Android逆向-Frida Stalker

2023-09-28

字数统计: 1.4k字 | 阅读时长≈ 7分

Frida Stalker是一个代码跟踪工具，似乎很好用。

Android逆向-Frida Stalker

原理

Anatomy of a code tracer | by Ole André Vadla Ravnås | Medium

核心原理就是dynamic recompilation。

这个想法很简单。当线程即将执行其下一条指令时，您可以创建这些指令的副本，并将该副本与所需的日志记录代码交织在一起。因此，您可以保持原始指令不变，以保持反调试校验和逻辑满意，并改为执行副本。例如，在每条指令之前，您需要向日志处理程序放置一个 CALL，并为其提供有关即将执行的指令的详细信息。

API

Stalker | Frida • A world-class dynamic instrumentation toolkit

感觉写的太详细了，像个论文。说实话我希望能找到个单纯教我如何用API的Doc。

启动Stalker：Stalker.follow

Stalker.follow([threadId, options])
events: {
	call: true,	// call指令追踪
	ret: false,	// ret指令
	exec: false,	// 全部指令
	block:false	// 基本块
}

其对应的GUM C API则是：

1 2	gum_stalker_follow_me() gum_stalker_follow(thread_id)

获取线程ID

Process.enumerateThreadsSync函数可以遍历进程，获取线程ID和寄存器状态。

在Interceptor.attach函数中调用this.threadId也可以直接得到线程ID。

Interceptor.attach(my_func, {
    onEnter: (args) {
        Stalker.follow(this.threadId, {
            // ...
        });
        // ...
    },
    onLeave (retval) {
        Stalker.unfollow(this.threadId);
    }
})
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

    

## Doc

这是C API：[frida/frida-gum: Cross-platform instrumentation and introspection library written in C (github.com)](https://github.com/frida/frida-gum/tree/main)

主要还是直接使用Js API：[Stalker | Frida • A world-class dynamic instrumentation toolkit](https://frida.re/docs/stalker/)

## 入门视频

[Frida Stalker - Tracing binary instructions - YouTube](https://www.youtube.com/watch?v=BgICyi2H2CU)

