Stalker是Frida的代碼跟蹤引擎．下面的內(nèi)容來自Frida官網(wǎng). 在加密解密，trace，代碼定位方面用途還是挺大的．

Stalker is Frida’s code tracing engine. It allows threads to be followed, capturing every function, every block, even every instruction which is executed

類似Frida的工具還有QBDI.

QBDI

QuarkslaB Dynamic binary Instrumentation (QBDI) is a modular, cross-platform and cross-architecture DBI framework. It aims to support Linux, macOS, Android, iOS and Windows operating systems running on x86, x86-64, ARM and AArch64 architectures.

QBDI也能夠和Frida完美結(jié)合．舉個例子，打印導出函數(shù)aFunction對應的匯編代碼．

var vm = new QBDI();
var state = vm.getGPRState();
vm.allocateVirtualStack(state, 0x1000000);
var funcPtr = Module.findExportByName(null, "aFunction");
vm.addInstrumentedModuleFromAddr(funcPtr);
var icbk = vm.newInstCallback(function(vm, gpr, fpr, data) {
? ?var inst = vm.getInstAnalysis();
? ?// Display instruction dissassembly
? ?fmt = "0x" + inst.address.toString(16) + " " + inst.disassembly;
? ?console.log(fmt);
? ?return VMAction.CONTINUE;
});
vm.addCodeCB(InstPosition.PREINST, icbk);
vm.call(funcPtr, [42]);


QBDI在Android平臺下使用需要root以及關閉SELinux.

host$ adb root
host$ adb shell setenforce 0


參考

https://frida.re/news/2019/12/18/frida-12-8-released/ https://bbs.pediy.com/thread-264680.htm https://frida.re/docs/stalker/?Frida工作原理?https://github.com/NMHai/frida-qbdi-fuzzer

Stalker實現(xiàn)

基本原理

Stalker是基于動態(tài)重新編譯的代碼跟蹤器。 它將代碼指令復制到內(nèi)存中的另一個位置，在該位置對其進行調(diào)整以適應新位置并包括其他跟蹤指令。?如果應用程序在原始位置檢查其代碼，則會發(fā)現(xiàn)該代碼是完整無缺的，因為它是被篡改的代碼的副本。

下圖顯示了函數(shù)如何在其新的內(nèi)存位置進行transform以包括代碼跟蹤.

練習一下

a.out程序源碼：

#include<stdio.h>
#include<unistd.h>
static int fn(int n){
? ?printf("number is %d\n",n);
}

int main(int argc, char ** argv){
? ?int n = 0;
? ?printf("fn is at %p\n",&fn);
? ?while(1){
? ? ? ?fn(n++);
? ? ? ?sleep(3);
? ?}
? ?return 0;
}



Frida腳本(重點在transform):

var app = new ModuleMap(isAppAddress);

Process.enumerateThreadsSync().forEach(function(thread){
? ?Stalker.follow(thread.id,{
? ? ? ?transform: function (iterator) {
? ? ? ? ? ?var instruction = iterator.next();
? ? ? ? ? ?if (!app.has(instruction.address)) {
? ? ? ? ? ? ? ?do{
? ? ? ? ? ? ? ? ? ?iterator.keep();
? ? ? ? ? ? ? ?} ?while ((iterator.next()) !== null);
? ? ? ? ? ? ? ?return ;
? ? ? ? ? ?}

? ? ? ? ? ?do{
? ? ? ? ? ? ? ?console.log(instruction.address + ":" + instruction);
? ? ? ? ? ? ? ?iterator.keep();
? ? ? ? ? ?} ?while ((instruction = iterator.next()) !== null);

? ? ? ?}
? ?})
})

function isAppAddress(module) {
? ?return module.path.indexOf("a.out") != -1;
}


運行結(jié)果:

關閉系統(tǒng)的ASLR(地址隨機化)，對比指令和地址，顯然是對應的。基于此我們可以定位到fn函數(shù)被執(zhí)行了。

如果能夠?qū)嵤└櫦拇嫫鞯闹稻透昧耍@個也很容易實現(xiàn)，只需要添加下面的代碼就可以了。基于此便可以實現(xiàn)類似IDA的trace功能。

iterator.putCallout((context) => {
? console.log(JSON.stringify(context))
})


stalker做了什么

從使用者的角度，每當執(zhí)行一個基本快，stalker都會做以下事情:

