Android Native反调试

最新推荐文章于 2023-11-26 13:19:27 发布
最新推荐文章于 2023-11-26 13:19:27 发布
阅读量1.3k 收藏
点赞数
分类专栏: 编程 Android 文章标签: 安全 native 调试 android 加密

http://www.zhaoxiaodan.com/java/android/android-native%E5%8F%8D%E8%B0%83%E8%AF%95.html

思考

之前研究了下如何调试和尝试反一个别人加密的东西, 所以现在的体会就是:

其实重点不是你如何加密, 重点是如何不让别人知道你怎么加密的

因为像这种自己加密的资源运行的时候自己解密之后拿来用的程序, 我甚至根本不用关心你到底怎么加密, 加密算法是啥, 我只需要知道, 你解密完了之后, 那个资源的内存块在哪, 写个dumper就全拿到了;

加密并不能防止被破解, 只是增加破解的难度和门槛, 加密解密是一个相互博弈的过程

把资源加个密, 那么对于那些技术比较初级, 又想简单拷贝的人, 他们就拿你没办法了; 但是对于那些懂一点原理懂一点IDA的人, 并没有什么卵用

那么好, 现在我要研究一下, 怎么样再增加那么一点点门槛

之前解密的一个重要前提就是调试, 所以, 最直接想到的增加的门槛就是反调试.

测试

先建个android 工程, 并加入native支持

android-anti-debug

先打出pid和父pid出来看看

#include <jni.h>
#include <stdio.h>
#include <sys/ptrace.h>
#include <unistd.h>

#include "log.h"

void anti_debug()
{
    int pid = getpid();
    int ppid = getppid();

    LOGD("pid:%d,ppid:%d",pid,ppid);

}

jint JNI_OnLoad(JavaVM* vm, void* reserved)
{
    anti_debug();
    JNIEnv* env;
    if (vm->GetEnv(reinterpret_cast<void**>(&env), JNI_VERSION_1_6) != JNI_OK)
    {
        return -1;
    }

    return JNI_VERSION_1_6;
}

06-11 06:42:24.411: D/[android-anti-debug](1451): pid:1451,ppid:192

pid 192 是:

root      192   1     492204 38400 ffffffff b756598c S zygote

在Android系统中,所有的应用程序进程以及系统服务进程SystemServer都是由Zygote进程孕育(fork)出来的,这也许就是为什么要把它称为Zygote(受精卵)的原因吧

具体参见:Android系统进程Zygote启动过程的源代码分析

看下 /proc/1451/stat

root@mx3:/data/local/tmp # cat /proc/17204//status
Name:   ndroidantidebug
State:  S (sleeping)
Tgid:   17204
Pid:    17204
PPid:   2146
TracerPid:  0
Uid:    10058   10058   10058   10058
Gid:    10058   10058   10058   10058
FDSize: 256
...

用gdbserver 去attach一下看看发生什么:

root@mx3:/data/local/tmp # ps |grep blog
u0_a58    30678 2146  907884 59720 ffffffff 4005778c S com.zhaoxiaodan.blog.androidantidebug
root@mx3:/data/local/tmp # ./gdbserver --attach 127.0.0.1:1234 30678
Attached; pid = 30678
Listening on port 1234

root@mx3:/data/local/tmp # cat /proc/17204//status
Name:   ndroidantidebug
State:  t (tracing stop)
Tgid:   17204
Pid:    17204
PPid:   2146
TracerPid:  20337
Uid:    10058   10058   10058   10058
Gid:    10058   10058   10058   10058

发现TracerPid行由0 变为了 20337

ida这些调试工具其实都是使用ptrace进行的, ptrace有一个很重要的特定:

一个进程只能被一个进程调试。

所以, 最简单的办法就是在JNI_OnLoad里直接ptrace(PTRACE_TRACEME, 0, 0, 0);

方法1, 直接ptrace(PTRACE_TRACEME, 0, 0, 0);

#include <jni.h>
#include <stdio.h>
#include <sys/ptrace.h>
#include <unistd.h>

#include "log.h"

void anti_debug()
{
    ptrace(PTRACE_TRACEME, 0, 0, 0);
}

jint JNI_OnLoad(JavaVM* vm, void* reserved)
{
    anti_debug();
    JNIEnv* env;
    if (vm->GetEnv(reinterpret_cast<void**>(&env), JNI_VERSION_1_6) != JNI_OK)
    {
        return -1;
    }

    return JNI_VERSION_1_6;
}

然后再用gdbserver 去attach:

root@mx3:/data/local/tmp # ./gdbserver --attach 127.0.0.1:1234 31092
Cannot attach to lwp 31092: Operation not permitted (1)

