Android安全：native层反调试并绕过

最新推荐文章于 2025-03-05 13:12:45 发布

阿阿阿卡

最新推荐文章于 2025-03-05 13:12:45 发布

阅读量1k

点赞数 18

文章标签： android 安全

本文链接：https://blog.csdn.net/aka_yoo/article/details/141220123

版权

0x00：前言

本篇文章会介绍如何在Android的native层添加简单的反调试代码，以及站在攻击者的角度分析该反调试的薄弱点，并进行绕过反调试。最后，会说一下个人的想法。

0x01：native层反调试

native层反调试示例代码：

#include <stdio.h>
#include <stdlib.h>
#include <jni.h>
#include <unistd.h>
#include <sys/ptrace.h>

void anti_debug() {
   
    if(ptrace

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

阿阿阿卡

关注关注

18
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

玩转Android10源码开发定制(六)修改内核源码绕过反调试检测

xiaomaNo01的专栏

12-30

1425

一、Android反调试 反调试在代码保护中扮演着非常重要的角色，虽然不能完全阻止攻击者，但是能加大攻击者的分析时间成本。目前绝大多数Android app都加固了,为了防止App被调试分析，加固功能中添加了各种反调试功能，比如:自己ptrace自己、检查函数执行时间、读取/proc/$pid/wchan或者/proc/$pid/task/$pid/wchan文件信息判断调试状态、读取/proc/$pid/stat或者/proc/$pid/task/$pid/stat文件信息判断调试状态、读取/...

android拦截native方法,Android native反调试方式及使用IDA绕过反调试

weixin_30332669的博客

05-25

913

0x00为了避免我们的so文件被动态分析，我们通常在so中加入一些反调试代码，常见的Android native反调试方法有以下几种。1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0)，参考Android Native反调试。2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如果!=0就退出程...

参与评论您还未登录，请先登录后发表或查看评论

Android下反调试与反反调试

09-19

1905

TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪，否则没有被调试值应该为0。使用 cat 命令查看 /proc/[pid]/wchan 文件，该文件显示进程当前正在等待的内核函数。再通过 head /proc/[pid]/status 可以查看详细的进程状态，包括是否被调试等信息。在输出中，ptrace_stop 表示进程 17305 当前正在被调试器暂停，等待调试器发出的命令。通过head /proc/[pid]/status 可以查看详细的进程状态。

APP加固dex解密流程分析

2503_90751789的博客

03-03

1162

这个加固壳和常规的加固方案类似,也是壳DEX->壳ELF->主ELF->主DEX这样的过程,其中壳ELF解密主ELF所用到的算法是RC4和uncompress,壳ELF加载主ELF所用到的技术是自实现linker加固so当然这个加固壳还有许多值得继续研究的地方,例如分发so函数的vmp其内部逻辑究竟是什么样子呢?native化的onCreate函数,dex2c的原理究竟是什么呢?这些都还有待探索,就把它们交给时间和未来的不眠之夜吧月遇从云，花遇和风，今晚上的夜空很美。

修改Android手机内核，绕过反调试

Fly20141201. 的专栏

02-26

1万+

0x1.手机设备环境 Model number: Nexus 5 OS Version: Android 4.4.4 KTU84P Kernel Version: 3.4.0-gd59db4e 0x2.Android内核提取查找Android设备的boot分区文件。高通芯片的设备可以通过下面的命令进行查找。 cd /home/androidcode/AndroidDevlop

Android反调试方法总结以及源码实现之检测篇（一）

热门推荐

雪一梦的博客

03-09

2万+

好久没有更新博客了，主要是忙项目的事，今日总结一下在Android中常遇到的反调试方法，一来帮助需要之人，二来加深自己的理解。 反调试在代码保护中扮演着很重要的角色，虽然不能完全阻止攻击者，但是还是能加大攻击者的时间成本，一般与加壳结合使用，核心还是加壳部分。 反调试可以分为两类：一类是检测，另一类是攻击，前者是去想各种办法去检测程序是否在被调试，如果正在被调试的话做出一些“反”的举措，比

android-native 反编译环境

hjjdebug的专栏

10-09

1428

确立了android 反编译环境为windows下. windows主战场+linux辅助战场为什么会是个混血儿？前言:本来想只在linux下工作，但是逆向却没有离开windows环境。 linux 是一个很好的环境，但是gdb+gdbserver 不适合逆向，只适合正向。而ida 在linux 下只找到6.3, 主要是仅是个评估版，功能受限。无arm调试功能。

