基于frida检测demo来学习frida检测及anti

原文地址:https://www.zhuoyue360.com/crack/108.html

基于frida检测demo来学习frida检测及anti_第1张图片

前言

随着逆向的攻防强度不断的提升,目前主流的移动安全厂商的加固服务基本上都已包含了常见Hook框架的反调试,我们最常见的hook工具如下:

  1. frida
  2. xposed

为了更好的提升自己相关的经验,我们可以拿这类demo来进行原理的学习.

分析

demo应用在未启动frida的情况下,点击点我按钮发现. 亮了一个frida-agent路径.我们可以反编译该应用去看看它如何检测的.
基于frida检测demo来学习frida检测及anti_第2张图片

1. frida-agent路径

根据它的代码可以看到,该检测案例是通过判断下面两个条件,只要满足以下两个其中之一,则判定frida存在.

  1. /data/local/tmp/re.frida.server/frida-agent-64.so路径的内容是否存在
  2. /data/local/tmp/re.frida.server/frida-agent.so路径的文件是否存在
    public static boolean a() {
        boolean z = new File("/data/local/tmp/re.frida.server/frida-agent-64.so").exists() || new File("/data/local/tmp/re.frida.server/frida-agent.so").exists();
        if (z) {
            Log.e("Ming-CheckFrida", "/data/local/tmp/re.frida.server/frida-agent-64.so中发现Frida特征");
        }
        return z;
    }

看了下,我们的确存在这些应用.我们删除一下看看.
image.png
re.frida.server目录删除就可以了. 当然,这种方法并不好. 我们可以尝试Hook一下 File,把入参包含frida-agent的fileName给他一个不存在的值,即可绕过该检测. 可以看到已经成功的绕过了frida-agent检测项.
基于frida检测demo来学习frida检测及anti_第3张图片基于frida检测demo来学习frida检测及anti_第4张图片

let _File = Java.use("java.io.File");
_File.$init.overload("java.lang.String").implementation = function(fileName){
      var f = '';
      if (fileName.indexOf("frida-agent") > -1){
          f = "/sdcard/fuck_frida";
      }else{
          f= fileName
      }
      console.log("fileName ->" + f,f.indexOf("frida-agent"))

      return this.$init(f);
  }

2.TCP检测

根据下面的代码片段,有点基础的读者应该不难看出.它是在检测端口69a2,69a2端口是十六进制的表示,那么其十进制的表示是27042端口.

this.t = (Switch) findViewById(R.id.switchTcp);
this.t.setChecked(false);
String a2 = CheckFrida.a("/proc/net/tcp6");
String a3 = CheckFrida.a("/proc/net/tcp");
if (a2 == null || ClockFaceView.VALUE_PLACEHOLDER.equals(a2)) {
    z2 = false;
} else {
    z2 = false;
    for (String str : a2.split("\n")) {
        if (str.toLowerCase().contains(":69a2")) {
            Log.e("Ming-CheckFrida", "tcp文件中发现Frida特征");
            z2 = true;
        }
    }
}
if (a3 != null && !ClockFaceView.VALUE_PLACEHOLDER.equals(a3)) {
    for (String str2 : a3.split("\n")) {
        if (str2.toLowerCase().contains(":69a2")) {
            Log.e("Ming-CheckFrida", "tcp文件中发现Frida特征");
            z2 = true;
        }
    }
}

public static String a(String str) {
    try {
        FileInputStream fileInputStream = new FileInputStream(str);
        byte[] bArr = new byte[RecyclerView.c0.FLAG_ADAPTER_FULLUPDATE];
        String str2 = ClockFaceView.VALUE_PLACEHOLDER;
        for (int read = fileInputStream.read(bArr); read > 0; read = fileInputStream.read(bArr)) {
            str2 = str2 + new String(bArr, 0, read);
        }
        fileInputStream.close();
        return str2;
    } catch (IOException e) {
        e.printStackTrace();
        return ClockFaceView.VALUE_PLACEHOLDER;
    }
}

