Frida进阶——libnesec.so反调试机制绕过

于 2025-07-10 13:41:52 发布
阅读量930 收藏 9
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 爬虫技术 # Frida技术介绍 文章标签: 安卓逆向 爬虫 反调试 frida
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w987333120/article/details/149248139

在安卓应用安全领域,libnesec.so 是一个常见的安全加固库,常用于防止应用被逆向分析和调试。本文将结合实战经验,利用 Frida 绕过 libnesec.so 的反调试检测。

一、Hook android_dlopen_ext

逆向的第一步是信息收集。我们需要准确地知道 libnesec.so 何时被加载到内存中,以便抓准时机采取行动。最直接有效的方法是 Hook android_dlopen_ext

通过 Hook 这个函数,我们可以在其 onEnter 和 onLeave 回调中监控所有被加载的动态库。

function hook_dlopen() {
    const targetLibrary = "libnesec.so";
    var baseAddress = null;

    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), {
        onEnter: function (args) {
            var libraryPath = args[0].readCString();
            if (libraryPath && libraryPath.includes(targetLibrary)) {
                console.log("[+] Loading " + targetLibrary + " from: " + libraryPath);
                this.isTargetLib = true;
            }
        },
        onLeave: function (retval) {
            if (this.isTargetLib) {
                console.log("[+] " + targetLibrary + " loaded, handle: " + retval);
                baseAddress = Module.findBaseAddress(targetLibrary);
                console.log("[+] Base address of " + targetLibrary + " is: " + baseAddress);
                // 在这里执行我们的核心绕过逻辑
                bypass_anti_debug(baseAddress);
                this.isTargetLib = false;
            }
        }
    });
}

二、Hook pthread_create

libnesec.so 的一个典型反调试策略是创建新的线程来执行检测任务。这样做的好处是检测逻辑不会阻塞应用主线程,同时也增加了逆向分析的难度。我们的核心任务就是找到这些“间谍”线程,并阻止它们执行。

pthread_create 是 Linux/Android 环境下创建线程的标准函数。通过 Hook 它可以捕获所有新线程的创建动作。其方法原型如下:

int pthread_create(pthread_t *thread, const pthread_attr_t *attr, void *(*start_routine)(void *), void *arg);

参数解释:

  • pthread_t *thread(新线程 ID)
  • pthread_attr_t *attr(线程属性,默认 NULL)
  • void *(*start_routine)(void *)(线程入口函数地址)
  • void *arg(传递给线程的参数)

该函数的第三个参数 start_routine 是线程的入口点函数地址,通过捕获第三个参数的值再结合so文件的基地址我们便能找出内存中对应的线程地址;其代码如下:

function bypass_anti_debug(baseAddress) {
  Interceptor.attach(Module.findExportByName("libc.so", "pthread_create"), {
    onEnter: function (args) {
      var thread_start_routine = args[2];
      var offset = thread_start_routine.sub(baseAddress);
      console.log("[*] New thread created with start routine at: " + thread_start_routine);
      console.log("    -> Offset from libnesec.so base: " + offset);
    },
    onLeave: function (retval) {}
  });
}


对目标 app 注入上述代码可以观察到 pthread_create 执行的内存地址与 libnesec.so 基地址的偏移量,如下图所示 0xa0d1c、0xa1ab4

一般情况下,反调试环境检测的线程只会拉起一次,所以我们需要构建一个空的 native 函数将偏移地址为 0xa0d1c 的函数替换换掉即可。如下代码所示:

function bypass_anti_debug(baseAddress) {
  Interceptor.attach(Module.findExportByName("libc.so", "pthread_create"), {
    onEnter: function (args) {
      var thread_start_routine = args[2];
      var offset = thread_start_routine.sub(baseAddress);
      console.log("[*] New thread created with start routine at: " + thread_start_routine);
      console.log("    -> Offset from libnesec.so base: " + offset);

