NOW
欢迎来到我的博客
访问文档中心获取更多帮助
Frida学习笔记(十八):反调试与反检测对抗(下)· 招商银行三套 SDK 实战
Frida学习笔记(十八):反调试与反检测对抗(下)· 招商银行三套 SDK 实战
上篇(第 17 篇)的网易云音乐易盾,最磨人的是「进程没死、agent 却被悄悄卸载」——它用 inline svc 绕过 libc 让你挂在 libc 上的 hook 集体失明、靠 SIGTRAP 自检照出插桩,还会直接 store 损坏 agent 内存、或在 MSA 构造期自爆。但它终究是反应式的:你不下钩,它未必动手。这篇换招商银行,台子更硬——它不止被动检测,还会主动反击:anti_thread 开机就起一条线程去干掉 frida 的 worker,dlopen wrapper 用 mprotect 废掉 agent。保护也不止一套,CmbShield、RootBeer、DEC 三套 SDK 并联,任意一套命中都弹窗。打法也从上篇的「nop / 静态补丁检测函数」升级到「环境伪装 / UI 兜底 / 粗暴 patch」之间的取舍。
Frida学习笔记(十七):反调试与反检测对抗(上)· 网易云音乐易盾实战
Frida学习笔记(十七):反调试与反检测对抗(上)· 网易云音乐易盾实战
这篇和第 18 篇是连着的。之前研究过网易云音乐的反调试,绕过还挺顺利——hook 上 serialdata、抓签名 I/O 没费多大劲;本周换了台手机重新开工,同一套招法却处处失灵,才逼出这篇硬核对抗。我拿网易云音乐 9.2.80 的网易易盾防护当样本,跨几十轮单变量实验:目标看着简单——稳定 hook 一个请求签名函数、让 Frida 会话在真机上活过两分钟;实际全部力气都耗在和五个安全库、一个被我一次次推翻又重建的「击杀模型」、以及一个跨 Android 版本会变脸的检测逻辑较劲上。最值钱的不是最后那条 recipe,而是中间一串被自己证伪掉的假设。第 18 篇换招商银行,那边是三套 SDK 并联 + 主动反击。
Frida学习笔记(十五):算法自吐 · Native 层 OpenSSL/BoringSSL Hook
Frida学习笔记(十五):算法自吐 · Native 层 OpenSSL/BoringSSL Hook
本篇目标:解决「Java 层算法自吐没有输出,但 App 确实在做加密」的问题。第14篇的 crypto_monitor.js 覆盖了 Java 标准加密 API,但有些 App 的加密操作完全在 Native 层——直接调用 OpenSSL/BoringSSL 的 C 函数,或者自己用 C 实现加密算法。本篇教你在 Native 层建立同等的「算法自吐」能力:覆盖 EVP 高级 API 和 AES\_/RSA\_/MD5\_\* 低级 API 两套路径,识别自研算法的特征,最终交付一个 native_crypto_monitor.js 拿到密钥和明文。
Frida学习笔记(十四):算法自吐 · 一个脚本监控所有加密
Frida学习笔记(十四):算法自吐 · 一个脚本监控所有加密
本篇目标:构建一个「加密操作全自动监控系统」。第12-13篇分别讲了 Cipher、MessageDigest、Mac、Signature 的 Hook 方法——但在实际逆向中,你面对一个陌生 App 时不知道它用了哪些加密、在什么时机调用、密钥从哪来。一个个试效率太低。本篇的方案是:加载一个脚本,操作 App,所有加密操作自动"吐"出来——算法名称、密钥、IV、输入、输出、调用栈,一目了然。
Frida学习笔记(十三):加密算法还原(下)· 哈希、HMAC、国密
Frida学习笔记(十三):加密算法还原(下)· 哈希、HMAC、国密
本篇目标:补全加密分析的另一半拼图。第12篇覆盖了对称/非对称加密(Cipher),本篇覆盖哈希运算(MessageDigest)、消息认证码(Mac/HMAC)、数字签名(Signature)和国密算法。在实际逆向中,HMAC 签名在 API 防篡改场景中出现的频率甚至比 AES 加密还高——很多 App 的每一个网络请求都携带 HMAC 签名。
Frida学习笔记(十一):Android 系统级 Hook
Frida学习笔记(十一):Android 系统级 Hook
本篇目标:学会 Hook Android Framework 层的核心组件,建立对 App 行为的「上帝视角」。前面几篇聚焦于加密、网络、检测绕过等特定目标——你总是先知道要 Hook 什么,再去写脚本。但在面对一个完全陌生的 App 时,你往往不知道从哪里下手。本篇教你通过 Hook Android 系统级 API——Activity 生命周期、Intent 传递、SharedPreferences 读写、ContentProvider 查询、WebView 交互——来快速绘制 App 的行为全景图:它有哪些页面、页面之间传了什么数据、本地存了什么配置、WebView 里加载了什么 URL。
Frida学习笔记(十):gRPC、Protobuf 协议逆向
Frida学习笔记(十):gRPC、Protobuf 协议逆向
本篇目标:越来越多的 App 从传统的 RESTful JSON API 迁移到 gRPC + Protobuf——在 Charles 中 JSON 一目了然,但 Protobuf 编码的数据只是一堆二进制。本篇从 Protobuf 的编码原理与流量识别讲起,覆盖**离线解码、.proto 还原、Frida 动态 Hook 三套方案**(包括 gRPC 框架层 + Protobuf 序列化层 + Native 层),再到常见对抗手段的绕过,最后给出方案选择速查表与日常逆向 Cheat Sheet。
Frida学习笔记(九):r0capture 源码精读 · 不靠代理的抓包是怎么实现的
Frida学习笔记(九):r0capture 源码精读 · 不靠代理的抓包是怎么实现的
本篇是一次源码级精读。我们把 r0ysue/r0capture 这个不到 30 KB 的项目从头读到尾——它是中文 Android 安全圈最常被使用的 Frida 抓包工具,几乎能干掉所有"代理抓不到"的场景。读懂它,你既能立刻拿来用,也能改它扩展它,并且把 Java 层 Hook、Native 层 Hook、socket fd 还原、pcap 文件结构这些技术一次性串起来。