基于frida检测demo来学习frida检测及anti_第5张图片

那么我们该如何做呢? 看到上面的方法a可以看出,它是以读文件的方式进行检测的. 此时我们应该以自定义端口的方式进行frida的启动及Hook.

frida-server启动命令:
./frida-server-16.0.2-android-arm64 -l 0.0.0.0:7777
frida hook 自定义端口命令
frida -H 192.168.123.85:7777 -F -l .\hook_frida_check.js

再来看看效果,Wow!! 看来这不只是解决了TCP检测项,我们还顺手的解决了Native-端口检测. 其原理都是一样的.就是看看27042端口是否打开,咱们从本质上去解决就好啦!
基于frida检测demo来学习frida检测及anti_第6张图片

3.map文件

根据下面代码,我们可以看到.它是通过读取文件/proc/self/maps的内容是否包含frida字眼进行检测的.

this.t = (Switch) findViewById(R.id.switchJMap);
this.t.setChecked(false);
if (CheckFrida.a("/proc/self/maps").contains("frida")) {
    Log.e("Ming-CheckFrida", "/proc/self/maps发现Frida特征");
    z = true;
} else {
    z = false;
}

我们其实可以复用我们上面的脚本,当文件名称为maps的时候,我们传入虚拟的maps文件.
通过执行cat /proc/self/maps >> /sdcard/maps命令maps内容到/sdcard/maps中. 来看看效果吧~
基于frida检测demo来学习frida检测及anti_第7张图片

let _File = Java.use("java.io.File");
_File.$init.overload("java.lang.String").implementation = function(fileName){
    var f = '';
    if (fileName.indexOf("frida-agent") > -1){
        f = "/sdcard/fuck_frida";
    }else if(fileName.indexOf("/proc/self/maps") > -1){
        f = "/sdcard/maps";
    }else{
        f= fileName
    }
    return this.$init(f);
}

4. Native-map文件

打开IDA,拖入so文件进去看看. 发现是动态注册JNI_onload被混淆了.用下registerNative
基于frida检测demo来学习frida检测及anti_第8张图片
我们需要的是mCheckFridaNMap,其偏移是0xb654

[RegisterNatives] method_count: 0x6
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaPort sig: ()Z fnPtr: 0x7dd0acd540  fnOffset: 0x7dd0acd540 libCheckFrida.so!0x9540  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaBus sig: ()Z fnPtr: 0x7dd0acda70  fnOffset: 0x7dd0acda70 libCheckFrida.so!0x9a70  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaNMap sig: ()Z fnPtr: 0x7dd0acf654  fnOffset: 0x7dd0acf654 libCheckFrida.so!0xb654  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaMem sig: ()Z fnPtr: 0x7dd0ad0998  fnOffset: 0x7dd0ad0998 libCheckFrida.so!0xc998  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaMem2 sig: ()Ljava/lang/String; fnPtr: 0x7dd0ad010c  fnOffset: 0x7dd0ad010c libCheckFrida.so!0xc10c  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaP sig: ()Ljava/lang/String; fnPtr: 0x7dd0ad0f20  fnOffset: 0x7dd0ad0f20 libCheckFrida.so!0xcf20  callee: 0x7dd0acd020 libCheckFrida.so!0x9020 

跳到目标函数发现,依然是进行了混淆的. 我们来分析分析.
基于frida检测demo来学习frida检测及anti_第9张图片
查看下F5的伪代码.看到我认为是关键的.

  1. fopen打开文件,给v1
  2. 把stream的值设置为v1
// FILE *fopen(const char *filename, const char *mode);
  v1 = fopen((const char *)&xmmword_F0A0, &byte_F0B0);
  v2 = -686024801;
  stream = v1;

我们分别查看一下v1stream的交叉应用(选中按下x键)
v1的交叉引用:
可以发现,v1 只有一处使用了,就是把steam的值设置为v1,那么接下来,我们只需要聚焦steam即可.
基于frida检测demo来学习frida检测及anti_第10张图片
steam的交叉引用
基于frida检测demo来学习frida检测及anti_第11张图片

  • fclose : 关闭流
  • fgets : 从指定的流中读取数据,每次读取一行。其原型为:char *fgets(char *str, int n, FILE *stream);

