- 关注
双进程保护的介绍
双进程保护的实现源码:https://github.com/F8LEFT/AndroidAntiDebugger
双进程保护的作用
采用双进程的方式,对父进程进行保护,基于信号的发送和接收,实现相互的保护防止被动态攻击。
简单的双进程保护就是从原进程再fork一个空进程出来,让逆向分析的时候附加到空进程中导致hook不上
双进程进程保护主要功能:
1、保护父进程,ptrace所有线程,防止被附加、调试、暂停;
2、保护子进程,防止被暂停、异常退出;
frida的两种启动方式:
spawn模式:frida 重新打开一个进程
frida -U -f 包名 -l js路径 --no-pause
attach模式: 附加在当前打开的进程
frida -U -l js路径 --no-pause
双进程的表现
如果app存在双进程保护,那么我们启动objection就可能出现卡死、闪退等问题。
比如,
最直观:
解决办法
一般双进程保护,先把app关掉直接用spawn模式就能附加上。
或者我们也可以尝试修改objection源码来绕过双进程保护。
windows中
找到objection的源码文件,我本地的文件默认路径是C:\Users\Administrator\AppData\Local\Programs\Python\Python39\Lib\site-packages\objection\utils\agent.py
然后修改 inject 函数
if not self.resumed:
debug_print('Resuming PID `{pid}`'.format(pid=self.spawned_pid))
# 多进程的 app 正在 resume 的时候,必须先 sleep 等待一下,否则会让 app 卡死
# resume 成功以后,要让 self.resumed = True,否则后面 import 命令的时候会报错
self.device.resume(self.spawned_pid)
time.sleep(1)
self.resumed = True
之后在使用 objection -g appName explore就不会出问题了。
kali中
kali中我采用pyenv管理python版本,首先需要切换到要修改的python版本,然后在修改objection的源码
查看当前python的site-packages的路径可以使用如下命令查看
python -c "import site;print(site.getsitepackages())"
拼接路径如下:
/root/.pyenv/versions/3.9.0/lib/python3.9/site-packages/objection/utils/agent.py
修改的内容和Windows中一致, import time 然后修改下面代码
if not self.resumed:
debug_print('Resuming PID `{pid}`'.format(pid=self.spawned_pid))
# 多进程的 app 正在 resume 的时候,必须先 sleep 等待一下,否则会让 app 卡死
# resume 成功以后,要让 self.resumed = True,否则后面 import 命令的时候会报错
self.device.resume(self.spawned_pid)
time.sleep(1)
self.resumed = True
参考链接
https://blog.csdn.net/weixin_43843628/article/details/121406847
https://blog.csdn.net/weixin_42453905/article/details/109395414