      // 关键:检查是否是我们已知的反调试函数偏移
      // 这个偏移地址需要通过多次运行和观察来确定,例如 0xa05a8
      if (offset.toString() === "0xa0d1c") {
        console.warn("[!] Anti-debugging thread detected at offset: " + offset);
        // 替换它的入口点为一个空函数,让它什么都不做
        Interceptor.replace(thread_start_routine, new NativeCallback(function () {
          console.log("[+] Anti-debugging thread at " + offset + " neutralized.");
          return ptr(0); // 线程函数通常返回一个指针
        }, 'pointer', []));
      }
    },
    onLeave: function (retval) {}
  });
}

三、总结与完整代码

绕过 libnesec.so 的反调试是一个系统工程,需要将多种技术结合起来。核心思想是:

  1. 尽早注入:使用 frida -f 以 spawn 模式启动应用,确保我们的脚本在所有反调试逻辑执行前加载。
  2. 监控加载:通过 Hook android_dlopen_ext来捕获 libnesec.so 的加载时机。
  3. 定位核心:Hook pthread_create,通过分析反调试线程入口点的偏移地址,找到关键的反调试函数。
  4. 釜底抽薪:使用 Interceptor.replace 将反调试函数替换为空函数。

完整代码如下:

function hook_dlopen() {
    const targetLibrary = "libnesec.so";
    var baseAddress = null;

    Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"), {
        onEnter: function (args) {
            var libraryPath = args[0].readCString();
            if (libraryPath && libraryPath.includes(targetLibrary)) {
                console.log("[+] Loading " + targetLibrary + " from: " + libraryPath);
                this.isTargetLib = true;
            }
        },
        onLeave: function (retval) {
            if (this.isTargetLib) {
                console.log("[+] " + targetLibrary + " loaded, handle: " + retval);
                baseAddress = Module.findBaseAddress(targetLibrary);
                console.log("[+] Base address of " + targetLibrary + " is: " + baseAddress);
                // 在这里执行我们的核心绕过逻辑
                bypass_anti_debug(baseAddress);
                this.isTargetLib = false;
            }
        }
    });
}

function bypass_anti_debug(baseAddress) {
    Interceptor.attach(Module.findExportByName("libc.so", "pthread_create"), {
        onEnter: function (args) {
            var thread_start_routine = args[2];
            var offset = thread_start_routine.sub(baseAddress);
            console.log("[*] New thread created with start routine at: " + thread_start_routine);
            console.log("    -> Offset from libnesec.so base: " + offset);

            // 关键:检查是否是我们已知的反调试函数偏移
            // 这个偏移地址需要通过多次运行和观察来确定,例如 0xa05a8
            if (offset.toString() === "0xa0d1c") {
                console.warn("[!] Anti-debugging thread detected at offset: " + offset);
                // 替换它的入口点为一个空函数,让它什么都不做
                Interceptor.replace(thread_start_routine, new NativeCallback(function () {
                    console.log("[+] Anti-debugging thread at " + offset + " neutralized.");
                    return ptr(0); // 线程函数通常返回一个指针
                }, 'pointer', []));
            }
        },
        onLeave: function (retval) {}
    });
}

hook_dlopen()

通过以下命令使用即可:

frida -U -f com.example.app -l frida_bypass_nesec.js

frida加密参数通杀hook代码(免脱壳)
云霄IT的博客
06-20 4247
【代码】frida加密参数通杀hook代码(免脱壳)
frida反调试
qq_32445755的博客
05-19 1470
frida逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。一般来说,frida检测由如下几个方面:检测frida-server文件名检测27042默认端口双进程保护检测D-Bus检测/proc/pid/maps映射文件检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status。
学习笔记-Frida反调试思路和hook native
人饭子的博客
11-11 2506
用户代码 native hook Frida反调试与反反调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida反调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 反调试 17种的so反调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
Frida反调试
TF的博客
08-09 2953
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1.frida-server 重命名。
Frida反调试对抗系列(一)
A_fanyifan的博客
11-16 1134
Frida 是一个强大的动态分析和调试工具,广泛用于逆向工程、安全研究和应用程序的分析。Frida 允许开发者、渗透测试人员或研究人员在运行时注入 JavaScript 代码,动态地修改或监控应用程序的行为。由于其强大的功能,Frida 在防止反调试和检测应用程序中的使用场景中也变得非常重要。上面我们只是简述了一部分常见检测方式,当然frida毕竟作为一个开源项目 其被检测的点太多了,之后文章会更加关注于分篇章章节去写针对各厂商的frida检测的方案。
安卓逆向-加固后的APK包
Samsam的博客
02-04 2265
一些关于加固的基本认识 第三方加固/app公司自己加固 (一般在哪家应用市场上发布,就用哪家的加固方案(也可以选择不加固)) 加固方式(.dex加固、.so加固) 查看/确认加固: 不同厂商对APP的加固特征(可以先看lib,实在不知道可以拿so文件名到百度上搜搜看) 爱加密:libexec.so,libexecmain.so,ijiami.dat 梆梆: libsecexe.so,libsecmain.so , libDexHelper.so libSecShell.so 360:libprotectC
android frida检测绕过
热门推荐
PwnGuo的博客
06-08 1万+
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
frida绕过ssl pinning抓取https
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
01-20 6315
web端一般带入证书、https代理即可解决大部分需求,但是,有些app需要处理ssl pinning验证。frida处理ssl pin的步骤大体如下。当然,除了上述步骤,可能还需要:导入根证书,设置代理等。的版本号必须要一致,否则会提示错误。
frida过检测
qq_62204036的博客
07-11 1298
【代码】frida过检测。
frida检测
05-24
hluda版frida 抹掉frida特征 过检测必备 过frida检测
frida-server-14.2.18-android.zip
06-24
3. **爬虫工程师**:虽然通常不将Frida与网络爬虫直接关联,但在某些特定场景下,如爬取移动应用内的数据时,Frida可以用来绕过反爬策略,模拟用户交互,获取原本难以获取的信息。 标签中的"爬虫 frida hook ...
frida-server-14.2.18-android-arm64.xz
06-06
frida-server-14.2.18-android-arm64
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 2681
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
libexec.so反调试绕过
最新发布
05-04
好的,用户想绕过libexec.so反调试机制。首先,我需要回想一下之前提到的反调试方法。根据引用[1],libexec.so可能使用fopen和fgets读取/proc/self/status文件来检测调试状态,比如检查TracerPid字段。所以绕过...
Frida Hook 入门(5)| 绕过 Frida 检测与反调试技术
weixin_65409651的博客
01-07 1257
在 Android 和其他平台的安全研究中,Frida 是不可或缺的动态分析工具。然而,越来越多的应用会主动检测 Frida 的存在,甚至结合反调试技术(Anti-Debugging)来阻止逆向工程或分析。检测 Frida 服务器进程(如检测 Frida 插件注入的迹象(如 Hook 方法)。使用反调试技术绕过调试工具的附加。对于研究人员而言,学会绕过这些防护手段,能够更高效地进行分析。本篇博客将详细讲解这些检测技术的原理,并通过 Frida 实现绕过它们的实践。
so层检测frida绕过
Codeooo 博客
01-31 9354
我们思路是可以frida加载那个so, 然后打印出检测线程的偏移; 如果是在so层里开一个线程检测frida;然后干掉这个线程,完成!
frida反调试绕过
qq_53761850的博客
12-02 573
这个app是有壳的,防护大概率会是在so层,毕竟java层的反调试已经过时了,我们可以通过hook安卓系统的libdl.so中的android_dlopen_ext来定位问题出现在哪个so,定位到具体so再定位so里面的反调试线程,找出来反调试线程最终把反调试线程替换成空。普遍的就是:使用葫芦娃版本的frida、改frida_server的名称,修改frida_server的端口,文章中的frida_server均已满足以上条件,情况比较严峻。以上hook代码的作用用于定位反调试出现在哪个so文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值