某企业壳frida检测另辟蹊径的绕过

admin 2025年3月14日12:40:26评论17 views字数 682阅读2分16秒阅读模式
某企业壳frida检测另辟蹊径的绕过

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢

某企业壳frida检测另辟蹊径的绕过

在看雪刷到师傅的文章,

某企业壳frida检测绕过尝试 https://bbs.kanxue.com/thread-285932.htm

https://bbs.kanxue.com/thread-285964.htm

觉得这个思路不错。

某企业版最新版存在frida检测,并针对上一个版本的绕过方式pthread_create置空,进行了hook检测。

基本原理是frida在hook某个函数后,会修改该类似函数名称的字符串,这样才能在程序调用的时候跳转到frida 添加hook函数的地方。

某企业版就检测了这个特征,避免pthread_create被hook。

后续的解决思路是找到这个检测点,然后通过inlinehook,犹如手术刀般给它去掉。

不过上面文章有了别的解法,比如pthread_create的原理其实是调用了C的基础函数clone,并利用clone来创建进程。

而clone函数并不存在特征检测,那么直接hook clone函数,然后把检测的frida的线程hook掉不就行了?

得到的经验,在针对一个函数存在hook特征检测的时候,可以去寻找其生命周期中会调用的其他函数,从而绕过特征检测,达到目的。就像第二代加固的脱壳点一样。

不过,这个修复也很简单,多增加一个校验就是了。到后面,还是需要寻找检测点,给他hook掉。

原文始发于微信公众号(进击的HACK):某企业壳frida检测另辟蹊径的绕过

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月14日12:40:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某企业壳frida检测另辟蹊径的绕过https://cn-sec.com/archives/3838356.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息