프리다가 붙어있지 않을 때 은밀하다고 생각했어? 더러운 페이지들이 반박하려 하네.

프리다의 고전적인 탐지 방법인 맵 및 스레드 이름 검사는 이제 구식입니다. 가장 효과적인 프리다 탐지 방법은 이제 더티 페이지 탐지입니다. 이 방법은 프리다가 대상 앱에 연결되지 않은 경우에도 전역적으로 작동합니다. 프리다의 인라인 후킹 프로세스는 주요 시스템 라이브러리에서 작동하는 동안 copy-on-write를 생성합니다. 이로 인해 지문으로 남는 프라이빗 더티 페이지가 생성됩니다. 이 지문을 탐지하기 위한 두 가지 주요 기술이 제시됩니다. 첫 번째는 `/proc/self/smaps` 파일을 분석하여 대상 라이브러리 매핑 내에서 0보다 큰 `Private_Dirty` 값을 찾는 것입니다. 두 번째이자 더 강력한 방법은 `/proc/self/pagemap`을 사용하여 소프트 더티 페이지를 나타내는 페이지맵 항목의 61비트를 확인하는 것입니다. 중요한 함수에서 소프트 더티 비트를 확인하면 프리다가 존재했는지 여부를 알 수 있습니다. 예시는 특히 fork() 시스템 호출을 강조합니다. 2025년 보안을 위해서는 더티 페이지 탐지에 집중하는 것이 현재 표준입니다. 이것이 프리다 사용에 대한 지속적인 전투의 새로운 전선입니다.