用Stalker做了一个简单的trace，对Linux/Windows平台上的一个迫真解密程序进行了破解。

`crack_password.c`

```c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

char good_password[7] = { (char)0xce, (char)0xcd, (char)0xcc, 
(char)0xcb, (char)0xca, (char)0xc9, (char)0x00};

char* decrypt_password() {
    int i;
    for(i=0; i<6; i++){
        good_password[i] = good_password[i] ^ 0xff;
    }
    return good_password;
}

int main(int argc, char* argv[]) {
    if(argc != 2) {
        return -2;
    }
    if(strlen(argv[1]) != 6) {
        return -3;
    }
    if(0==strcmp(argv[1], decrypt_password())){
        puts("Correct!");
    } else {
        puts("Incorrect!");
        return -4;
    }
    return 1;
}

以及js脚本：

var mod = Process.getModuleByName("crack_password.exe");
console.log(mod);

// 0x14000157B
console.log(mod.base);
var main_addr = mod.base.add(0x157b)

function enumMoudle() {
    var enumMoudle = Process.enumerateModules();
    for (var i = 0; i < enumMoudle.length; i++){
        console.log("", enumMoudle[i].name)
    }
}

// enumMoudle();
function test_1() {
    Interceptor.attach(main_addr, {
        onEnter(args){
            Stalker.follow(this.threadId, {
                events:{
                    call:true,
                    ret:false,
                    exec:false,
                    block:false
                },
                onReceive: function(events){
                    // events
                    var calls = Stalker.parse(events, {
                        annotate: true,
                    });
                    // 遍历得到每个call
                    for(var i=0; i<calls.length; i++){
                        let call = calls[i];
                        console.log(call);
                    }
                },
                onCallSummary: function(summary){
                    // 
                    console.log(JSON.stringify(summary, null, 4));
                }
            })
        },
        onLeave(){
            Stalker.unfollow(this.threadId)
        }
    })
}

function test_2() {
    Interceptor.attach(main_addr, {
        onEnter(args){
            Stalker.follow(this.threadId, {
                events:{
                    call:false,
                    ret:false,
                    exec:true,
                    block:false
                },
                // transform是将基本块根据用户自定义的逻辑进行重编译（比如添加log函数）
                transform: function(iterator) {
                    let inst = iterator.next();
                    do {
                        if(inst.address >= mod.base && inst.address <= mod.base.add(mod.size)) {
                            // console.log(inst);
                            // if(inst.mnemonic == "jmp") {
                            if(ptr(inst.address).equals(mod.base.add(0x15C1))) {
                                console.log(`${inst.address} ${inst.mnemonic}`)
                                // iterator.putCallout(printJmp);
                                iterator.putCallout(print_password)
                            }

                            // }

                        }
                        iterator.keep();
                    } while((inst = iterator.next()) != null);
                }
            })
        },
        onLeave(){
            Stalker.unfollow(this.threadId)
        }
    })
}

function printJmp(context) {
    console.log(context.pc)
}

function print_password(context) {
    console.log(`password:${context.rax.readCString()}`)
}

test_2()

执行指令：

1	frida -l .\stalker_crack_password.js -f d:\Android\Stalker\crack_password.exe 123457

frida-stalker-example

import sys
import frida

def on_message(message, data):
	print "[%s] -> %s" % (message, data)

def main(target_process):
	session = frida.attach(target_process)
	script = session.create_script("""
function StalkerExeample() 
{
	var threadIds = [];

	Process.enumerateThreads({
		onMatch: function (thread) 
		{
			threadIds.push(thread.id);
			console.log("Thread ID: " + thread.id.toString());
		},

		onComplete: function () 
		{
			threadIds.forEach(function (threadId) 
				{
					Stalker.follow(threadId, 
					{
						events: {call: true},
					
					onReceive: function (events)
					{
						console.log("onReceive called.");
					},
					onCallSummary: function (summary)
					{
						console.log("onCallSummary called.");
					}
				});
			});
		}
	});
}

StalkerExeample();
""")
	script.on('message', on_message)
	script.load()
	raw_input('[!] Press <Enter> at any time to detach from instrumented program.\n\n')
	session.detach()

if __name__ == '__main__':
	if len(sys.argv) < 2:
		print 'Usage: %s <process name or PID>' % __file__
		sys.exit(1)

	try:
		target_process = int(sys.argv[1])
	except ValueError:
		target_process = sys.argv[1]

	main(target_process)

Sktrace

基于Stalker实现的，类似IDA trace的工具，用于统计寄存器变化和字符串生成等。

bmax121/sktrace (github.com)

[原创] sktrace：基于 Frida Stalker 的 trace 工具-Android安全-看雪-安全社区|安全招聘|kanxue.com

关于其中使用的测试样例ollvm9.apk：

[原创]浅尝ollvm轻度混淆后的加密算法分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

代码简单阅读

整个工具的核心点其实就这个：

void transform(GumStalkerIterator *iterator,
               GumStalkerOutput *output,
               gpointer user_data)
{
    cs_insn *insn;

    gpointer base = *(gpointer*)user_data;
    gpointer end = *(gpointer*)(user_data + sizeof(gpointer));
    
    while (gum_stalker_iterator_next(iterator, &insn))
    {
        gboolean in_target = (gpointer)insn->address >= base && (gpointer)insn->address < end;
        if(in_target)
        {
            log("%p\t%s\t%s", (gpointer)insn->address, insn->mnemonic, insn->op_str);
            gum_stalker_iterator_put_callout(iterator, on_arm64_before, (gpointer) insn->address, NULL);
        }
        gum_stalker_iterator_keep(iterator);
        if(in_target) 
        {
            gum_stalker_iterator_put_callout(iterator, on_arm64_after, (gpointer) insn->address, NULL);
        }
    }
}

中的

1	log("%p\t%s\t%s", (gpointer)insn->address, insn->mnemonic, insn->op_str);

其他都是用模板生成的代码，基本没用上。

这个函数的传入的第三个形参user_data是从Js端传入的，指定了两个指针，前后分别表示一个模块的起始地址和终止地址。

1
2
3

userData.writePointer(base)
const pointerSize = Process.pointerSize;
userData.add(pointerSize).writePointer(base.add(size))

最后放入transform模块中。

Stalker.follow(tid, {
    transform: arm64CM.transform,
    // onEvent: cm.process,
    data: userData /* user_data */
})

参考

[原创] sktrace：基于 Frida Stalker 的 trace 工具-Android安全-看雪-安全社区|安全招聘|kanxue.com

Stalker | Frida • A world-class dynamic instrumentation toolkit

Anatomy of a code tracer | by Ole André Vadla Ravnås | Medium

Advanced Frida - Frida HandBook (learnfrida.info)

(2) Frida Stalker - Tracing binary instructions - YouTube

Stalker | Frida • A world-class dynamic instrumentation toolkit

本文作者： Taardis
本文链接： https://taardisaa.github.io/2023/09/28/Android逆向-Frida-Stalker/
版权声明： 本博客所有文章除特别声明外，均采用 Apache License 2.0 许可协议。转载请注明出处！