操作 应用O-LLVM本机混淆 可以在我的博客中找到更多详细信息-> 此项目支持arm64,armv7a,x86_64体系结构。 提供了强化的APK,供感兴趣的反向工程师进行分析。 更新 重新调整功能 仅在可读的情况下修复对可执行节的扫描,以避免在应用程序以API 29为目标时崩溃 删除本机库中的注释部分,以防止使用APKId检测到O-LLVM混淆器 目标API已更新为30 将Obfuscator-LLVM更新为 修复了在A
Android应用攻与防
qq_42766267的博客
11-11 6235
安卓系统是由谷歌推出的一款移动终端,由于开源,所以国内出现了许多使用相关系统的厂商,比如小米,oppo,vivo,魅族等。 在国内,这些系统的用户群体甚多。我们日常使用的社交、游戏、工作等应用,很多都装在安卓系统上。 由于安卓系统的开源性,很多安全问题也随之而来。那么,在安卓系统上运行的应用又是如何保证自身安全的呢? 本文通过实战挖洞,展现一下Android应用的防守与攻击方式。 1 简介 为了避免应用被攻击,各种应用在投产前会用一些技术手段进行加固。但是在持续对
android frida检测绕过
热门推荐
PwnGuo的博客
06-08 1万+
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
frida检测绕过-libmsaoaidsec.so
你的对手是.神圣兽国.游尾郡窝窝乡.独行族妖侠 蛮吉^-^...
09-08 1651
【代码】frida检测绕过-libmsaoaidsec.so。
so层检测frida绕过
Codeooo 博客
01-31 9297
我们思路是可以frida加载那个so, 然后打印出检测线程的偏移; 如果是在so层里开一个线程检测frida;然后干掉这个线程,完成!
过某交友软件frida反调试
头铁逆向的旅程
06-30 6911
过某交友软件的frida检测
Frida反调试对抗系列(一)
A_fanyifan的博客
11-16 893
Frida 是一个强大的动态分析和调试工具,广泛用于逆向工程、安全研究和应用程序的分析Frida 允许开发者、渗透测试人员或研究人员在运行时注入 JavaScript 代码,动态地修改或监控应用程序的行为。由于其强大的功能,Frida 在防止反调试检测应用程序中的使用场景中也变得非常重要。上面我们只是简述了一部分常见检测方式,当然frida毕竟作为一个开源项目 其被检测的点太多了,之后文章会更加关注于分篇章章节去写针对各厂商的frida检测的方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

自学不成才

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值