一个android反调试的学习

最新推荐文章于 2024-06-23 13:06:11 发布
最新推荐文章于 2024-06-23 13:06:11 发布
阅读量2.9k 收藏 2
点赞数 1
分类专栏: android 文章标签: android 逆向调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trap0D/article/details/45697607
版权
本文介绍了初学者在分析一个包含反调试机制的Android应用时,如何进行动态调试SO文件,并详细解析了应用的反调试机制。在JNI_Onload中创建线程检查tracerpid,若大于0则判断为被调试并终止进程。
摘要由CSDN通过智能技术生成

前言

初学android逆向调试,用阿里上次的比赛练练手,第二题就是一个包含android反调试机制的题目,于是仔细调试分析了一下其反调试的原理,记录下来。

调试方法

这个apk核心功能在so文件中实现,于是试图动态调试so文件,在关键函数下断点之后,attach,F9,程序直接就退出了,经过一番搜索,找到一种调试方法。

  1. adb shell am start -D -n com.yaotong.crackme/.MainActivity
  2. 启动IDA的android_server
  3. adb forward tcp:23946 tcp:23946
  4. IDA attach 到要调试的进程上

  5. jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

    之后在JNI_Onload下断点,就可以调试了。

反调试

这个apk的反调试,是在JNI_Onload函数里,创建了一个线程,然后在这个线程的执行函数中,循环检查tracerpid,该线程的执行函数如下图。

主要调试了一下这个检测函数。首先通过getpid获取当前进程号。

进程号在R0中。接下来通过sprintf拼接处/proc/pid/status字符串,为后面读取该其信

最低0.47元/天 解锁文章
trap0D
关注
专栏目录
Androidfrida注入检测的demo
08-14
总结来说,这个"Androidfrida注入检测的demo"提供了一个基础的框架,帮助开发者学习如何防止Frida这类工具对应用进行恶意注入。通过端口和libc检测,以及深入理解Android系统,我们可以构建更安全的应用,抵御潜在...
某鹅手游保护简略
Rorschach:Blog
02-12 1499
写在开始相比于某密的,某鹅的手游保护明显上了一个层级,但是笔者在分析的过程中,发现了还是有较多地方的改进。 注意,本文是基于17年初的版本进行分析。功能测试功能强大了很多,包含了ptrace所有线程、三进程保护、字符串加密、文件校验、DLL动态解密、mono动态解密、修改器、加速器、暂停等等…可以看出,功能挺实用的…不过,功能覆盖挺全面,但在涉及上有很多点有逻辑问题,以及有些保护功能而能加
Android代码保护与调试方案
IT从业者,生活精致一点,工作认真一点!
12-21 1247
Android代码保护与调试方案
Android逆向-基础与实践 (六) 调试
最新发布
shuwangyong的专栏
06-23 108
制手段1.算法助手、对话框取消等插件一键hook2.分析具体的检测代码3.利用IO重定向使文件不可读4.修改Andoird源码,去除常见指纹定义了一个和。方法检查设备的build tags是否包含test-keys。这通常是用于测试的设备,因此如果检测到这个标记,则可以认为设备已被 root。方法检查设备是否存在一些特定的文件,这些文件通常被用于执行 root 操作。如果检测到这些文件,则可以认为设备已被 root。方法使用方法来执行which su命令,然后检查命令的输出是否不为空。
TracerPid调试实现与逆向
明风的博客
11-01 6566
经常会在一些脱壳文章里面看到TracerPid,ptrace什么的,那这些都是什么意思呢? 我们来查看本程序的/proc/{PID}/status文件 C:\Users\wangz>adb shell root@jflte:/ # ps |grep "wnagzihxain" u0_a123 29139 281 960944 31468 ffffffff 4005a8e0 S com.
Android Native调试-检测TCP端口,ptrace自身,查看TracerPid
zhangmiaoping23的专栏
08-06 4212
Android Native调试-检测TCP端口 转:http://www.cnblogs.com/dacainiao/p/5139880.html 之前转载了一篇文章介绍了两种调试方式,分别是ptrace自身和查看TracerPid信息,文章地址: http://www.cnblogs.com/dacainiao/p/5124151.html 这一处调试是在调
安卓调试实现
深耕安全技术研究
01-27 2921
不多说了,直接上源码,8种调试方法。 1.//ptrace自己,使得android_server附加不上 void anti_debug01() { ptrace(PTRACE_TRACEME, 0, 0, 0); } 2.//检测Tracepid的值 void anti_debug02() { try { const int bufsize = 1024; char filename[bufsize]; char line[bufsize]; int pid = getpid(); sprintf(fi