Android Native反调试-检测TCP端口,ptrace自身,查看TracerPid

zhangmiaoping23的专栏

08-06

4326

Android Native反调试-检测TCP端口转：http://www.cnblogs.com/dacainiao/p/5139880.html 之前转载了一篇文章介绍了两种反调试方式，分别是ptrace自身和查看TracerPid信息，文章地址: http://www.cnblogs.com/dacainiao/p/5124151.html 这一处反调试是在调

Android native反调试方式及使用IDA绕过反调试

jltxgcy的专栏

01-28

1万+

0x00 为了避免我们的so文件被动态分析，我们通常在so中加入一些反调试代码，常见的Android native反调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0)，参考Android Native反调试。 2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查

绕过某书frida反调试检测获取某宝支付参数

最新发布

一个自学不成材的程序员

03-05

1682

在移动应用安全测试和研究过程中，我们经常需要使用Frida等工具对应用进行动态分析。然而，很多应用都实现了反调试和反注入机制，用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用（以下简称"某书"，本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数）的反调试检测机制。简单优于复杂：最初我们尝试通过Interceptor.replace复杂地替换目标函数，但这种方法容易导致应用崩溃。最后发现，直接阻止库加载是最简单有效的方法。分层防御。

逆向工程分析技术实验报告：基于Android APK的反调试与逆向破解详解

12-03

主要步骤包括反编译APK、分析native方法securityCheck、调试libcrackme.so文件、绕过反调试逻辑、修改so文件等。适合人群：网络安全专业的学生和研究人员，对逆向工程和程序分析有基本了解的技术人员。使用场景及...

Android中的反调试代码

05-29

Android中反调试案例Android中反调试案例Android中反调试案例Android中反调试案例

安卓反调试-解决方案一

06-22

安卓反调试代码，通过定时检测程序是否被Trace，是则退出。主要学习“尼古拉斯.赵四”大师的博客，推荐一下：http://www.520monkey.com/

9种android安卓反调试手段代码实现（附详细代码）.pdf

11-26

9种方法实现Android的反调试并有详细的代码实现。包括动态和静态反调试。对于不同的方法给出了优缺点，可以选择合适的自己的反调试手段只有知道反调试是怎么实现的才能更好的过反调试，Android逆向必备

Android native反调试检测及原理剖析

weixin_43632667的博客

04-06

937

一、检测Android——server文件 void check(){ const char* Path="/data/local/tmp"; dir =opendir(Path); int pid =getpid(); if(dir!=NULL){ dirent *currentDir; while((currentDir=readdir(dir)!=NULL)){ ...

android native 反编译,Android逆向系列之静态分析(四)–Native

weixin_39805195的博客

05-25

640

基本方法静态分析原生层程序基本的过程如下直接解压提取 so 文件(/lib文件夹)ida 反编译 so 文件阅读Arm汇编or反汇编代码根据 java 层的代码来分析 so 代码。根据 so 代码的逻辑辅助整个程序的分析。原生层静态分析例子2015-福建海峡两岸CTF-APK逆向,逆向试试吧反编译利用jadx反编译apk，确定应用的主活动程序的主活动为 com.example.mobicrac...

安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点和绕过策略

arr的博客

01-06

1万+

属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种闪退弹窗卡启动页实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .

android的反调试方法,Android 中的反调试技术

weixin_28358083的博客

05-26

264

比较简单的有下面这两种调试端口检测, 23946(0x5D8A)Demo:void CheckPort23946ByTcp(){FILE* pfile=NULL;char buf[0x1000]={0};// 执行命令char* strCatTcp= "cat /proc/net/tcp |grep :5D8A";//char* strNetstat="netstat |grep :23946";...

安卓反调试实现

深耕安全技术研究

01-27

3059

不多说了，直接上源码，8种反调试方法。 1.//ptrace自己,使得android_server附加不上 void anti_debug01() { ptrace(PTRACE_TRACEME, 0, 0, 0); } 2.//检测Tracepid的值 void anti_debug02() { try { const int bufsize = 1024; char filename[bufsize]; char line[bufsize]; int pid = getpid(); sprintf(fi