android 反调试(TracePid 不断轮询检查 JAVA )

最新推荐文章于 2025-03-27 15:28:32 发布
最新推荐文章于 2025-03-27 15:28:32 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: android逆向学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Viewz/article/details/90649151
版权

在android 中,在调试状态下,linux会向/proc/"进程PID"/status 中写入状态信息。其中TracePid 就是调试该进程的进程的的Pid,所以反调试的方法之一就是通过不断轮询检查TracePid的值,假如为0的话,说明该进程没有被调试,假如不为0的话,就说明当前该进程正在被调试,程序执行exit(0)操作。

我直接用一个类来包装我的adb shell:

先通过getpid()函数来查找当前我们程序的pid.然后利用Runtime.getRuntime.exec()函数来执行adb 命令,然后通过BufferReader来读取status 并放入String中。

public final class RootCmd {
   public static String GetTracePid(){
       int pid =getpid();
       String ss=String.valueOf(pid);
       Process p = null;
       try {
           p = Runtime.getRuntime().exec("cat /proc/"+ss+"/status");
       } catch (IOException e) {
           e.printStackTrace();
       }
       String data = null;
       BufferedReader ie = new BufferedReader(new InputStreamReader(p.getErrorStream()));
       BufferedReader in = new BufferedReader(new InputStreamReader(p.getInputStream()));
       String error = null;
       try {
           while ((error = ie.readLine()) != null
                   && !error.equals("null")) {
               data += error + "\n";
           }
       } catch (IOException e) {
           e.printStackTrace();
       }
       String line = null;
       try {
           while ((line = in.readLine()) != null
                   && !line.equals("null")) {
               data += line + "\n";
           }
       } catch (IOException e) {
           e.printStackTrace();
       }

       Log.v("ls", data);
       String tmp=data.split("\n")[7];
       tmp=tmp.replace("TracerPid:","");
      // Log.i("TracePid",tmp);
       return tmp;
   }

在MainActivity中利用线程不断轮询执行该函数,因为toast只能在主线程中执行,所以利用handleMessage向主线程发送消息。我这里没有用Timer来实现不断轮询执行,我用的是线程的sleep函数

public class MainActivity extends AppCompatActivity {
    private Handler handler ;
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        handler=new Handler() {
            @Override
            public void handleMessage(Message msg) {
                super.handleMessage(msg);
                if (msg.what == 0) {
                    Toast toast = Toast.makeText(getApplicationContext(), "程序没有正在被调试", Toast.LENGTH_LONG);
                    //显示toast信息
                    //toast 只能在主线程中执行,所以利用handeler message 向主线程发送消息
                    toast.show();

                }
                if (msg.what == 1) {
                    Toast toast = Toast.makeText(getApplicationContext(), "程序正在被调试", Toast.LENGTH_LONG);
                    //显示toast信息
                    toast.show();
                    exit(0);
                }
            }
        };
      /* Log.i("SSSSS", "调试开始了");
        int pid =getpid();
        String ss=String.valueOf(pid);
        Log.i("SSSSS",ss);
       Toast toast=Toast.makeText(getApplicationContext(),ss, Toast.LENGTH_LONG);
        //显示toast信息
       toast.show();*/
        //利用线程的sleep 定时轮询检查TracePid
        new Thread() {
            @Override
            public void run() {
                //这里写入子线程需要做的工作
                int flag=1;
                while(flag!=0) {
                    String Tracepid = RootCmd.GetTracePid().trim();  //执行adb命令,查找当前程序是否正在被调试
                    int Trace = Integer.valueOf(Tracepid).intValue();
                    if (Trace != 0) {
                        Log.i("TracePid", "程序正在被调试");
                        Message message=new Message();
                        message.what=1;
                        handler.sendMessage(message);
                    } else {
                        Log.i("TracePid", "程序没有正在被调试");
                        Log.i("TracePid", Tracepid);
                        Message message=new Message();
                        message.what=0;
                        handler.sendMessage(message);
                    }
                    try {
                        Thread.sleep(10000);
                    } catch (InterruptedException e) {
                        e.printStackTrace();
                    }
                }
            }
        }.start();
    }




}

 

