一、目标
frida越来越流行,针对他的检测也越来越多了,什么特征串检测,TracerPid检测,双进程保护。搞的我们茶饭不思,啤酒都不香了。
今天的目标是数字壳的调试,双进程保护。
二、步骤
侦测下火力
-f spawn模式启动App, 提示:
frida -U -f com.asiainfo.app -l test.js --no-pause
Process crashed: Illegal instruction
卒......
先启动App,再attach上去,提示
frida -U -l test.js com.asiainfo.app
Failed to spawn: ambiguous name; it matches: com.asiainfo.app (pid: 18486), com.asiainfo.app (pid: 18632)
搞事情呢,一个App启动两个进程干嘛?
不怕,我们有雕牌超白。
frida -U -l test.js -p 18486
Attaching...
Failed to attach: unable to access process with pid 18632 due to system restrictions; try `sudo sysctl kernel.yama.ptrace_scope=0`, or run Frida as root
歇了,为啥指定了进程id还是挂不上?
cat /proc/18486/status | grep TracerPid
TracerPid: 18634
原来 18486 已经被子进程 18634 给挂上了,后来的frida就挂不上了。
咋办。
原贴 https://bbs.pediy.com/thread-263701.htm 提供了一个方案,大家可以尝试下。
XcubeBase
https://github.com/svengong/xcubebase 提供了基于Xposed的frida脚本持久化方案。简单的说可以脱离pc,直接类似跑Xposed插件一样来跑Frida脚本。
但是无意中(也许是有意的)提供了反反调试的能力。
. 安装Xcubebase.apk, 从Xposed中启用该程序,然后重启。
. 启动Xcubebase, 点击初始化按钮,需要赋予su权限
. 在 /data/local/tmp/xcube/xcube.yaml 文件中,增加一行 com.asiainfo.app: /data/local/tmp/test.js . 把脚本塞进去 adb push test.js /data/local/tmp
TIP: test.js就是简单hook一下 StringBuilder.toString
跑起来,从哪看结果呀?
// js里打印的时候增加一个 TAG
let TAG = "ffasiainfo: ";
console.log(TAG+" start 01");
// 然后adb 看log
adb logcat | grep ffasiainfo
06-23 09:36:09.201 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: zh-Hans-CN
06-23 09:36:09.203 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: (W)-TbsCommonConfig-TBS:TbsCommonConfig constructing...
06-23 09:36:09.205 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: /storage/emulated/0/
06-23 09:36:09.206 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: zh-Hans-CN
06-23 09:36:09.206 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: /storage/emulated/0/tencent/tbs/com.asiainfo.app
06-23 09:36:09.207 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: (E)-TbsCommonConfig-TBS:Config file is null, default values will be applied
06-23 09:36:09.208 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: android.content.res.ResourcesKey#mResDir
06-23 09:36:09.208 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: android.app.ActivityThread#mBoundApplication
06-23 09:36:09.209 28745 28786 D Xcube_gumjshook: [*] log : ffasiainfo: android.app.ActivityThread$AppBindData#appInfo
......
木问题,结果出来了。
目前唯一的缺点就是:脚本更新之后,功能不会动态更新,需要把App杀掉重启下App。 最好是从 设置->应用 里面去杀进程。
三、总结
挂万漏一,攻防都有自己的优势,找到一个被忽略的点,金身就破了。
云在青天水在瓶
TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。
关注微信公众号: 奋飞安全,最新技术干货实时推送