HackTricksAndroid Anti-Instrumentation & SSL Pinning Bypass (Frida/Objection)
Reading time: 7 minutes
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Αυτή η σελίδα παρέχει μια πρακτική ροή εργασίας για να επανακτήσετε τη δυναμική ανάλυση σε Android apps που εντοπίζουν/μπλοκάρουν instrumentation λόγω root ή επιβάλλουν TLS pinning. Επικεντρώνεται σε γρήγορο triage, συνήθεις εντοπισμούς και copy‑pasteable hooks/tactics για να τα παρακάμψετε χωρίς repacking όπου είναι δυνατόν.
Detection Surface (what apps check)
- Root checks: su binary, Magisk paths, getprop values, common root packages
- Frida/debugger checks (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), σάρωση /proc, classpath, φορτωμένες libs
- Native anti‑debug: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks
- Early init checks: Application.onCreate() ή process start hooks που προκαλούν crash αν υπάρχει instrumentation
- TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins
Step 1 — Quick win: hide root with Magisk DenyList
- Enable Zygisk in Magisk
- Enable DenyList, add the target package
- Reboot and retest
Many apps only look for obvious indicators (su/Magisk paths/getprop). DenyList often neutralizes naive checks.
References:
- Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk
Step 2 — 30‑second Frida Codeshare tests
Try common drop‑in scripts before deep diving:
- anti-root-bypass.js
- anti-frida-detection.js
- hide_frida_gum.js
Example:
frida -U -f com.example.app -l anti-frida-detection.js
Αυτά συνήθως δημιουργούν stubs για ελέγχους Java root/debug, σαρώσεις process/service, και native ptrace(). Χρήσιμα σε lightly protected apps; hardened targets μπορεί να χρειαστούν tailored hooks.
- Codeshare: https://codeshare.frida.re/
Βήμα 3 — Παρακάμψτε τους ανιχνευτές init-time συνδέοντας αργότερα
Πολλές ανιχνεύσεις τρέχουν μόνο κατά το process spawn/onCreate(). Spawn‑time injection (-f) ή gadgets ανακαλύπτονται; το να συνδεθείς μετά το φόρτωμα της UI μπορεί να περάσει απαρατήρητο.
# Launch the app normally (launcher/adb), wait for UI, then attach
frida -U -n com.example.app
# Or with Objection to attach to running process
aobjection --gadget com.example.app explore # if using gadget
Αν αυτό λειτουργήσει, διατηρήστε τη συνεδρία σταθερή και προχωρήστε σε map και stub checks.
Βήμα 4 — Χαρτογράφηση της λογικής ανίχνευσης μέσω Jadx και αναζήτηση συμβολοσειρών
Στατικές λέξεις-κλειδιά για triage στο Jadx:
- "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"
Τυπικά μοτίβα Java:
public boolean isFridaDetected() {
return getRunningServices().contains("frida");
}
Συνηθισμένα APIs για ανασκόπηση/hook:
- android.os.Debug.isDebuggerConnected
- android.app.ActivityManager.getRunningAppProcesses / getRunningServices
- java.lang.System.loadLibrary / System.load (native bridge)
- java.lang.Runtime.exec / ProcessBuilder (probing commands)
- android.os.SystemProperties.get (root/emulator heuristics)
Βήμα 5 — Runtime stubbing με Frida (Java)
Παράκαμψε custom guards για να επιστρέφουν ασφαλείς τιμές χωρίς repacking:
Java.perform(() => {
const Checks = Java.use('com.example.security.Checks');
Checks.isFridaDetected.implementation = function () { return false; };
// Neutralize debugger checks
const Debug = Java.use('android.os.Debug');
Debug.isDebuggerConnected.implementation = function () { return false; };
// Example: kill ActivityManager scans
const AM = Java.use('android.app.ActivityManager');
AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
});
Αναλύεις πρώιμες καταρρεύσεις; Dump classes λίγο πριν καταρρεύσει για να εντοπίσεις πιθανά detection namespaces:
Java.perform(() => {
Java.enumerateLoadedClasses({
onMatch: n => console.log(n),
onComplete: () => console.log('Done')
});
});
Καταγράψτε και αδρανοποιήστε ύποπτες μεθόδους για να επιβεβαιώσετε τη ροή εκτέλεσης:
Java.perform(() => {
const Det = Java.use('com.example.security.DetectionManager');
Det.checkFrida.implementation = function () {
console.log('checkFrida() called');
return false;
};
});
Βήμα 6 — Ακολουθήστε το JNI/native μονοπάτι όταν τα Java hooks αποτυγχάνουν
Ανιχνεύστε τα JNI entry points για να εντοπίσετε native loaders και detection init:
frida-trace -n com.example.app -i "JNI_OnLoad"
Γρήγορος εγγενής έλεγχος των ενσωματωμένων αρχείων .so:
# List exported symbols & JNI
nm -D libfoo.so | head
objdump -T libfoo.so | grep Java_
strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'
Διαδραστική/εγγενής reversing:
- Ghidra: https://ghidra-sre.org/
- r2frida: https://github.com/nowsecure/r2frida
Παράδειγμα: αδρανοποιήστε ptrace για να παρακάμψετε απλό anti‑debug σε libc:
const ptrace = Module.findExportByName(null, 'ptrace');
if (ptrace) {
Interceptor.replace(ptrace, new NativeCallback(function () {
return -1; // pretend failure
}, 'int', ['int', 'int', 'pointer', 'pointer']));
}
Δείτε επίσης: Reversing Native Libraries
Βήμα 7 — Objection patching (embed gadget / strip basics)
Αν προτιμάτε το repacking αντί των runtime hooks, δοκιμάστε:
objection patchapk --source app.apk
Σημειώσεις:
- Απαιτεί apktool· βεβαιωθείτε ότι έχετε μια ενημερωμένη έκδοση από τον επίσημο οδηγό για να αποφύγετε προβλήματα κατά το build: https://apktool.org/docs/install
- Gadget injection επιτρέπει instrumentation χωρίς root αλλά μπορεί ακόμα να εντοπιστεί από ισχυρότερους init‑time ελέγχους.
Αναφορές:
- Objection: https://github.com/sensepost/objection
Βήμα 8 — Εφεδρική λύση: Επιδιόρθωση TLS pinning για ορατότητα δικτύου
Εάν η instrumentation είναι μπλοκαρισμένη, μπορείτε ακόμη να εξετάσετε την κίνηση αφαιρώντας στατικά το pinning:
apk-mitm app.apk
# Then install the patched APK and proxy via Burp/mitmproxy
- Εργαλείο: https://github.com/shroudedcode/apk-mitm
- Για κόλπα CA‑trust στη ρύθμιση δικτύου (και Android 7+ user CA trust), δείτε:
Make APK Accept CA Certificate
Χρήσιμη λίστα εντολών
# List processes and attach
frida-ps -Uai
frida -U -n com.example.app
# Spawn with a script (may trigger detectors)
frida -U -f com.example.app -l anti-frida-detection.js
# Trace native init
frida-trace -n com.example.app -i "JNI_OnLoad"
# Objection runtime
objection --gadget com.example.app explore
# Static TLS pinning removal
apk-mitm app.apk
Συμβουλές & επιφυλάξεις
- Προτιμήστε το attaching αργότερα αντί για spawning όταν οι apps crash κατά το launch
- Ορισμένες detections επανεκτελούνται σε κρίσιμες ροές (π.χ., payment, auth) — κρατήστε τα hooks ενεργά κατά την πλοήγηση
- Συνδυάστε static και dynamic: string hunt στο Jadx για να καταρτίσετε μια σύντομη λίστα με classes; στη συνέχεια hook methods για να επαληθεύσετε στο runtime
- Οι hardened apps μπορεί να χρησιμοποιούν packers και native TLS pinning — αναμένετε να reverse native code
Αναφορές
- Reversing Android Apps: Bypassing Detection Like a Pro
- Frida Codeshare
- Objection
- apk-mitm
- Jadx
- Ghidra
- r2frida
- Apktool install guide
- Magisk
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.