小编点评

**frida注入的思路：** 1. **找到目标进程**：使用 `ptrace` 追踪目标进程。 2. **获取mmap和函数库偏移**：获取目标进程中的 mmap、dlpoen、dlsym 等函数库的偏移值。 3. **申请内存空间并启动 frida-agent**：在目标进程中申请一段内存空间，并在该内存空间中启动执行 frida-agent 的代码。 4. **发送命令给目标进程**：通过 far away 进程将 agent 与目标进程进行通信，发送命令。 5. **处理目标进程的回应**：接收目标进程的执行返回信息以及异步事件信息。 **frida-agent 的作用：** * 注入目标进程。 * 启动一个新的进程与 host 进行通信。 * 给目标进行命令执行、激活/关闭 hook、接收执行结果等操作。 * 接收到目标进程的异步事件信息。

正文

frida注入的主要思路:

1.找到目标进程,使用ptrace跟踪目标进程
2.获取mmap，dlpoen，dlsym等函数库的偏移
3.获取mmap，在目标进程申请一段内存空间，将在目标进程中找到存放（frida-agent-32/64.so），在此内存空间启动执行各种操作由agent去实现。

补充：
frida注入之后会在远端进程分配一段内存将agent拷贝过去并在目标进程中执行代码，执行完成后会 detach 目标进程
这也是为什么在 frida 先连接上目标进程后还可以用gdb/ida等调试器连接，而先gdb连接进程后 frida 就无法再次连上的原因(frida在注入时只会ptrace一下下注入完毕后就会结束ptrace所以ptrace占坑这种反调试使用spawn方式启动即可)。

frida-agent 的作用

frida-agent 注入到目标进程并启动后会启动一个新进程与 host 进行通信，从而 host 可以给目标进行发送命令，比如执行代码，激活/关闭 hook，同时也能接收到目标进程的执行返回以及异步事件信息等。

不管是Davilk 还是art模式，hook的基本原理和Xposed是类似的：** 将java 函数变成 native 函数**

检测办法：

1. 遍历在运行的进程列表而检查fridaserver是否在运行
2. 检测端口27047是否在监听中
3. fridaserver通过D-Bus协议通信，我们就可以向每个开放的端口发送D-Bus AUTH消息，如果正常回复说明有frida程序再跑
4. /proc/self/maps 检查加载的库中有没有frida的痕迹(比如frida-agent-32/64.so)
5. 遍历/proc/self/maps里的内存mappings找到所有可执行段中的关键字符串（FRIDA等）
6. 检测关键JAVA函数是否变成了native函数，变了说明正在被hook