原文地址:https://www.zhuoyue360.com/crack/108.html

前言

随着逆向的攻防强度不断的提升,目前主流的移动安全厂商的加固服务基本上都已包含了常见Hook框架的反调试,我们最常见的hook工具如下:

1. frida
2. xposed

为了更好的提升自己相关的经验,我们可以拿这类demo来进行原理的学习.

分析

demo应用在未启动frida的情况下,点击点我按钮发现. 亮了一个frida-agent路径.我们可以反编译该应用去看看它如何检测的.

1. frida-agent路径

根据它的代码可以看到,该检测案例是通过判断下面两个条件,只要满足以下两个其中之一,则判定frida存在.

1. /data/local/tmp/re.frida.server/frida-agent-64.so路径的内容是否存在
2. /data/local/tmp/re.frida.server/frida-agent.so路径的文件是否存在

    public static boolean a() {boolean z = new File("/data/local/tmp/re.frida.server/frida-agent-64.so").exists() || new File("/data/local/tmp/re.frida.server/frida-agent.so").exists();if (z) {Log.e("Ming-CheckFrida", "/data/local/tmp/re.frida.server/frida-agent-64.so中发现Frida特征");}return z;}

看了下,我们的确存在这些应用.我们删除一下看看.

把re.frida.server目录删除就可以了. 当然,这种方法并不好. 我们可以尝试Hook一下 File,把入参包含frida-agent的fileName给他一个不存在的值,即可绕过该检测. 可以看到已经成功的绕过了frida-agent检测项.

let _File = Java.use("java.io.File");
_File.$init.overload("java.lang.String").implementation = function(fileName){var f = '';if (fileName.indexOf("frida-agent") > -1){f = "/sdcard/fuck_frida";}else{f= fileName}console.log("fileName ->" + f,f.indexOf("frida-agent"))return this.$init(f);}

2.TCP检测

根据下面的代码片段,有点基础的读者应该不难看出.它是在检测端口69a2,69a2端口是十六进制的表示,那么其十进制的表示是27042端口.

this.t = (Switch) findViewById(R.id.switchTcp);
this.t.setChecked(false);
String a2 = CheckFrida.a("/proc/net/tcp6");
String a3 = CheckFrida.a("/proc/net/tcp");
if (a2 == null || ClockFaceView.VALUE_PLACEHOLDER.equals(a2)) {z2 = false;
} else {z2 = false;for (String str : a2.split("\n")) {if (str.toLowerCase().contains(":69a2")) {Log.e("Ming-CheckFrida", "tcp文件中发现Frida特征");z2 = true;}}
}
if (a3 != null && !ClockFaceView.VALUE_PLACEHOLDER.equals(a3)) {for (String str2 : a3.split("\n")) {if (str2.toLowerCase().contains(":69a2")) {Log.e("Ming-CheckFrida", "tcp文件中发现Frida特征");z2 = true;}}
}

public static String a(String str) {try {FileInputStream fileInputStream = new FileInputStream(str);byte[] bArr = new byte[RecyclerView.c0.FLAG_ADAPTER_FULLUPDATE];String str2 = ClockFaceView.VALUE_PLACEHOLDER;for (int read = fileInputStream.read(bArr); read > 0; read = fileInputStream.read(bArr)) {str2 = str2 + new String(bArr, 0, read);}fileInputStream.close();return str2;} catch (IOException e) {e.printStackTrace();return ClockFaceView.VALUE_PLACEHOLDER;}
}

那么我们该如何做呢? 看到上面的方法a可以看出,它是以读文件的方式进行检测的. 此时我们应该以自定义端口的方式进行frida的启动及Hook.

frida-server启动命令:
./frida-server-16.0.2-android-arm64 -l 0.0.0.0:7777
frida hook 自定义端口命令
frida -H 192.168.123.85:7777 -F -l .\hook_frida_check.js

再来看看效果,Wow!! 看来这不只是解决了TCP检测项,我们还顺手的解决了Native-端口检测. 其原理都是一样的.就是看看27042端口是否打开,咱们从本质上去解决就好啦!

3.map文件

根据下面代码,我们可以看到.它是通过读取文件/proc/self/maps的内容是否包含frida字眼进行检测的.

this.t = (Switch) findViewById(R.id.switchJMap);
this.t.setChecked(false);
if (CheckFrida.a("/proc/self/maps").contains("frida")) {Log.e("Ming-CheckFrida", "/proc/self/maps发现Frida特征");z = true;
} else {z = false;
}

我们其实可以复用我们上面的脚本,当文件名称为maps的时候,我们传入虚拟的maps文件.
通过执行cat /proc/self/maps >> /sdcard/maps命令maps内容到/sdcard/maps中. 来看看效果吧~

let _File = Java.use("java.io.File");
_File.$init.overload("java.lang.String").implementation = function(fileName){var f = '';if (fileName.indexOf("frida-agent") > -1){f = "/sdcard/fuck_frida";}else if(fileName.indexOf("/proc/self/maps") > -1){f = "/sdcard/maps";}else{f= fileName}return this.$init(f);
}

