Frida特征检测

frida检测与防护

端口检测

检测 frida-server 默认端口 27042 是否开放。

bool detectByDefaultPort(){
    struct sockaddr_in sa;
    int sock = socket(AF_INET , SOCK_STREAM , 0);
    memset(&sa, 0, sizeof(sa));
    sa.sin_family = AF_INET;
    sa.sin_port = htons(27047);
    inet_aton("127.0.0.1", &(sa.sin_addr));
    if (connect(sock , (struct sockaddr*)&sa , sizeof sa) != -1) {
        LOGD("%s => Found frida-server: running on default port", TAG);
        return true;
    }
    return false;
}

进程名检测

遍历运行的进程列表(/proc目录下)，检测进程名是否包含 “frida-server” 。

bool detectByProcessName(){
    std::vector<std::string> pids;
    std::string target_name = "frida";
    DIR* proc_dir = opendir("/proc");
    std::string current_pid = std::to_string(getpid());//当前进程pid
    //获取所有进程id
    if (proc_dir != nullptr){
        struct dirent* entry;
        while((entry = readdir(proc_dir)) != nullptr){
            // 文件是否是目录
            if (entry->d_type == DT_DIR){
                std::string dir_name(entry->d_name);
                //如果目录名是数字,则为进程文件，还需要排除当前进程，因为当前进程的应用名为FridaDetector,包含目标字符串
                if (std::all_of(dir_name.begin(), dir_name.end(), ::isdigit) && dir_name != current_pid) {
                    pids.push_back(dir_name);
                }
            }
        }
        closedir(proc_dir);
    }
    //判断进程名是否包含frida字样
    for (int i = 0; i < pids.size(); i++) {
        //创建输入文件流对象, 用于读取数据
        std::string comm_path = "/proc/" + pids[i] + "/comm";
        std::ifstream comm_file(comm_path);
        if (comm_file.is_open()) {//是否成功打开对应文件
            std::string process_name;
            std::getline(comm_file, process_name);//读一行
            comm_file.close();
            //LOGD("%s => %s: pid is %s", TAG, process_name.c_str(), pids[i].c_str());
            if (process_name.find(target_name) != std::string::npos) {
                LOGD("%s => Found frida-server: pid is %s", TAG, pids[i].c_str());
                return true;
            }
        }
    }
    return false;
}

双进程守护

应用程序可通过开启双进程守护，即让子进程附加父进程，从而使得 frida 不能 attach 目标进程，但 frida 可通过 spawn 方式启动，从而让子进程无法附加到父进程（那如果子进程附加不上父进程，导致整个应用进程关闭呢？）。

D-Bus 协议通信

frida 使用 D-Bus 协议通信，这个通信协议并不常见，因此可以遍历 /proc/net/tcp 文件，或者直接从 0-65535 向每个开放的端口发送 D-Bus 认证消息，哪个端口回复了 REJECT，哪个端口上就运行了 frida-server。（为啥一样的代码，而我的却没有回复消息？？）

bool detectByDBus(){
    int sock;
    struct sockaddr_in sa;
    char res[7];
    //初始化 sockaddr_in 结构体
    memset(&sa, 0, sizeof(sa));
    sa.sin_family = AF_INET;//AF_INET表示使用 IPv4 地址
    inet_aton("127.0.0.1", &sa.sin_addr);//将 IP 地址字符串 "127.0.0.1" 转换为网络字节序的二进制形式, 并将其存储在 sa.sin_addr 中
    //遍历端口，发送d-bus认证消息，回复了REJECT的端口就是frida-server
    for (int i = 0; i <= 65535; ++i) {
        sock = socket(AF_INET, SOCK_STREAM, 0);
        sa.sin_port = htons(i);//设置端口号， htons(i) 将主机字节序转换为网络字节序
        //尝试使用 connect 函数连接到指定的 IP 地址和端口号
        if (connect(sock, (struct sockaddr*)(&sa), sizeof sa) != -1){
            LOGD("%s => Connect on port %d", TAG, i);
            memset(res, 0, 7);
            //发送 d-bus 认证消息
            send(sock, "\x00", 1, NULL);
            send(sock, "AUTH\r\n", 6, NULL);
            usleep(1000); // Give it some time to answer
            LOGD("%s => send Message on port %d", TAG, i);
            //接收数据到res中
            //接收不到消息！！！？？？
            if (recv(sock, res, 6, MSG_DONTWAIT) != -1){
                LOGD("%s => recv Message on port %d: %s", TAG, i, res);
                if (strcmp(res, "REJECT") == 0){
                    LOGD("%s => Found frida-server: running on port %d", TAG, i);
                    close(sock);
                    return true;
                }
            }else{
                LOGD("%s => can't recv Message on port %d", TAG, i);
            }
            close(sock);
        }
    }
    return false;
}