我们只需要看看fgets上下文. 先到215行,结果为v41跟踪v41
基于frida检测demo来学习frida检测及anti_第12张图片
根据交叉引用,去看看121行的内容.
基于frida检测demo来学习frida检测及anti_第13张图片
再看看haystack的引用, 发现了一个很关键的strstr
基于frida检测demo来学习frida检测及anti_第14张图片

  • strstr : 返回值为char * 类型( 返回指向 str1 中第一次出现的 str2 的指针);如果 str2 不是 str1 的一部分,则返回空指针。

此时可以hook一下,strstr函数和fopen函数
fopen hook:

function hook_native(){
    var add = Module.findExportByName(null,"fopen");
    console.log("fopenaddr", add);
    Interceptor.attach(add,{
        onEnter:function(args){
            console.log("[+]fopen("+args[0].readCString()+")")
        },
        onLeave:function(){
            console.log("[-]fopen")
        }
    })

    var strstr = Module.findExportByName(null,"strstr");
    console.log("strstr addr", add);
    Interceptor.attach(strstr,{
        onEnter:function(args){
            console.log("[+]strstr("+args[0].readCString()+","+args[1].readCString()+")")
        },
        onLeave:function(){
            console.log("[-]strstr")
        }
    })
}
function call_maps(){
    Java.perform(function(){
        let CheckFrida = Java.use("com.example.test.util.CheckFrida");
        CheckFrida.mCheckFridaNMap();
    })
}
function hook(){
    hook_native();
    call_maps()
}
setImmediate(hook_native)

hook 日志:
通过fopen方法可以发现,它读的是/proc/self/maps,通过strstr可以发现它是在比较是否包含frida字符串.

call_maps()
[+]fopen(/proc/self/maps)
[-]fopen
[+]strstr(12c00000-12c80000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(12c80000-12e00000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(12e00000-13100000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(13100000-13200000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(13200000-14100000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14100000-14140000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14140000-14180000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14180000-141c0000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(141c0000-14200000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14200000-14240000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14240000-16480000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(16480000-164c0000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(164c0000-16500000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(16500000-32c00000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(7032d000-705b4000 rw-p 00000000 103:11 1544                              /system/framework/arm64/boot.art
,frida)
[-]strstr
[+]strstr(705b4000-706a3000 rw-p 00000000 103:11 1523                              /system/framework/arm64/boot-core-libart.art
,frida)
[-]strstr
[+]strstr(706a3000-706d9000 rw-p 00000000 103:11 1535                              /system/framework/arm64/boot-okhttp.art
,frida)
[-]strstr
[+]strstr(706d9000-7071a000 rw-p 00000000 103:11 1520                              /system/framework/arm64/boot-bouncycastle.art
,frida)
[-]strstr
[+]strstr(7071a000-7072a000 rw-p 00000000 103:11 1517                              /system/framework/arm64/boot-apache-xml.art
,frida)
[-]strstr
[+]strstr(7072a000-70fe6000 rw-p 00000000 103:11 1529                              /system/framework/arm64/boot-framework.art
,frida)
[-]strstr
[+]strstr(70fe6000-71019000 rw-p 00000000 103:11 1526                              /system/framework/arm64/boot-ext.art
,frida)
[-]strstr
[+]strstr(71019000-71110000 rw-p 00000000 103:11 1538                              /system/framework/arm64/boot-telephony-common.art
,frida)
[-]strstr
[+]strstr(71110000-7111e000 rw-p 00000000 103:11 1541                              /system/framework/arm64/boot-voip-common.art
,frida)
[-]strstr
[+]strstr(7111e000-71133000 rw-p 00000000 103:11 1532                              /system/framework/arm64/boot-ims-common.art
,frida)
[-]strstr
[+]strstr(71133000-71136000 rw-p 00000000 103:11 1514                              /system/framework/arm64/boot-android.test.base.art

那么我们依然使用上面maps文件中的方法 - 伪造maps文件
基于frida检测demo来学习frida检测及anti_第15张图片

你可能感兴趣的:(python,frida,frida检测,anti,frida,安卓逆向,移动安全)