一、frida介绍

简单来说，Frida是一个动态代码插桩框架。这意味着它能够在程序运行的时候，不改变原有程序代码的情况下，让你往里面添加自己的代码片段。这听起来可能有点像魔法，但实际上，它是通过一种叫做“HOOK”的技术实现的。Hook就像是在软件内部安装了一个小间谍，能够监听或修改特定部分的行为。

Frida特别灵活，因为它可以用Python来编写控制脚本，用JavaScript来编写注入到目标应用程序中的实际hook代码。这意味着，即使你不完全懂应用程序是怎么写的，只要懂得Python和一点点JavaScript，就能开始探索和修改它的行为。

举个例子，假设你想知道一个游戏是如何计算得分的，你可以用Frida来“挂钩”（hook）游戏中的计分函数，每当这个函数被调用时，Frida就会告诉你，并显示或修改传入的参数，比如让得分翻倍。

Frida不仅限于游戏，它还能用于安全研究、软件调试、性能监控等多种场景，支持Android、iOS、Windows等多个平台，是开发者和安全研究人员的强大助手。

二、frida检测

检测Frida注入通常涉及检查系统中与Frida相关的各种迹象，以下是几种常见的检测方法：

检查进程和线程：
早期的检测方法会检查是否有名为frida-server的进程运行，但这种方法在现代Android系统中已经不太有效，因为Frida可以更隐蔽地运行。

分析Maps文件：
Frida在注入过程中会在目标进程中加载其代理库（如frida-agent.so）。检查 /proc/[pid]/maps 文件可以发现这些额外加载的库，从而检测到Frida的存在。

扫描网络连接：
Frida使用D-Bus协议进行通信，可以通过遍历/proc/net/tcp或/proc/net/tcp6文件来查找与Frida服务器通信的端口，或者尝试向所有开放端口发送D-Bus认证消息，响应REJECT的端口可能表明存在Frida通信。

符号表分析：
对于Native代码，可以通过遍历目标进程的符号表来寻找Frida注入的线索，因为Frida注入可能会留下特定的函数签名或修改原有的函数地址。

检查临时文件和目录：
Frida在运行时可能会创建特定的目录（如/data/local/tmp/re.frida.server）或临时文件，检查这些位置可以发现Frida的活动痕迹。

Hook检测：
应用程序自身可以通过在关键函数前后设置陷阱（例如，在函数入口处设置断点或校验堆栈帧），来检测是否被Frida或其他工具进行了Hook操作。如果函数的执行流程或返回值不符合预期，可能是被Hook的迹象。

性能监控和异常检测：
异常的内存访问模式、CPU使用率突增或应用程序行为的其他异常变化，虽然不是直接证据，但也可能是Frida活动的间接指示。

代码完整性验证：
应用程序可以在启动时验证自身的代码完整性，对比当前运行代码与原始代码或校验和，以判断是否被篡改或注入了额外的代码。

三、Frida绕过

测试app我们选择bilibili，启动Frida server。

然后开始附加到我们的进程，脚本就开始奔溃了。

写一个脚本看看是哪个so在检测。

把so拖进ida看看pthread_create在哪，结果没有找到，那就是混淆了。

继续完善我们的脚本，找到pthread_create函数。

这下我们知道在加载libmsaoaidsec.so之后紧接这调用了2次pthread_create后Frida就奔溃了。那我们完全可以基于内存做一个替换。

function create_fake_pthread_create() {const fake_pthread_create = Memory.alloc(4096)Memory.protect(fake_pthread_create, 4096, "rwx")Memory.patchCode(fake_pthread_create, 4096, code => {const cw = new Arm64Writer(code, { pc: ptr(fake_pthread_create) })cw.putRet()})return fake_pthread_create
}

然后我们再运行一下frida。

完全没有问题了，可以愉快的玩耍了。