4. Native-map文件

打开IDA,拖入so文件进去看看. 发现是动态注册且JNI_onload被混淆了.用下registerNative

我们需要的是mCheckFridaNMap,其偏移是0xb654

[RegisterNatives] method_count: 0x6
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaPort sig: ()Z fnPtr: 0x7dd0acd540  fnOffset: 0x7dd0acd540 libCheckFrida.so!0x9540  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaBus sig: ()Z fnPtr: 0x7dd0acda70  fnOffset: 0x7dd0acda70 libCheckFrida.so!0x9a70  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaNMap sig: ()Z fnPtr: 0x7dd0acf654  fnOffset: 0x7dd0acf654 libCheckFrida.so!0xb654  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaMem sig: ()Z fnPtr: 0x7dd0ad0998  fnOffset: 0x7dd0ad0998 libCheckFrida.so!0xc998  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaMem2 sig: ()Ljava/lang/String; fnPtr: 0x7dd0ad010c  fnOffset: 0x7dd0ad010c libCheckFrida.so!0xc10c  callee: 0x7dd0acd020 libCheckFrida.so!0x9020
[RegisterNatives] java_class: com.example.test.util.CheckFrida name: mCheckFridaP sig: ()Ljava/lang/String; fnPtr: 0x7dd0ad0f20  fnOffset: 0x7dd0ad0f20 libCheckFrida.so!0xcf20  callee: 0x7dd0acd020 libCheckFrida.so!0x9020 

跳到目标函数发现,依然是进行了混淆的. 我们来分析分析.

查看下F5的伪代码.看到我认为是关键的.

1. fopen打开文件,给v1
2. 把stream的值设置为v1

// FILE *fopen(const char *filename, const char *mode);v1 = fopen((const char *)&xmmword_F0A0, &byte_F0B0);v2 = -686024801;stream = v1;

我们分别查看一下v1和stream的交叉应用(选中按下x键)
v1的交叉引用:
可以发现,v1 只有一处使用了,就是把steam的值设置为v1,那么接下来,我们只需要聚焦steam即可.

steam的交叉引用

• fclose : 关闭流
• fgets : 从指定的流中读取数据，每次读取一行。其原型为：char *fgets(char *str, int n, FILE *stream);

我们只需要看看fgets上下文. 先到215行,结果为v41跟踪v41

根据交叉引用,去看看121行的内容.

再看看haystack的引用, 发现了一个很关键的strstr

• strstr : 返回值为char * 类型（ 返回指向 str1 中第一次出现的 str2 的指针）；如果 str2 不是 str1 的一部分，则返回空指针。

此时可以hook一下,strstr函数和fopen函数
fopen hook:

function hook_native(){var add = Module.findExportByName(null,"fopen");console.log("fopenaddr", add);Interceptor.attach(add,{onEnter:function(args){console.log("[+]fopen("+args[0].readCString()+")")},onLeave:function(){console.log("[-]fopen")}})var strstr = Module.findExportByName(null,"strstr");console.log("strstr addr", add);Interceptor.attach(strstr,{onEnter:function(args){console.log("[+]strstr("+args[0].readCString()+","+args[1].readCString()+")")},onLeave:function(){console.log("[-]strstr")}})
}
function call_maps(){Java.perform(function(){let CheckFrida = Java.use("com.example.test.util.CheckFrida");CheckFrida.mCheckFridaNMap();})
}
function hook(){hook_native();call_maps()
}
setImmediate(hook_native)

hook 日志:
通过fopen方法可以发现,它读的是/proc/self/maps,通过strstr可以发现它是在比较是否包含frida字符串.

call_maps()
[+]fopen(/proc/self/maps)
[-]fopen
[+]strstr(12c00000-12c80000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(12c80000-12e00000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(12e00000-13100000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(13100000-13200000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(13200000-14100000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14100000-14140000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14140000-14180000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14180000-141c0000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(141c0000-14200000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14200000-14240000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(14240000-16480000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(16480000-164c0000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(164c0000-16500000 ---p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(16500000-32c00000 rw-p 00000000 00:00 0                                  [anon:dalvik-main space (region space)]
,frida)
[-]strstr
[+]strstr(7032d000-705b4000 rw-p 00000000 103:11 1544                              /system/framework/arm64/boot.art
,frida)
[-]strstr
[+]strstr(705b4000-706a3000 rw-p 00000000 103:11 1523                              /system/framework/arm64/boot-core-libart.art
,frida)
[-]strstr
[+]strstr(706a3000-706d9000 rw-p 00000000 103:11 1535                              /system/framework/arm64/boot-okhttp.art
,frida)
[-]strstr
[+]strstr(706d9000-7071a000 rw-p 00000000 103:11 1520                              /system/framework/arm64/boot-bouncycastle.art
,frida)
[-]strstr
[+]strstr(7071a000-7072a000 rw-p 00000000 103:11 1517                              /system/framework/arm64/boot-apache-xml.art
,frida)
[-]strstr
[+]strstr(7072a000-70fe6000 rw-p 00000000 103:11 1529                              /system/framework/arm64/boot-framework.art
,frida)
[-]strstr
[+]strstr(70fe6000-71019000 rw-p 00000000 103:11 1526                              /system/framework/arm64/boot-ext.art
,frida)
[-]strstr
[+]strstr(71019000-71110000 rw-p 00000000 103:11 1538                              /system/framework/arm64/boot-telephony-common.art
,frida)
[-]strstr
[+]strstr(71110000-7111e000 rw-p 00000000 103:11 1541                              /system/framework/arm64/boot-voip-common.art
,frida)
[-]strstr
[+]strstr(7111e000-71133000 rw-p 00000000 103:11 1532                              /system/framework/arm64/boot-ims-common.art
,frida)
[-]strstr
[+]strstr(71133000-71136000 rw-p 00000000 103:11 1514                              /system/framework/arm64/boot-android.test.base.art

那么我们依然使用上面maps文件中的方法 - 伪造maps文件