双进程反调试案例

[CreditTone]

遇到一个app孵化了一个子进程，然后子进程又对父进程进行了trace。导致frida无法附加上去。

第一步：直接输入进程名发现，有两个相同的进程。（失败）
Enter the need to attach package.
: com.gome.eshopnew
It's com.gome.eshopnew that you have attached app.
Traceback (most recent call last):
File "hooker.py", line 93, in attach
online_session = rdev.attach(target)
File "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/frida/core.py", line 26, in wrapper
return f(*args, **kwargs)
File "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/frida/core.py", line 156, in attach
return Session(self._impl.attach(self._pid_of(target)))
File "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/frida/core.py", line 180, in _pid_of
return self.get_process(target).pid
File "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/frida/core.py", line 26, in wrapper
return f(*args, **kwargs)
File "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/frida/core.py", line 110, in get_process
raise _frida.ProcessNotFoundError("ambiguous name; it matches: %s" % ", ".join(["%s (pid: %d)" % (process.name, process.pid) for process in matching]))
frida.ProcessNotFoundError: ambiguous name; it matches: com.gome.eshopnew (pid: 7661), com.gome.eshopnew (pid: 7743)

第二步：尝试通过进程号attach（失败）
Enter the need to attach package.
: 7661
It's 7661 that you have attached app.
Traceback (most recent call last):
File "hooker.py", line 91, in attach
online_session = frida.core.Session(rdev._impl.attach(pid))
frida.PermissionDeniedError: unable to access process with pid 7661 due to system restrictions; try sudo sysctl kernel.yama.ptrace_scope=0, or run Frida as root

思考：仔细一想可能主进程已经被traceing了........

第三步：验证猜想
~/hooker/com.gome.eshopnew$ adb shell
1|oxygen: su
1|oxygen: cat /proc/7661/status
Name: m.gome.eshopnew
State: S (sleeping)
Tgid: 7661
Pid: 7661
PPid: 744
TracerPid: 7743
Uid: 10122 10122 10122 10122
Gid: 10122 10122 10122 10122
Ngid: 0
FDSize: 256
Groups: 3001 3002 3003 9997 50122
VmPeak: 2304804 kB
VmSize: 2253688 kB

TracerPid果然是非0。这种情况需要想办法把孵化的那个子进程干掉，或者找到做ptrace的那个so硬改nop重打包安装。其他暂时没想到

[crylg]

mark.
持续关注
试了下直接杀子进程,主进程也被干掉了.

[crylg]

很奇怪,我的表现情况不一样
2746 真快乐 com.gome.eshopnew

1|root@x86:/ # cat /proc/2746/status
Name: e.eshopnew:gome
TracerPid: 0
State: S (sleeping)
Tgid: 2746
Ngid: 0
Pid: 2746
PPid: 1696
Uid: 10045 10045 10045 10045
Gid: 10045 10045 10045 10045
FDSize: 256
Groups: 3001 3002 3003 9997 50045
VmPeak: 1956020 kB
VmSize: 1956020 kB
VmLck: 0 kB
VmPin: 0 kB
VmHWM: 216612 kB
VmRSS: 148120 kB
VmData: 449696 kB
VmStk: 8196 kB
VmExe: 16 kB
VmLib: 108096 kB
VmPTE: 484 kB
VmPMD: 0 kB
VmSwap: 0 kB
Threads: 25
SigQ: 0/16136
SigPnd: 0000000000000000
ShdPnd: 0000000000000000
SigBlk: 0000000000001204
SigIgn: 0000000000000004
SigCgt: 40000002000096f8
CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
CapBnd: 0000000000000000
Cpus_allowed: 3
Cpus_allowed_list: 0-1
voluntary_ctxt_switches: 421
nonvoluntary_ctxt_switches: 915

[crylg]

我这边TracerPid:0

[crylg]

