在研究 libpairipcore.so 反调试时发现一件很奇怪的事情，只要手机上曾经启动过 frida-server，目标 app 也能检测到，卸载重新安装都没用，除非使用 adb shell stop;start 重启 framework 框架。 我就在想是不是 frida-server 在系统中有残留？为什么重启 framework 之后就能打开？带着疑惑，我问了下gpt，它说是 frida-server 启动后会影响到 zygote 进程，可能改变了某些内存布局。如果真是这样，那就能解释通为什么卸载重装也打不开了，因为所有 app 都是从 zygote 进程 fork 孵化出来的，新的 app 进程会继承 zygote 的所有内存信息，等于说 frida-server 痕迹也会被继承 ... 阅读更多