小菜花的frida-gadget持久化方案汇总

看到frida-gadget持久化的话题依旧在讨论，遂想记录下自己实践过的方案，鸽了好多次的新一次发文，不当之处大手子请轻喷

今天咱们讨论的是frida-gadget的持久化，通俗理解也就是注入frida-gadget，让目标app加载该so文件，进而实现frida的hook功能，并且和app共生，一定程度上也免去了反调试，反frida（修改so名字，从maps看检测风险减小，或许从hook原理继续检测？）的情况，比较适用于大厂强风控下的群控hook的生产场景（这里不谈一键新机-设备指纹什么的），所以这个方案还是适合和需要掌握并落地的。

一般来说，需要考虑三种设备环境的情况，那就是root和非root和源码定制，接下来我根据自己的了解和实践分别介绍下拙见。

先来看这篇文章在【未root的设备上使用frida：https://bbs.pediy.com/thread-229970.htm】，作者主要介绍的是利用lief工具把frida-gadget链接到目标app的so文件上进而实现加载和hook功能，优缺点作者也都介绍了，作为引言部分，就先从这篇文章获取到lief工具的用途和使用吧。

1，（实践通过）目标app有使用so，利用lief工具把frida-gadget和目标app的so链接到一起，实现加载和hook

    如：从/data/app/packageName-xxx/lib下，找到app的so然后和frida-gadget进行链接

    风险点：需要过root检测，so文件完整性检测（如：目标app可扫描/data/app/packageName-xxx/lib目录下所有文件，和文件md5上传服务器做校验）

2，（未实践）利用lief工具把frida-gadget和系统库（如libart，libc）链接到一起，实现加载和hook

    风险点：需要过root检测

3，（未实践）magisk模块方案注入frida-gadget，实现加载和hook

    见文章【Frida持久化方案(Xcube)之方案一——基于Magisk和Riru：https://bbs.pediy.com/thread-266787.htm】，然后hanbing老师也把fridamanger做成了magisk模块，那天见在群里已经通知了

    风险点：需要过root检测，magsik检测

4，（未实践）xposed模块方案注入frida-gadget，实现加载和hook

    见文章【Frida持久化方案(Xcube)之方案二——基于xposed：https://bbs.pediy.com/thread-266784.htm】

    风险点：需要过root检测，xposed检测

1，（未实践）目标app没有使用so，修改smali文件加入代码load frida-gadget然后再重打包，实现加载和hook

        风险点：重打包检测（签名检测，文件完整性检测）

2，（实践通过）目标app有使用so，解包利用lief工具把frida-gadget和目标app的so链接到一起然后再重打包，实现加载和hook

        风险点：重打包检测（签名检测，文件完整性检测）

3，（实践通过）类xpatch方式加载frida-gadget，众所周知xpatch是修改的manifest文件替换了application入口，然后进行了sandhook初始化，xp模块的查找与加载，application的修正和过签名检测，三大主要功能，然后再回头看sandhook都注入了，再注入个frida-gadget不就改改代码的事嘛

        风险点：重打包检测（签名检测，文件完整性检测，xpatch-sandhook检测）

1，（实践通过）见文章【ubuntu 20.04系统AOSP(Android 11)集成Frida：https://www.mobibrw.com/2021/28588】，作者是直接在system/lib下放入了frida-gadget，我是参考了强哥文章【玩转Android10源码开发定制(九)内置frida-gadget so文件和frida-server可执行文件到系统：https://bbs.pediy.com/thread-264916.htm】，利用了PRODUCT_COPY_FILES的方式把文件copy到了system/lib下，然后我又改了frameworks/base/core/jni/com_android_internal_os_Zygote.cpp的com_android_internal_os_Zygote_nativeForkAndSpecialize函数，实现了fork进程的时候dlopen frida-gadget给每个进程都加上frida，进而实现了hanbing老师的fridamanger低配版（FridaManager:Frida脚本持久化解决方案：https://bbs.pediy.com/thread-266767.htm），然后强哥说他是直接改的java层代码system.load的，我猜测是在makeApplication之类的地方做的，由于已经实现功能，所以未做后续验证。

其实本文的真正的出发点还是想从【反反制/较小风险点的情况下去实现frida-gadget的持久化】来聊方案，故还是推荐【非root环境和源码定制】的方式（ps：国产厂商root越来越难，非root更加通用）

 非root环境推荐：魔改xpatch+魔改sandhook+VirtualApp的iohook = 渣总ratel低配版（平头哥开放文档：https://git.virjar.com/ratel/ratel-doc），这种方案下，魔改的xposed和frida都有了，想用嘛用嘛，基本只能从【java层hook原理+inline hook原理 + syscall（Android svc获取设备信息：https://bbs.pediy.com/thread-264641.htm）】几个点来检查，纬度也算来到了高维对抗，并且开源轮子的显著特征都没了，至于能不能过还要看检测的具体强度，当然这个方案适配是个问题，32位下基本没问题，64位还要根据厂商再看看。大手子看到这里已经猜到了选用该方案已经不单单是为了做hook持久化了，后续还要做新机，多开等功能，尽可能完善地落地一个闭环的通用型方案。

源码定制推荐：自己动手去实现fridamanger低配版就好，因为后续还要做设备指纹，systemapp，内核模块开发，多开等一系列功能。

感谢上面内容提到每一个名字和项目

哥哥们的先行和分享推进了社区的进步

写代码和做技术因你们变得更加美好

哥哥们牛批！