Frida 是否具有支持跟踪内存修改的功能？

发布于 2025-01-13 08:48:07 字数 328 浏览 3 评论 0原文

我在 iOS 上使用 frida 的 javascript 绑定，我想跟踪线程所做的所有内存修改。我的意思不是在特定位置，例如内存访问监视器通常使用的位置。我有一个使用 dispach_once 和 pthread_once 的线程，我希望也跟踪这些线程的所有修改。我所说的修改是指对堆或代码页中内存的任何写入，而不是读取代码页、写入寄存器或任何此类操作。只是对内存进行显式更改，我假设它是静态 C 变量或结构。非常感谢任何帮助，谢谢。旁注：该应用程序具有针对 lldb 的防御措施以及针对 frida-stalker 的一些防御措施:( 所以我不知道什么会起作用...我也不介意切换到 C 而不是 js，但我需要在 iOS a12+ 上工作

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

小嗷兮 2025-01-20 08:48:07

您可以使用内存权限并根据您的需要构建一些东西

Intercept &通过使用 mprotect 删除权限来记录谁读/写 x2。

Process.setExceptionHandler(exp => {
  console.warn(JSON.stringify(Object.assign(exp, { _lr: DebugSymbol.fromAddress(exp.context.lr), _pc: DebugSymbol.fromAddress(exp.context.pc) }), null, 2));
  Memory.protect(exp.memory.address, Process.pointerSize, 'rw-');
  return true; // goto PC 
});

Interceptor.attach(funcPtr, {
  onEnter(args) {
    console.log('onEnter', JSON.stringify({
      x2: this.context.x2,
      mprotect_ret: Memory.protect(this.context.x2, 2, '---'),
      errno: this.errno
    }, null, 2));
  }
});

You can play with memory permissions and build something for your needs

Intercept & log who read/write to x2 via removing permissions w/ mprotect.

Process.setExceptionHandler(exp => {
  console.warn(JSON.stringify(Object.assign(exp, { _lr: DebugSymbol.fromAddress(exp.context.lr), _pc: DebugSymbol.fromAddress(exp.context.pc) }), null, 2));
  Memory.protect(exp.memory.address, Process.pointerSize, 'rw-');
  return true; // goto PC 
});

Interceptor.attach(funcPtr, {
  onEnter(args) {
    console.log('onEnter', JSON.stringify({
      x2: this.context.x2,
      mprotect_ret: Memory.protect(this.context.x2, 2, '---'),
      errno: this.errno
    }, null, 2));
  }
});

回复收藏 0 原文

~没有更多了~