安卓调试-解决方案一
06-22
在安卓系统中,调试一个开发者用来测试和优化代码的重要工具,如使用Android Debug Bridge (ADB) 进行远程控制、查看日志等。然而,这同样也可能被恶意用户利用,通过调试器获取应用的内部信息,甚至修改应用的...
常用的一个Android反编译apk工具
07-04
在给定的标题中提到的“常用的一个Android反编译apk工具”,我们可以推断这是一个流行且功能强大的工具,可能包括了完整的反编译流程。虽然没有具体指出是哪个工具,但常见的Android反编译工具有如Apktool、dex2jar...
Android反编译工具-jadx
04-27
**Android反编译工具-jadx详解** 在移动应用开发领域,尤其是Android平台,开发者们有时需要对APK文件进行逆向工程,以了解其内部工作原理、安全分析或二次开发。这时,Android反编译工具就显得尤为重要。本文将...
Android反编译工具
11-29
总之,`android-tool.jar`、`jd-gui.jar`和`dex2jar`是Android反编译流程中的核心工具,它们使得开发者能够洞察APK的内部工作机制,这对于安全分析、逆向工程和学习借鉴他人的编程技巧具有重要价值。然而,反编译也...
CE+OD无法附加游戏进程的破解方法
11-26
那些所谓的游戏保护 真的只是为难菜鸟而已,对于大鸟基本不起作用. 游戏无法就是采用 线程 进程 SSDT 等等这些东西来限制一些如:CE OD ASM32 这些工具调试而已 比如OD要调试一个程序进程 首先做的是2步操作 1.调用系统库中打开进程的API函数 2.创建新线程来调试程序进程. 当如果 一个游戏出现无法OD附加或者调试失败的情况,那么可以先检查下 这2个方面是否存在问题. 第一:检查SSDT表中的函数是否被修改,
移动安全面试题—调试&调试
Andy0214的专栏
08-12 4941
对抗方法:使用内核模块或 Xposed 插件拦截对 /proc/self/status 的读取,将 TracerPid 字段设置为 0。对抗方法:使用内核模块或 Xposed 插件拦截对 /proc/self/maps 的读取,移除与调试器相关的内存映射信息。检测 /proc/self/status 中的 TracerPid 字段:如果该字段的值不为 0,则表示有调试附加。修改 /proc/self/status 中的 TracerPid 字段,伪装成无调试附加的状态。可能需要结合静态和动态分析工具。
调试检测之一TracerPid
omnispace的博客
08-24 1649
当我们使用Ptrace方式跟踪一个进程时,目标进程会记录自己被谁跟踪,可以查看/proc/pid/status看到这个信息,下图展示的是使用ida进行调试的情况。 Paste_Image.png Paste_Image.png 而没有被调试的时候TracerPid为0: Paste_Image.png 因此一种常见的检测调试的办法就是去读取这个值,发现不是0则判定
android 调试 方案,android调试之tracerPid检测
weixin_32120857的博客
05-26 475
#include #include #include #include #include #define TRACERPID "TracerPid:"#define TRACERPID_LEN (sizeof(TRACERPID) - 1)void loop(){while(true){sleep(60);}}bool check_debugger(pid_t pid){const int pat...
IDA pro脱壳实战过调试
daide2012的博客
07-28 7471
IDA pro脱壳实战过调试标签(空格分隔): Apk逆向1. 前言之前总结了IDA pro脱壳的基本步骤,包括调试步骤和在libdvm.so的dvmDexFileOpenPartial函数出下断点,从内存中dump出dex文件。 这次以360一代加壳为例,试着在mmap出下断点和过一些基本的调试技术。2. 脱壳环境搭建这里的环境搭建和上一篇博客一样http://blog.csdn.net/d
绕过调试之_TracerPid
qq_34108752的博客
09-18 800
一:先操作下 手机端运行 EncryptDemo.apk 开启动态调试 adb push d:\as /data/local/tmp/as adb shell su chmod 777 /data/local/tmp/as /data/local/tmp/as //这里成功的话 cmd最后会显示 Listening on port #23946 adb forward tcp:23946 tcp...
i茅台app逆向分析frida调试
zxc979647835的专栏
05-15 3733
frida的作用在逆向中尤其重要,一攻一防的frida调试定位带你一探究竟。文章仅供思路参考,请勿用作非法攻击
App之Hook调试解决办法
SC201204的博客
02-03 1099
App之Hook调试解决办法
创建与运行你的第一个Android应用程序
学习Android应用程序开发的过程中,第一步通常是创建并运行你的第一个应用程序。这个过程涵盖了从启动Eclipse到构建项目,再到理解项目结构和运行应用的基本步骤。以下是对这些知识点的详细说明: 1. 创建Android...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值