Android常用的延迟执行任务及轮询定时任务的几种方式
是阿超
04-24 1850
Android常用的延迟执行任务及轮询定时任务的几种方式
Android中的反调试代码
05-29
Android反调试案例Android反调试案例Android反调试案例Android反调试案例
浅谈android反调试轮询TracePid(解决方案是特色)
weixin_34096182的博客
04-30 404
浅谈android反调试轮询TracePid(解决方案是特色) 参考文章:1. http://bbs.pediy.com/thread-207538.htm2. http://www.wjdiankong.cn/android 需求:常见的Android 反调试方案其实并不多, 就那么几种, 其中一种方案通过轮训TracePid, 具体...
安卓反调试技术-TracerPid代码实现及反反调试(1)
最新发布
qq_46415382的博客
03-27 323
在调试状态下,Linux会向/proc/<pid>/status中写入一些进程状态的消息,其中最值得关注的就是TracerPid值,这个值会被写入了调试进程的pid。此时程序还没有被调试,所以TracerPid值为0,还有一个State为S(sleeping),这个字段也会随着程序调试更改,但不是我们今天要关注的。这里第一个小坑来了,我看的资料说用的是ps | grep com.example.myapplication这个命令,但是我用的话就什么都没有。cpp文件下的:check_pid.cpp。
android 反调试 方案,android反调试之tracerPid检测
weixin_32120857的博客
05-26 522
#include #include #include #include #include #define TRACERPID "TracerPid:"#define TRACERPID_LEN (sizeof(TRACERPID) - 1)void loop(){while(true){sleep(60);}}bool check_debugger(pid_t pid){const int pat...
Android反调试检测
re_psyche的博客
09-07 2843
java层保护 1 代码混淆 apk应用在被逆向分析时,java层代码就像被扒光一样,而native代码分析难度大,但是需要扎实的c/c++基础。这个时候大家就可以考虑一下代码混淆技术稍作保护(毕竟看着好多abc也挺烦的)。Android开发中提供了Proguard这一工具来进行代码混淆。 这里只做简单介绍,Proguard是一个开源项目,他能够对Java类中的代码进行压缩(Shrink),优化(...
Android反调试与反反调试
09-19 1968
TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。在输出中,ptrace_stop 表示进程 17305 当前正在被调试器暂停,等待调试器发出的命令。通过head /proc/[pid]/status 可以查看详细的进程状态。
Android安卓安全加固反调试检测手段(java层+native层)(附代码实现).pdf
11-25
本文档详细介绍了在Android平台下,如何通过Java层和native层的多种手段来进行反调试检测。这些技术可以帮助开发者保护自己的应用不被轻易分析和破解,对于Android安卓逆向和安全研究者来说具有很高的借鉴意义。通过...
Android实现轮询的三种方式
08-19
Android 中实现轮询功能有多种方式,本文将详细介绍三种常见的实现方法,分别是使用 RxJava、Handler 和 Java 的 Timer 和 TimerTask 实现轮询。 一、使用 RxJava 实现轮询 RxJava 是一个基于 Reactive ...
一个轮询java案例
08-08
Java编程中,轮询(Polling)是一种常见的技术,用于检查某个条件是否满足,或者等待特定事件的发生。它通常涉及在一个循环结构中定期检查某个状态,直到满足预设条件为止。例如,我们可以设计一个线程,该线程...
Android两种轮询的实现方法
08-19
"Android 轮询机制的实现方法" Android 轮询机制是指在 Android 应用程序中,如何实现轮询的机制,以便在一定的时间间隔内,执行特定的任务或操作。在本文中,我们将详细介绍 Android 中两种常见的轮询机制的实现...
安卓反调试-解决方案一
06-22
安卓反调试代码,通过定时检测程序是否被Trace,是则退出。主要学习“尼古拉斯.赵四”大师的博客,推荐一下:http://www.520monkey.com/
刷boot.img内核防止反调试TracerPId的轮询
10-24
1、学习如何提取内核 2、如何修改TracerPID跳过反调试 3、提供了需要用到的工具和源码
安卓反调试实现
深耕安全技术研究
01-27 3076
不多说了,直接上源码,8种反调试方法。 1.//ptrace自己,使得android_server附加不上 void anti_debug01() { ptrace(PTRACE_TRACEME, 0, 0, 0); } 2.//检测Tracepid的值 void anti_debug02() { try { const int bufsize = 1024; char filename[bufsize]; char line[bufsize]; int pid = getpid(); sprintf(fi
Android 中的反调试技术
weixin_30892987的博客
07-15 318
比较简单的有下面这两种 调试端口检测, 23946(0x5D8A) Demo: void CheckPort23946ByTcp() { FILE* pfile=NULL; char buf[0x1000]={0}; // 执行命令 char* strCatTcp= "cat /proc/net/tcp |grep :5D8A"; //char* ...
反调试检测之一TracerPid
omnispace的博客
08-24 1737
当我们使用Ptrace方式跟踪一个进程时,目标进程会记录自己被谁跟踪,可以查看/proc/pid/status看到这个信息,下图展示的是使用ida进行调试的情况。 Paste_Image.png Paste_Image.png 而没有被调试的时候TracerPid为0: Paste_Image.png 因此一种常见的检测调试的办法就是去读取这个值,发现不是0则判定