抱歉,草率了,原来我的APP卡在了第一个界面.
没有执行后面的程序
我杀一次子进程,重启了模拟器,尽然 都 没办法 再正常打开这个app了

[unemployed-denizen]

好像有人之前写过解决方法，看这个：
http://91fans.com.cn/post/antifridaoper/

[oooodogecoin]

好像有人之前写过解决方法，看这个：

http://91fans.com.cn/post/antifridaoper/

感谢。不过，我认为最终极的解决方案是hook安卓framewokr层把他孵化的子进程拦截掉。使得永远也ptrace不了自己，这样frida原操作就可以继续进行。安卓孵化子进程的套路比较固定，比较好弄。

[junknet]

通杀方案:
编译内核，关掉内核写入保护，内存管理单元下子系统下直接映射成物理地址（主要为了修改sys_call_table所在页表写入权限）
写个内核模块劫持sys_call_table 里面的hook ptrace中断调用
(参考rootkit技术)

[shuai19980]

遇到一个应用程序启动了一个子进程，然后子进程又对父进程进行了。导致frida无法附加后续。

首次直接输入进程名发现，有两个相同的进程。（失败） 输入需要附加包。 : com.gome.eshopnew 您附加的应用程序是 com.gome.eshopnew。 回溯（最近一次调用）： 文件“hooker.py”，第 93 行，在附加 online_session = rdev.attach(target) 文件“/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site -packages/frida/core.py", line 26, in wrapper return f(*args, *kwargs) File "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/ frida/core.py”，第 156 行，在附加 返回 Session(self._impl.attach(self._pid_of(target))) 文件“/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/站点包/frida/core.py”，第 180 行， return self.get_process(target).pid File "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/frida/core.py", line 26, in wrapper return f( args, **kwargs) 文件 "/Library/Frameworks/Python.framework/Versions/3.8/lib/python3.8/site-packages/frida/core.py", line 110, in get_process raise _frida.ProcessNotFoundError("ambiguous name; 它匹配： %s" % ", ".join(["%s (pid: %d)" % (process.name, process.pid) for process in matching])) frida.ProcessNotFoundError: ambiguous name; 它匹配：com.gome.eshopnew (pid: 7661), com.gome.eshopnew (pid: 7743)

第二步：尝试通过程序号attach（失败） 输入需要附加的包。 : 7661 您附加的应用程序是 7661。 回溯（最近一次通话）： 文件“hooker.py”，第 91 行，在附加 online_session = frida.core.Session(rdev._impl.attach(pid)) frida.PermissionDeniedError：由于 pid 7661 无法访问进程系统限制；尝试sudo sysctl kernel.yama.ptrace_scope=0，或以 root 身份运行 Frida

思考：仔细一想可能主进程已经被追踪了......

第三步：猜验证想 ~/hooker/com.gome.eshopnew$ adb shell 1|oxygen: su 1|oxygen: cat /proc/7661/status Name: m.gome.eshopnew State: S (sleeping) Tgid: 7661 PID：7661 PPID：744 TracerPid：7743 发表于：10122 10122 10122 10122 GID：10122 10122 10122 10122 Ngid：0 FDSize：256个 群组：3001 3002 3003 9997 50122 VmPeak：2304804 KB VmSize：2253688 KB

TracerPid 果然是非0。这种情况需要想办法把创业的那个人子进程弄掉，或者找到做那个人的那个改版的那个所以硬p 重打包安装。

你怎么解决的这个问题啊

[oooodogecoin]

多进程防护
更为简单粗暴的方法：1. 首先通过ps找出孙子进程的pid，记为pid3；2. 查看/proc//task找出孙子进程所有的thread，通常是3个，并记录下他们的tid；3. 使用kill -19 将这些孙子线程挂起；4. gdb 主进程，顺利gcore 。

[pangff]

抱歉,草率了,原来我的APP卡在了第一个界面. 没有执行后面的程序 我杀一次子进程,重启了模拟器,尽然 都 没办法 再正常打开这个app了

问题解决了吗