扫描 maps 文件

被 frida 附加的进程，在 proc/self/maps 文件中会多出如下文件（很奇怪为什么图中是 deleted ）：

因此通过扫描 maps 文件是否存在“frida”字样可以判断进程是否被 frida 附加。

bool detectByMaps(){
    std::ifstream maps_file("/proc/self/maps");
    if (maps_file.is_open()) {
        std::string line;
        while (std::getline(maps_file, line)) {
            if (line.find("frida") != std::string::npos) {
                LOGD(" %s => Found Frida agent in current process by scanf /proc/self/maps", TAG);
                maps_file.close();
                return true;
            }
        }
        maps_file.close();
    }
    return false;
}

扫描 task 目录

在 /proc/pid/task 目录下存储的是当前进程下的线程相关信息，文件结构类似 /proc/pid 目录。如果 frida 附加到了当前进程，那么在 task 目录下，就会存在运行 gmain、gdbus、gum-js-loop、pool-frida等的线程。

• gmain：Frida 使用 Glib 库，其中的主事件循环被称为 GMainLoop。在 Frida 中，gmain 表示 GMainLoop 的线程。
• gdbus：GDBus 是 Glib 提供的一个用于 D-Bus 通信的库。在 Frida 中，gdbus 表示 GDBus 相关的线程。
• gum-js-loop：Gum 是 Frida 的运行时引擎，用于执行注入的 JavaScript 代码。gum-js-loop 表示 Gum 引擎执行 JavaScript 代码的线程。
• pool-frida：Frida 中的某些功能可能会使用线程池来处理任务，pool-frida 表示 Frida 中的线程池。

因此通过扫描 task 目录下的线程的 comm 文件或 status 文件，看是否存在上述字符。

bool detectByTask(){
    //获取当前线程的task目录
    DIR* task_dir = opendir("/proc/self/task");
    std::vector<std::string> pids;
    std::string current_pid = std::to_string(getpid());//当前进程pid
    if (task_dir != nullptr) {
        struct dirent* entry;
        while((entry = readdir(task_dir)) != nullptr){
            if (entry->d_type == DT_DIR){
                std::string dir_name(entry->d_name);
                //如果目录名是数字,则为进程目录
                if (std::all_of(dir_name.begin(), dir_name.end(), ::isdigit)) {
                    pids.push_back(dir_name);
                }
            }
        }
        closedir(task_dir);
    }
    for (int i = 0; i < pids.size(); i++) {
        std::string comm_path = "/proc/self/task/" + pids[i] + "/comm";
        std::ifstream comm_file(comm_path);
        //打开comm文件，查看进程名
        if (comm_file.is_open()) {
            std::string process_name;
            std::getline(comm_file, process_name);//读一行
            comm_file.close();
            if (process_name.find("gmain") != std::string::npos || process_name.find("gdbus") != std::string::npos
                || process_name.find("gum-js-loop") != std::string::npos || process_name.find("pool-frida") != std::string::npos) {
                LOGD("%s => Found Frida agent in current process by scanf /proc/self/task, process_name: %s", TAG, process_name.c_str());
                return true;
            }
        }
    }
    return false;
}

