Ты думал, что Фрида была скрытной, когда не была привязана? Грязные страницы готовы поспорить

Классические методы обнаружения Frida, такие как проверка карты и имени потока, устарели. Самым эффективным методом обнаружения Frida сейчас является обнаружение грязных страниц. Этот метод работает глобально, даже если Frida не подключена к целевому приложению. Процесс внедрения хуков Frida создает копирование при записи во время работы с ключевыми системными библиотеками. Это приводит к созданию частных грязных страниц, которые остаются в качестве отпечатка пальца. Представлены два основных метода обнаружения этого отпечатка. Первый включает в себя анализ файла `/proc/self/smaps`, поиск значений `Private_Dirty`, превышающих ноль, в целевых отображениях библиотек. Второй и более надежный метод использует `/proc/self/pagemap`, проверяя 61-й бит записи pagemap, который указывает на мягкую грязную страницу. Проверка бита мягкой грязи в критических функциях показывает, присутствовала ли Frida. В примерах особо выделяется системный вызов fork(). Для безопасности в 2025 году акцент на обнаружении грязных страниц является текущим стандартом. Это новый фронт в продолжающейся борьбе с использованием Frida.