Exiting

好了, 挂不上了

但是这种方法, 用反编译打开, 很容易就找到调用ptrace的地方, 不知道修改下汇编指令(比如改为nilnil), 就跳过这个调用了

方法2, 暗桩

根据上面说的/proc/$pid/statusTracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如果!=0就退出程序

检查函数如下:

void be_attached_check()
{
    try
    {
        const int bufsize = 1024;
        char filename[bufsize];
        char line[bufsize];
        int pid = getpid();
        sprintf(filename, "/proc/%d/status", pid);
        FILE* fd = fopen(filename, "r");
        if (fd != nullptr)
        {
            while (fgets(line, bufsize, fd))
            {
                if (strncmp(line, "TracerPid", 9) == 0)
                {
                    int statue = atoi(&line[10]);
                    LOGD("%s", line);
                    if (statue != 0)
                    {
                        LOGD("be attached !! kill %d", pid);
                        fclose(fd);
                        int ret = kill(pid, SIGKILL);
                    }
                    break;
                }
            }
            fclose(fd);
        } else
        {
            LOGD("open %s fail...", filename);
        }
    } catch (...)
    {

    }

}

可以把这个函数搞成一个宏, 然后写个程序随机的把这个宏插入到源码的各个地方, 随着代码的不断执行, 会遇到各个这样的检查点

其实也没什么卵用, 只不过桩子多了, 你拔起来就麻烦点咯

下面这个只是用线程模拟检查的过程:

#include "android-anti-debug.h"
#include <string>
#include <sys/ptrace.h>
#include <unistd.h>
#include <stdlib.h>
#include <chrono>
#include <thread>
#include "log.h"

void be_attached_check()
{
    try
    {
        const int bufsize = 1024;
        char filename[bufsize];
        char line[bufsize];
        int pid = getpid();
        sprintf(filename, "/proc/%d/status", pid);
        FILE* fd = fopen(filename, "r");
        if (fd != nullptr)
        {
            while (fgets(line, bufsize, fd))
            {
                if (strncmp(line, "TracerPid", 9) == 0)
                {
                    int statue = atoi(&line[10]);
                    LOGD("%s", line);
                    if (statue != 0)
                    {
                        LOGD("be attached !! kill %d", pid);
                        fclose(fd);
                        int ret = kill(pid, SIGKILL);
                    }
                    break;
                }
            }
            fclose(fd);
        } else
        {
            LOGD("open %s fail...", filename);
        }
    } catch (...)
    {

    }

}

//检查线程, 每秒检查一下
void thread_task(int n)
{
    while (true)
    {
        LOGD("start be_attached_check...");
        be_attached_check();
        std::this_thread::sleep_for(std::chrono::seconds(n));
    }
}

void anti_debug()
{
//  ptrace(PTRACE_TRACEME, 0, 0, 0);
    auto checkThread = std::thread(thread_task, 1);
    checkThread.detach();
}

jint JNI_OnLoad(JavaVM* vm, void* reserved)
{
    anti_debug();
    JNIEnv* env;
    if (vm->GetEnv(reinterpret_cast<void**>(&env), JNI_VERSION_1_6) != JNI_OK)
    {
        return -1;
    }

