某企业版加固app绕过hook_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
专业百科: ISO百科 专利知识 商标知识 版权知识
热销知产: 实用专利Hot! 发明专利 软著申报Hot! 商标申请
热销企服: AAA认证Hot! ISO认证Hot! ICP许可证Hot! EDI许可证
网络服务: 网站建设 渗透测试Hot! 代码审计Hot! 软文营销Hot!
企业服务导航
当前位置:主页 > 渗透测试 快速链接:政策解读 | 公司新闻 | 行业动态 | 常见问题 | 技术文章 | 资质百科 | 资质认证 | 电商运营 | 常用文档

信息中心Infomation Center

政策解读
公司新闻
行业动态
常见问题
技术文章
资质百科
资质认证
员工提升
深圳企服
香港企服
商标知产
专利知识
创业百科

某企业版加固app绕过hook

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370

某企业版加固app绕过hook

文章转自先知社区:https://xz.aliyun.com/t/13220 作者:0x0101 1、环境及背景 pixel 2 某app (***企业版加固) frida 15.1.28 2、hook绕过 启用frida并更改端口没有发现检测行为但是直接hook会闪退 打印so 调用堆栈 function hook_pthread(){ var pthread_create_addr = Module.findExportByName(null, 'pthread_create var pthread_create = new NativeFunction(pthread_create_addr, "int", ["pointer", "pointer", "pointer", "pointer"]); Interceptor.replace(pthread_create_addr, new NativeCallback(function (parg0, parg1, parg2, parg3) { var so_name = Process.findModuleByAddress(parg2).name; var so_path = Process.findModuleByAddress(parg2).path; var so_base = Module.getBaseAddress(so_name); var offset = parg2 - so_base; var PC = 0; if ((so_name.indexOf("libexec.so") > -1)) { console.log("find thread func offset", so_name, offset); } else { PC = pthread_create(parg0, parg1, parg2, parg3); } return PC; }, "int", ["pointer", "pointer", "pointer", "pointer"]))}hook_pthread(); 找到了libexec.so开启pthread_create的偏移量,对其进行bypass,即 function hook_pthread() { var pthread_create_addr = Module.findExportByName(null, 'pthread_create'); var pthread_create = new NativeFunction(pthread_create_addr, "int", ["pointer", "pointer", "pointer", "pointer"]); Interceptor.replace(pthread_create_addr, new NativeCallback(function (parg0, parg1, parg2, parg3) { var so_name = Process.findModuleByAddress(parg2).name; var so_path = Process.findModuleByAddress(parg2).path; var so_base = Module.getBaseAddress(so_name); var offset = parg2 - so_base; var PC = 0; if ((so_name.indexOf("libexec.so") > -1)) { console.log("find thread func offset", so_name, offset); if ((207076 === offset)) { console.log("anti bypass"); } else if (207308 === offset) { console.log("anti bypass"); } else if (283820 === offset) { console.log("anti bypass"); } else if (286488 === offset) { console.log("anti bypass"); } else if (292416 === offset) { console.log("anti bypass"); } else if (78136 === offset) { console.log("anti bypass"); } else if (293768 === offset) { console.log("anti bypass"); } else { PC = pthread_create(parg0, parg1, parg2, parg3); } } else { PC = pthread_create(parg0, parg1, parg2, parg3); } return PC; }, "int", ["pointer", "pointer", "pointer", "pointer"]))}hook_pthread(); 已经对其进行绕过frida的检测。 3、class的遍历和hook 绕过frida的检测之后,开始对其加载的class以及class中的函数进行遍历 Java.enumerateLoadedClasses({ onMatch: function(className) { console.log("found class >> " + className); //遍历类中所有的方法和属性 var jClass = Java.use(className); console.log(JSON.stringify({ _name: className, _methods: Object.getOwnPropertyNames(jClass.__proto__).filter(function(m) { return !m.startsWith(' ) // filter out Frida related special properties || m == 'class' || m == 'constructor' // optional }), _fields: jClass.class.getFields().map(function(f) { return f.toString() }) }, null, 2)); //遍历类中所有的方法和属性 }, onComplete: function() { console.log("[*] class enuemration complete"); } }); class和函数大部分已经被遍历出来了,但是由于是加固的,部分函数并没有被加载出来(意料之中),利用常规的框架尝试去执行 //框架为if(Java.available) { Java.perform(function(){ var application = Java.use("android.app.Application"); application.attach.overload('android.content.Context').implementation = function(context) { var result = this.attach(context); // 先执行原来的attach方法 var classloader = context.getClassLoader(); // 获取classloader Java.classFactory.loader = classloader; var Hook_class = Java.classFactory.use("com.xxx.xxx"); // app的类 console.log("Hook_class: " + Hook_class); // 下面代码和写正常的hook一样 Hook_class.函数.implementation = function() // 有参数填参数{ } return result; } });} 发现会执行不成功,说明加固后的app没有用常规的classloader去加载函数。因此需要去遍历在加载app的时候,是哪些classloader被加载 1、可以通过重加载指定classloader去使得脱壳后的源码能在内存中被找到 2、可以一次性重加载所有调用的classloader去执行 //获取加固的classloader并hook函数Java.enumerateClassLoaders({ onMatch: function(loader){ // 每次匹配到,都要把匹配到的赋值给java默认的loader Java.classFactory.loader = loader; var TryClass; // console.log(loader); // 输出被加载的classloader // 没报错就hook到了,报错了就hook下一个,如果全都报错了,没打印东西,那可能就是hook错了。 try{ // 每一次加载尝试是否可以找到想要的class TryClass = Java.use("cn.xxx"); // 需要被加载之后查询的类 TryClass.xx.implementation = function(p1,p2){ // 类的函数 console.log('p1:'+p1) console.log('p2:'+p2) return this.xx(p1,p2) } }catch(error){ if(error.message.includes("ClassNotFoundException")){ console.log(" You are trying to load encrypted class, trying next loader"); } else{ console.log(error.message); } } }, onComplete: function(){ }}) 用2的方法被加载成功。 4、最后 最终成功实现在***企业版中去hook数据,当然这需要成功的脱壳之后查看原app存在哪些函数才行。依靠遍历出来的class 文章来源:先知社区 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

某企业版加固app绕过hook

代写全部资料 成功率全网领先 不成功免费重报 一直到干到过 承诺保障 精品服务 限时秒杀中……