【移动安全基础篇】——29、Android源码定制添加反反调试机制

最新推荐文章于 2023-01-11 16:49:13 发布
最新推荐文章于 2023-01-11 16:49:13 发布
阅读量766 收藏 1
点赞数
分类专栏: 【移动安全】 # 移动安全基础篇

1. Kernel proc
内核修改
检测都是通过 proc 进行的,因此我们需要从 proc 入手
要修改的数据:
/fs/proc/base.c、/fs/proc/array.c
要修改对以下文件的写入:
status, stat
修改点:

base line:285
else{
    if(strstr(svmname, “trace”)){
        return sprint(buffer, “%s”, “sys_epoll_wait”);
    }
    return sprint(buffer, “%s”, symname);
}
array line: 134
static const char * const task_state_array[] = {
    “R (running)”, /* 0*/
    “S (sleeping)”, /* 1*/
    “D (disk sleep)”,  /* 2*/
    “S (sleeping)”, /* 4*/
    “S (sleeping)”, /* 8*/
    “Z (zombie)”, /* 16*/
    “X (dead)”,  /* 32*/
    “x (dead)”,  /* 64*/
array line 187
“Gid:\t%d\t%d\t%d\t%d\n”,
    get_task_state(p),
    task_tgid_nr_ns(p, ns),
    pid_nr_ns(pid, ns),
    ppid, /*tpid*/0,
    cred->uid, cred->euid, cred->suid, cred->fsuid
    cred->gid, cred->egid, cred->sgid, cred->fsgid);

修改完成后,编译内核,刷入系统
2. Demo 

导入内核源代码

定位到/fs/proc/base.c 文件中找到 status 相关的方法

status 文件中的信息如下图

task_name 方法

task_state 方法

想把status数据中的状态信息进行修改的话就要修改task_status_array内容( 修改点一),这样便绕过了 State

对 TracePid 进行绕过:TracePid 通常都是对父进程 pid 进行检测,这里将 ppid 改为 0,这样不管是否为调试状态,TracePid 都无法检测出

定位到 Stat 相关方法

Stat 文件中存放着用户属性的简短描述符

跳转到 do_task_start 方法

定位到写数据的相关代码

找到 state 的位置

跳转到 state 被赋值的地方

get_task_state 方法

修改相应的 state 数据就会绕过检测

对 wchan 文件的修改

whan 文件如果是在调试过程中会变成 Trace 数据

结果验证

 

 

