Android native反调试方式及使用IDA绕过反调试

最新推荐文章于 2024-08-07 17:14:24 发布
最新推荐文章于 2024-08-07 17:14:24 发布
阅读量1.8w 收藏 39
点赞数 7
分类专栏: Android Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jltxgcy/article/details/50598670
版权
本文介绍了Android native层常见的反调试手段,包括ptrace、检查TracerPid、时间间隔检测和硬件信息检测,并详细讲解了如何利用IDA进行反反调试。通过IDA Patch SO和动态修改内存数据,成功绕过反调试代码,实现对目标程序的顺利调试。
摘要由CSDN通过智能技术生成

    0x00

     为了避免我们的so文件被动态分析,我们通常在so中加入一些反调试代码,常见的Android native反调试方法有以下几种。

     1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试

     2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如果!=0就退出程序。参考Android Native反调试,用JNI实现APK的反调试

     3、检查代码执行的间隔时间,参考Android应用方法隐藏及反调试技术浅析的0×03反调试初探。

     4、检测手机上的一些硬件信息,判断是否在调试器中,参考Android应用方法隐藏及反调试技术浅析0×03反调试初探。


   0x01

    那么我们如何过掉这些反调试呢?

    我们以阿里比赛第二题为例,参考安卓动态调试七种武器之孔雀翎 – Ida Pro

    我们讲解两种方式:

    1、Ida Patch so

    2、Ida动态修改内存数据和寄存器数值

  

    我们首先讲解Ida Patch so,有几处都可以patch。我们从易到难依次讲解。

    第一处:

    我们在JNI_ONLOAD下断点,如下图:


     依次单步执行到BLX R7


最低0.47元/天 解锁文章
jltxgcy
关注
专栏目录
在JNI_onload函数处下断点避开针对IDA调试
武天旭的博客
10-03 1155
一、在JNI_onload函数处下断点避开针对IDA调试 为了防止apk中的so文件被动态调试,开发者往往会使用一些调试手段来干扰黑客的动态调试。其中最常见的就是在so文件中检测TracerPid值。通过在JNI_onload下断点即可避开调试。 二、调试原理 1、ptrace:是系统调用的一个方法
android拦截native方法,Android native调试方式使用IDA绕过调试
weixin_30332669的博客
05-25 837
0x00为了避免我们的so文件被动态分析,我们通常在so中加入一些调试代码,常见的Android native调试方法有以下几种。1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如果!=0就退出程...
ptrace 调试
weixin_30355437的博客
12-30 557
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
使用PTRACE_TRACEME调试的原理
最新发布
aka_yoo的博客
08-07 298
介绍和演示使用(PTRACE_TRACEME, 0, NULL, NULL)进行调试的底层原理
Android逆向笔记-通过tracerPid对抗IDA调试
IT1995的博客
07-20 647
这个TracerPid是追踪进程ID,如果没有进程对其追踪就是0。 在Linux中,每个进程都会在/proc/id这个id就是进程id创建目录,并且有个status文件,这个文件就可以查tracerPid,如果非0就说明有进程在进行调试。 如下代码: ...
GDB之解决ptrace调试手段(八)
Android系统攻城狮
09-15 274
本篇目的:GDB之破解ptrace调试
ptrace调试
HotIce0
10-03 2952
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试调试方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
编写Android可执行二进制文件调用so
csdn546229768的博客
07-20 1830
Start
ANDROID调试检测技术汇编
抚琴
02-06 1215
ANDROID调试检测技术汇编 1 调试调试端口 2 调试器进程名 3 父进程名检测 4 自身进程名检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 14 利用IDA解析缺陷调试 15 五种代码执行时间检测 16 三种种进程信息结构检测 17 Inotify事件监控dump 1. IDA调试端口检测 原理: 调试器远程调试
Android程序破解技术
jltxgcy的专栏
02-04 3773
0x1    对抗编译可以大概分为以下几点:    1、对抗编译工具,例如apktool、dex2jar等    2、对抗静态编译,分为代码混淆技术、NDK保护、apk加壳保护。    3、对抗动态调试,分为检测调试器、检测模拟器。    4、防止重编译,分为检查签名,校验保护。    更多相关内容请参考《Android软件安全与逆向分析》。   0x02   对抗编译工具,例如dex2ja
逆向实战 2#去除程序注册、正版校验,绕过联网校验
weixin_48066554的博客
01-08 5109
逆向实战 2#去除程序注册、正版校验,绕过联网校验 文章目录逆向实战 2#去除程序注册、正版校验,绕过联网校验环境 & 工具去除注册行为分析过程分析效果检验去除联网校验行为分析过程分析效果检验去除完整性(正版)校验行为分析过程分析效果分析 慢慢难起来了,直接猛男落泪 在国家包吃包住的路上又艰难迈进一小步【doge】 省流助手:啰嗦至极菜鸡学习笔记,多图警告 环境 & 工具 win xp 32位 吾爱破解版ollydbg 去除注册 行为分析 首先拖进PEiD查壳,发现未加壳 点击注册,出
fopen android ndk,将FILE *转换为ifstream C,Android NDK
weixin_29796903的博客
05-27 438
我正在编写一个带有NDK C组件的Android项目,并且有一个需要大量解析的文件. NDK只允许我获取一个指向我正在处理的文件的FILE *指针,而不是一个ifstream,它有一些与之相关的便利功能.无论如何将FILE *(cstdio)转换为ifstream(iostream)?解决方法:通常,您不能将FILE *转换为std :: ifstream.但是,这无论如何都不是必需的:创建一个可...
cocos2dx android fopen读取文件失败
后大学时代学习笔记
11-20 8978
其他方法,参考:1、 http://www.cppblog.com/johndragon/archive/2012/12/28/196754.html
安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的调试
蜗牛
02-28 9446
在上篇文章中,我们介绍了如何利用IDA Pro来动态调试so文件。在移动安全领域有攻就有防,为了防止apk中的so文件被动态调试,开发者往往会使用一些调试手段来干扰黑客的动态调试。 其中最常见的就是在so文件中检测TracerPid值,详情请见这篇博客:爱加密脱壳 本文以2015阿里巴巴移动安全大赛中的第二道题为例,IDA Pro版本为6.5 。 这里只介绍如何通过在JNI_Onload下
安卓源码+内核修改编译(修改内核调试标志绕过调试)
Fly20141201. 的专栏
02-17 6696
标 题: 【分享】安卓源码+内核修改编译(修改内核调试标志绕过调试) 作 者: koflfy 时 间: 2016-10-26,18:05:19 链 接: http://bbs.pediy.com/showthread.php?t=213481 历经两天时间,终于完整的编译完安卓操作系统源码+内核,并修改了内核的几个调试标志以达到绕过一些调试的目的。 在此感谢同学辉哥以及群友f8的
JNI和NDK开发(3)_动态注册JNI函数
renzhongrui的博客
01-07 229
第一和第二篇讲解的是JNI函数的静态注册,这一篇将讲述如何实现JNI函数的动态创建。 本文概览 1、什么是静态注册 2、什么是动态注册 3、实现动态注册 什么是静态注册 静态注册是根据JNI的方法名字来实现与Java方法的映射对应关系。如下所示,方法名的组成是根据JNIEXPORT jstring JNICALL Java_+包名+_类名+_方法名组成。包名直接要用_连接。 JNIEXPORT j...
C语言中内嵌汇编asm语法
移动开发记录
06-09 5539
内联汇编使用“__asm”(C++)和“asm”(C和C++)关键字声明,语法格式如下所示,内联汇编支持大部分的ARM指令,但不支持带状态转移的跳转指令,如BX和BLX 指令 ·__asm("instruction[;instruction]"); // 必须为单条指令 __asm{instruction[;instruction]} · __asm { ... instructio...
IDA调试汇编:应对受保护PE文件的策略
"这篇文档详细介绍了如何使用IDA调试汇编受到保护的PE文件,特别是针对那些有调试机制的程序。文档作者通过实际案例分析了一个名为test00.exe的程序,该程序在IDA中无法正常调试和设置断点。" 在调试受保护的...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值