1.對于方法調(diào)用，保存 lr 等必要信息2.重定位位置相關指令，例如：ADR Xd, label3.建立此塊的索引，如果此塊在達到可信閾值后，內(nèi)容未曾變化，下次將不再重新編譯（為了加快速度）4.根據(jù) transform 函數(shù)，編譯生成一個新的基本塊 GumExecBlock ，保存到 GumSlab 。5.在上一過程中，可通過 void transform(GumStalkerIterator iterator, GumStalkerOutput output, gpointer user_data) 來讀取，改動，寫入指令。6.transform 過程中可通過 void gum_stalker_iterator_put_callout (GumStalkerIterator self,GumStalkerCallout callout, gpointer data, GDestroyNotify data_destroy) 來設置一個當此位置被執(zhí)行到時的 callout。通過此 void callout(GumCpuContext cpu_context, gpointer user_data) 獲取 cpu 信息。7.執(zhí)行一個基本快 GumExecBlock，開始下一個基本快

trap功能

sleep函數(shù)定義:

相關函數(shù)：signal, alarm 頭文件：#include <unistd.h> 定義函數(shù)：unsigned int sleep(unsigned int seconds); 函數(shù)說明：sleep()會令目前的進程暫停, 直到達到參數(shù)seconds 所指定的時間, 或是被信號所中斷. 返回值：若進程/線程掛起到參數(shù)所指定的時間則返回0，若有信號中斷則返回剩余秒數(shù)。

這里trap sleep函數(shù)，?step into的時候不正是重新進入一個函數(shù)嗎.

var sleep = new NativeFunction(
?Module.getExportByName(null, 'sleep'),
?'uint', ['int'],
?{ traps: 'all' }
);

Stalker.follow({
events: {
?call: true
},
onReceive: function (e) {
?console.log(JSON.stringify(Stalker.parse(e)));
}
});

var result = sleep(4);
console.log('sleep', result);


By setting the traps: 'all' option on the NativeFunction, it will re-activate Stalker when called from a thread where Stalker is temporarily paused because it’s calling out to an excluded range – which is the case here because all of frida-agent’s code is marked as excluded.

stalker實踐

Stalker

比較主流的使用方法

"use strict"

function start_stalker(mainThreadId, start, size){
? ?Stalker.follow(mainThreadId, {
? ? ? ? ?transform: function (iterator) {
? ? ? ? ? ? ?var instruction = iterator.next();
? ? ? ? ? ? ?const startAddress = instruction.address;
? ? ? ? ? ? ?var isModule = startAddress.compare(start) >= 0 && startAddress.compare(start.add(size)) < 0;
? ? ? ? ? ? ?do{
? ? ? ? ? ? ? ?if (isModule){
? ? ? ? ? ? ? ? ?console.log(instruction.address + ":" + instruction);
? ? ? ? ? ? ? ? ?iterator.putCallout((context) => {
? ? ? ? ? ? ? ? ? ?console.log(JSON.stringify(context))
? ? ? ? ? ? ? ? ?})
? ? ? ? ? ? ? ?}
? ? ? ? ? ? ? ?iterator.keep();
? ? ? ? ? ? } while ((instruction = iterator.next()) !== null);
? ? ? ? ?}
? ? ? ?});
}


寫在最后

在接下來的文章中，會詳細介紹Frida中Stalker的工作原理以及C模塊。同時基于Frida的Stalker進行軟件的破解。

有興趣可以比較下下面這兩段代碼是否有區(qū)別。

do{
? if (isModule){
? ? console.log(instruction.address + ":" + instruction);
? }
? iterator.keep();
} while ((instruction = iterator.next()) !== null);


和

if (!isModule) {
? ?do{
? ? ? ?iterator.keep();
? ?} ?while ((iterator.next()) !== null);
? ?return ;
}

do{
? ?console.log(instruction.address + ":" + instruction);
? ?iterator.keep();
} ?while ((instruction = iterator.next()) !== null);


公眾號

更多Frida相關的內(nèi)容，歡迎關注我的微信公眾號:無情劍客。