Android反调试总结
u010725842的专栏
05-01 1598
反调试可以分两类:一类是检测,另一类是攻击。 前者:是去想各种办法去检测程序是否在被调试,如果正在被调试的话做出一些”返”的举措,比如退出(这里的退出不是一个万全之策,因为容易暴露反调试的位置点,更好的是想办法不让攻击者发现,并且跳到另一个位置,让攻击者懵逼)等等; 后者:是采用攻击的方法,就是想办法让调试器不能正常工作或者是让调试器崩溃,从而阻止它。 1.一种进程最多只能被一个进程pt...
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
热门推荐
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Javajava层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
探索 Android 反调试利器:AndroidAntiDebugger
gitblog_00050的博客
04-22 433
探索 Android 反调试利器:AndroidAntiDebugger AndroidAntiDebugger项目地址:https://gitcode.com/gh_mirrors/an/AndroidAntiDebugger 在这个日益竞争激烈的移动应用市场,安全性和隐私保护变得至关重要。对于开发者而言,防止恶意调试是保护应用免受攻击和篡改的重要手段之一。今天,我们要介绍一款开源项目——,这...
android 反调试
03-08
### Android 平台上实现反调试的技术 #### 利用 `TracerPid` 进行检测 在 Linux 系统中,进程可以通过 `/proc/[pid]/status` 文件中的 `TracerPid` 字段来判断当前是否有其他进程正在对其进行跟踪或调试。当该字段不等于 0 时,则表示存在一个有效的追踪者[^2]。 ```java public static boolean checkDebuggerByTracerPid() { try { String tracerPid = new java.io.BufferedReader( new java.io.FileReader("/proc/self/status")) .lines() .filter(line -> line.startsWith("TracerPid:")) .findFirst().get(); return !tracerPid.endsWith("TracerPid:\t0"); } catch (Exception e) { return false; } } ``` 如果发现有非零值返回给调用方,那么应用程序可以采取相应措施保护自己免受未授权访问的影响。 #### 定期轮询检查执行间隔时间 通过设置定时器定期监测代码片段之间的运行周期是否异常延长也可以作为一种简单的反调试手段之一。因为一旦被附加到调试工具上之后,某些操作可能会变得非常缓慢甚至暂停等待断点触发[^1]。 ```java private Handler handler = new Handler(Looper.getMainLooper()); Runnable runnableCode; // 设置初始延迟时间和重复频率 long initialDelayMillis = 500L; // 半秒后启动第一次检查 long periodMillis = 100L ; // 每隔十分之一秒再次验证一次 @Override protected void onCreate(Bundle savedInstanceState){ super.onCreate(savedInstanceState); runnableCode = () -> { long startTimeNs = System.nanoTime(); // 放置一段耗时不固定的逻辑作为参照物 if ((System.nanoTime()-startTimeNs)>=(periodMillis*2_000_000)){ finish(); // 若超过正常范围则强制关闭应用 } handler.postDelayed(runnableCode, periodMillis); }; handler.postDelayed(runnableCode,initialDelayMillis); } ``` 这种方法虽然简单但是容易绕过,在实际开发过程中通常会与其他更复杂的机制组合使用以提高安全性。 #### JNI 层面的防护 对于那些希望深入防御的应用来说,可以在 C/C++ 层面上利用本地库来进行更加底层的操作。例如借助于 Android NDK 提供的功能编写自定义函数用于探测是否存在外部连接尝试读取内存映像等情况,并据此作出反应如终止进程等动作。 ```c++ #include <unistd.h> #include <sys/types.h> extern "C" bool isBeingDebugged(){ int result=-1; char buffer[8]; FILE *file=fopen("/proc/self/status","r"); while(fgets(buffer,sizeof(buffer),file)!=NULL){ if(strncmp(buffer,"TracerPid:",strlen("TracerPid:"))==0){ sscanf(buffer,"%*s %d",&result); break; } } fclose(file); return result>0?true:false; } JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM* vm,void* reserved){ if(isBeingDebugged()){ exit(-1); } return JNI_VERSION_1_6; } ``` 上述三种方式只是众多可能方案里的冰山一角而已;随着技术的发展还会有更多新颖而有效果的办法不断涌现出来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值