frida注入的主要思路:
1.找到目标进程,使用ptrace跟踪目标进程
2.获取mmap,dlpoen,dlsym等函数库的偏移
3.获取mmap,在目标进程申请一段内存空间,将在目标进程中找到存放(frida-agent-32/64.so),在此内存空间启动执行各种操作由agent去实现。
补充:
frida注入之后会在远端进程分配一段内存将agent拷贝过去并在目标进程中执行代码,执行完成后会 detach 目标进程
这也是为什么在 frida 先连接上目标进程后还可以用gdb/ida等调试器连接,而先gdb连接进程后 frida 就无法再次连上的原因(frida在注入时只会ptrace一下下注入完毕后就会结束ptrace所以ptrace占坑这种反调试使用spawn方式启动即可)。
frida-agent 的作用
frida-agent 注入到目标进程并启动后会启动一个新进程与 host 进行通信,从而 host 可以给目标进行发送命令,比如执行代码,激活/关闭 hook,同时也能接收到目标进程的执行返回以及异步事件信息等。
不管是Davilk 还是art模式,hook的基本原理和Xposed是类似的:** 将java 函数变成 native 函数**
检测办法:
- 遍历在运行的进程列表而检查fridaserver是否在运行
- 检测端口27047是否在监听中
- fridaserver通过D-Bus协议通信,我们就可以向每个开放的端口发送D-Bus AUTH消息,如果正常回复说明有frida程序再跑
- /proc/self/maps 检查加载的库中有没有frida的痕迹(比如frida-agent-32/64.so)
- 遍历/proc/self/maps里的内存mappings找到所有可执行段中的关键字符串(FRIDA等)
- 检测关键JAVA函数是否变成了native函数,变了说明正在被hook