内存搜索

借助 /proc/self/maps 文件，在内存中扫描 frida 库特征，例如字符串 “LIBFRIDA”、“rpc”等。

bool detectByScanfMemory(){
    std::string target_name = "LIBFRIDA";//可指定多个特征字符串
    char permission[512];
    unsigned long start, end;
    std::ifstream maps_file("/proc/self/maps");
    if (maps_file.is_open()) {
        std::string line;
        while (std::getline(maps_file, line)) {
            sscanf(line.c_str(), "%lx-%lx %s", &start, &end, permission);
            //如果可执行
            if (permission[2] == 'x') {
                size_t region_size = end - start;
                char* buffer = new char[region_size];
                // 使用 /proc/self/mem 读取内存区域
                std::ifstream mem_file("/proc/self/mem", std::ios::binary);
                if (mem_file.is_open()) {
                    //从start ~ end的内存区域中搜索target_name字符串，如果存在则返回true
                    mem_file.seekg(start);
                    mem_file.read(buffer, region_size);
                    LOGD("%s => search memory: %lx - %lx", TAG, start, end);
                    // 在内存区域中搜索 target_name
                    if (std::search(buffer, buffer + region_size, target_name.begin(), target_name.end()) != buffer + region_size) {
                        delete[] buffer;
                        mem_file.close();
                        maps_file.close();
                        LOGD("%s => Found target string in memory: %s", TAG, target_name.c_str());
                        return true;
                    }
                    mem_file.close();
                }
                delete[] buffer;
            }
        }
        maps_file.close();
    }
    return false;
}

inlinehook检测

通过 IDA 分析被 frida 调试的进程（需先frida附加到进程再使用 IDA 调试），会发现被 hook 的函数的开头改成了一串16进制数，例如

我们可以通过检测每个函数的开头是否有0xd61f020058000050这样的一段代码来判断进程是否被frida 附加了。具体参考从inlinehook角度检测frida-Android安全-看雪-安全社区|安全招聘|kanxue.com。

自定义 syscall 防 hook

当然，以上检测方法中使用到的函数如果被 frida hook，显然就绕过了这些检测，因此对于最关键的函数，例如open、read函数等，需要自定义相应的 syscall，例如：

#include "bionic_asm.h"

.text
    .globl my_openat
    .type my_openat,function
my_openat:
    .cfi_startproc
    mov ip, r7
    .cfi_register r7, ip
    ldr r7, =__NR_openat
    swi #0
    mov r7, ip
    .cfi_restore r7
    cmn r0, #(4095 + 1)
    bxls lr
    neg r0, r0
    b __set_errno_internal
    .cfi_endproc
    .size my_openat, .-my_openat;

.text
    .globl my_read
    .type my_read,function
my_read:
    .cfi_startproc
    mov     ip, r7
    .cfi_register r7, ip
    ldr     r7, =__NR_read
    swi     #0
    mov     r7, ip
    .cfi_restore r7
    cmn     r0, #(MAX_ERRNO + 1)
    bxls    lr
    neg     r0, r0
    b       __set_errno_internal
    .cfi_endproc
    .size my_read, .-my_read;

具体使用可参考https://github.com/qtfreet00/AntiFrida和https://github.com/muellerberndt/frida-detection

总结

对于 frida 的检测点远远不止这些，想要深入了解就需要阅读 frida 源码。然而对于 frida 反检测，也需要阅读 frida 源码，修改掉其中的特征，从而达到反检测目的。

---

参考：

[翻译]多种特征检测 Frida-外文翻译-看雪-安全社区|安全招聘|kanxue.com

https://bbs.kanxue.com/thread-278145-1.htm

frida 检测 - 『移动安全区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

https://xxr0ss.github.io/post/frida_detection/

https://github.com/qtfreet00/AntiFrida

https://frida.re/slides/osdc-2015-the-engineering-behind-the-reverse-engineering.pdf

从inlinehook角度检测frida-Android安全-看雪-安全社区|安全招聘|kanxue.com