FLy_鹏程万里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux调度器(十)——调度器/proc信息解读
阿罗
02-06 2万+
注下面的时间或时刻都是从rq->clock中获得的,而这个值是由update_rq_clock底层cpu来更新的。并且很多信息是需要内核配置CONFIG_SCHEDSTATS才有。 /proc//sched $cat /proc/28733/sched     cpu_test (28733, #threads: 1) --------------------------
/proc 目录下各进程创建过程
wyt357359的专栏
12-09 1099
/proc/ 下各进程是动态创建的,其创建过程如下 (内核版本为 2.6.30):  mount -t proc proc /proc     .get_sb                = proc_get_sb,          proc_fill_super                    root_inode = proc_get_inode(s, PROC_ROOT_I...
三、Android系统内核编译及刷机实战 (修改反调试标志位)
热门推荐
七月冷雨
06-18 1万+
前言在 二、Android系统源码编译及刷机实战 一文中,我们成功编译了Android 4.4.4_r1源码并刷入系统了 Nexus 5 设备,下面是设置界面的信息。上面显示的内核版本信息是3.4.0-gd59db4e,内核的编译时间是Mon Mar 17 15:16:36 PDT 2014,也就是说内核之前就已经编译过了,我们编译系统源码的时候并没有编译内核源码!那么编译好的内核文件放在了哪里呢?
linux 进程参数文件 /proc/pid/cmdline 简介
whatday的专栏
10-01 8580
proc根目录下,以数字命名的目录表示当前一个运行的进程,目录名为进程的pid。其内的目录和文件给出了一些关于进程的信息。 ywx@ywx:/proc/1500$ ls ls:cannot read symboliclinkcwd:Permission denied ls:cannot read symboliclinkroot:Permission denied ls:cannot read symboliclinkexe:Permission denied attr ...
proc文件系统
m0_74282605的博客
01-11 152
register_sysctl_table 函数需要一个参数,一个指向 ctl_table 数组的指针,其中定义了新的sysctl层次结构。kcore是一个动态的内核文件,包含了运行中的内核的所有数据,即主内存的全部内容。首先,创建proc_dir_entry的一个新实例,填充描述该数据项的所有需要的信息。proc_pid_lookup负责打开/proc/中特定于PID的文件。proc文件系统中,根inode与其他inode的不同之处在于,它不仅包含“普通”的文件和目录,还管理着特定于进程的PID目录。
Android防止被动态调试的解决方法
逍遥阁
05-11 5532
1、判断要是BuildConfig.DEBUG为false,但AndroidManifest却声明为debuggable,可认为是被动态调试调试状态,强制退出 2、定时轮询,判断在BuildConfig.DEBUG为false时,是否有调试器连接,如果有,可认为是被动态调试调试状态,强制退出 3、定时轮询,判断在BuildConfig.DEBUG为false时,是否被其他进程用Ptrace方式跟踪,如果有,可认为是被动态调试调试状态,强制退出 public class DebuggerUtils {
Linux OOM killer
yongjong的专栏
07-29 845
设置oom_score_adj参数的内核代码位置为fs/proc/base.c,函数名为oom_score_adj_write。否则转换关系式为oom_score_adj=oom_adj*OOM_SCORE_ADJ_MAX/-17。如果oom_adj的值取最大(15),对应的oom_score_adj为OOM_SCORE_ADJ_MAX(1000)设置oom_adj参数的内核代码位置为fs/proc/base.c,主要调用的函数是oom_adj_write。...
proc文件系统探索 之 以数字命名的目录
weixin_34183910的博客
12-28 159
proc根目录下,以数字命名的目录表示当前一个运行的进程,目录名即为进程的pid。其内的目录和文件给出了一些关于该进程的信息。niutao@niutao-desktop:/proc/6584$ ls attr coredump_filter fd maps oom_score statm auxv cpuset ...
proc文件系统探索 之 以数字命令的目录
ljx0305的专栏
11-07 2530
以数字命名的目录表示当前一个运行的进程,目录名即为进程的pid。怒录内的目录和文件给出了一些关于该进程的一些信息。 niutao@niutao-desktop:/proc/6584$ ls attr        coredump_filter  fd        maps        oom_score  statm auxv        cpuset
移动开发构架漫谈——反劫持实战
02-25
HTTP劫持是在使用者与其目的网络服务所建立的专用数据通道中,监视特定...优酷客户端页面上方的小广告,并不是优酷所添加的,但是却出现在优酷应用中。传统浏览网页经常会弹出很多弹窗广告,现在这种情况也移植到移动
android.jar源码 安卓10(api29)
03-19
从安卓Sdk里面提取出来的android.jar源码,可供参考 android-29.zip
hessian学习基础——序列化和反序列化
05-26
NULL 博文链接:https://qinghua0208.iteye.com/blog/493516
Android小项目——新闻APP(源码
02-26
Android小项目——新闻APP(源码),一个很简单的可以练手的Android Demo Ps:下载之前可以先看一下这文章——https://blog.csdn.net/qq_34149526/article/details/80992341
Android源码分析——ViewGroup的事件分发机制(二)
01-03
通过前一博客View的事件分发机制,从dispatchTouchEvent说起(一)的介绍相信大家对 Android View 事件的分发机制有了很深的理解。我们知道 Android 中 View 是存在于 Activity。 今天我们继续学习 Activity 到 ...
java基础——java的起源与演变
07-14
Java 的跨平台原理: Java 源代码---编译--->java 字节码(可跨平台) ---运行--->JVM(java 虚拟机)→Windows,Linux 等平台。JVM 屏蔽了底层运行平台的差别,实现了“以此编译,随处运行”。 垃圾回收器: 不...
android apk反编译到java源码的实现方法
01-05
之前我写过一文章反编译Android的apk包到smali文件 然后再重新编译签名后打包实现篡改apk的功能。 最近又有一种新的方法来实现直接从Android apk包里的classes.dex文件,把dex码反编译到java的.class二进制码,然后...
java基础——入门
07-14
因为在jdk下bin文件夹中有很多我们在开发中要使用的工具如javaexejavacexejarex等那么我们在使用时想要在电脑的任意位置下使用这些java开发工具那么我们就需有把这些工具所在的路径配置到系统的环境变量中当我们使用...
大数据安全分析——理念
02-25
下面想针对个人有一定了解的地方,具体谈几个方面,每个方面单独成为一安全分析的相关背景及理念安全分析中的狩猎(Hunting)和事件响应安全分析与可视化安全分析相关技能今年的RSA大会主题是“变化,挑战当今的...
安卓Android源码——史上最强NDK入门项目实战.zip
10-12
安卓Android源码——史上最强NDK入门项目实战.zip
groovy 字符串截取最后一个_Java基础——字符串详解
最新发布
06-03
你的问题是关于字符串截取的,那么我就来为你解答。在 Groovy 中,可以使用下划线 "_" 来分隔字符串,并且可以使用 getAt() 方法来获取字符串的某一部分。如果要截取字符串中最后一个下划线后面的部分,可以使用以下代码: ```groovy def str = "Java_基础——字符串详解" def lastIndex = str.lastIndexOf("_") def result = str.getAt(lastIndex+1..-1) println result ``` 输出结果为: ``` 字符串详解 ``` 这段代码首先使用 lastIndexOf() 方法来获取字符串中最后一个下划线的位置,然后使用 getAt() 方法来获取最后一个下划线后面的部分。注意,这里使用了一个范围操作符 ".." 来表示从最后一个下划线的下一个字符一直到字符串的最后。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值