    return JNI_VERSION_1_6;
}

蚯蚓也自由
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安卓安全加固调试检测手段(java层+native层)(附代码实现).pdf
11-25
本文档实现了java层和native层的调试手段 对于学习Android安卓逆向和安全的人来说有非常大的借鉴意义 里面附有详细的实现代码
【转】andorid ndk anti-debug
weixin_30725467的博客
08-07 133
思考 之前研究了下如何调试和尝试一个别人加密的东西, 所以现在的体会就是: 其实重点不是你如何加密, 重点是如何不让别人知道你怎么加密的 因为像这种自己加密的资源运行的时候自己解密之后拿来用的程序, 我甚至根本不用关心你到底怎么加密, 加密算法是啥, 我只需要知道, 你解密完了之后, 那个资源的内存块在哪, 写个dumper就全拿到了; 加密并不能防止被破解, 只是增加...
android 调试 方案,Android Native调试—检测TracerPid值
weixin_26907201的博客
05-26 326
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?/proc/$pid/status中显示程序的pid等信息,程序正常运行时TracerPid为0。程序被调试后,TracerPid 为正在调试此进程的pid。实现代码如下:void be_attached_check(){const int bufsize = 1024;char filename[bufsize];ch...
17种安全native调试收集
weixin_45428960的博客
08-21 283
这个资料是我去年刚接触安卓安全时整理的, 90%的调试都有,基本收集全了(实际还少3种), 大部分方法是收集的网络上的资料,来自于: (1)Anti-debugging Skills in APK —wooyun (2)Android逃逸技术汇编 —360 (3)以及github上收集的一些方法 (4)还有一点点我自己原创的方法(第11种)。 ...
180312 逆向-调试技术(5)NativeAPI
whklhhhh的博客
04-02 361
1625-5 王子昂 总结《2018年3月12日》 【连续第527天总结】 A. 调试技术(5) B. NativeAPI API的调用过程中,User态和Kernel态的通信仅通过ntdll.dll 换句话说,Win32子系统和兼容的Win16、MSDOS、OS/2等子系统都是通过kernel32.dll或直接调用ntdll.dll的 然后ntdll.dll通过int 0x...
Android编译工具-jadx
04-27
**Android编译工具-jadx详解** 在移动应用开发领域,尤其是Android平台,开发者们有时需要对APK文件进行逆向工程,以了解其内部工作原理、安全分析或二次开发。这时,Android编译工具就显得尤为重要。本文将...
Android Native Crash分析详解
最新发布
06-25
### Android Native Crash分析详解 #### 一、何为Native Crash 简单来说,Native Crash是指发生在native层的用户进程崩溃现象。在Android系统中,根据不同的层次可以将Native Crash大致分为以下四类: 1. **Java...
android so动态调试-测试专用apk
11-08
3. **Android Studio的Native Debugger**:集成在Android Studio中的NDK开发工具,提供了一个图形化的调试界面,可以直接调试armeabi-v7a、arm64-v8a等架构的SO文件。 4. **GDB(GNU Debugger)**:虽然现在GDB在...
安卓调试实现
深耕安全技术研究
01-27 2839
不多说了,直接上源码,8种调试方法。 1.//ptrace自己,使得android_server附加不上 void anti_debug01() { ptrace(PTRACE_TRACEME, 0, 0, 0); } 2.//检测Tracepid的值 void anti_debug02() { try { const int bufsize = 1024; char filename[bufsize]; char line[bufsize]; int pid = getpid(); sprintf(fi
安卓调试-解决方案一
06-22
安卓调试代码,通过定时检测程序是否被Trace,是则退出。主要学习“尼古拉斯.赵四”大师的博客,推荐一下:http://www.520monkey.com/
Android中的调试代码
05-29
Android调试案例Android调试案例Android调试案例Android调试案例
9种android安卓调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android调试并有详细的代码实现。包括动态和静态调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试Android逆向必备
安卓 调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 8134
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app调试映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Android调试检测
re_psyche的博客
09-07 2696
java层保护 1 代码混淆 apk应用在被逆向分析时,java层代码就像被扒光一样,而native代码分析难度大,但是需要扎实的c/c++基础。这个时候大家就可以考虑一下代码混淆技术稍作保护(毕竟看着好多abc也挺烦的)。Android开发中提供了Proguard这一工具来进行代码混淆。 这里只做简单介绍,Proguard是一个开源项目,他能够对Java类中的代码进行压缩(Shrink),优化(...
android 编译、调试方法总结
qq_34108752的博客
09-29 610
0x01 前言 最近在分析的很多应用都使用了XXX加固,研究半月未见成效,原因是对调试的方法和原理不够熟悉,导致无法对程序进行进一步分析和调试,故整理收集现有调试调试方法以便加深理解。 ...
Android逆向实战知识(一)
weixin_63576152的博客
11-26 1718
(1)使用 Android Killer 工具修改AndroidMenifest.xml文件, 在
android逆向之-调试
u013346208的博客
02-14 1699
一.检测特定文件 通过文件监测方式,检测android_server文件 问题:文件名可以更改 二.监测调试端口 1.通过adb shell->su>cat /proc/net/tcp 2.默认端口23946转换成16进制,查看上一步结果是否包含对应的16进制 问题:端口号可以更改 三.进程信息监测 类似文件名检测 四.TraceerPid监测 1.proc/%d/status,传入pid,读取到进程 2.进行TraceerPid,TraceerPid长度进行比较 五.防附加检测 原理:IDA调
AVMDBG:Android动态调试新工具详解与JDWP协议实践
3. **JEB动态调试**:强大的商业化工具,支持smali和native代码调试,但在价格上是个劣势。 4. **andbug开源项目**:虽有Linux支持,但原作者已停止维护,功能有限,且存在bug和交互不便的问题。anbc对其进行了一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值