安卓反调试实现

已于 2022-06-20 10:38:53 修改
阅读量2.8k 收藏 12
点赞数 4
分类专栏: 安卓逆向 反调试 安全 文章标签: android 安全
于 2021-01-27 10:45:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_kongfei/article/details/113242964
版权
安全 同时被 3 个专栏收录
71 篇文章 4 订阅
订阅专栏
安卓逆向
46 篇文章 9 订阅
订阅专栏
反调试
1 篇文章 0 订阅
订阅专栏

反调试的方法很多,不过由于android系统是开源的,所以反调试其实也不是很神秘的东西。
下面是常见的也是很多厂商都在使用,包括我们项目组也在使用的。多个方案相互结合可以实现更好反调试。

文章目录

1.1 ptrace自己,使得android_server附加不上

void anti_ptrace()
{
ptrace(PTRACE_TRACEME, 0, 0, 0);
}

1.2. 检测Tracepid的值

void anti_Tracepid()
{
try
{
const int bufsize = 1024;
char filename[bufsize];
char line[bufsize];
int pid = getpid();
sprintf(filename,/proc/%d/status”, pid);
FILE* fd = fopen(filename, “r”);
if (fd !=NULL)
{
while (fgets(line, bufsize, fd))
{
if (strncmp(line,TracerPid, 9) == 0)
{
int statue = atoi(&line[10]);
if (statue != 0)
{
fclose(fd);
int ret = kill(pid, SIGKILL);
}
break;
}
}
fclose(fd);
} else
{
// LOGD(“open %s fail…”, filename);
}
} catch ()
{

}

}

1.3 检测端口号,针对android_server这个端口号

void anti_serverport() {
const int bufsize=512;
char filename[bufsize];
char line[bufsize];
int pid =getpid();
sprintf(filename,"/proc/net/tcp");
FILE* fd=fopen(filename,“r”);
if(fd!=NULL){
while(fgets(line,bufsize,fd)){
if (strncmp(line,5D8A”, 4)==0){
int ret = kill(pid, SIGKILL);
}
}
}
fclose(fd);

}

1.4 检测这些调试进程的名字

void anti_processstatus(){
const int bufsize = 1024;
char filename[bufsize];
char line[bufsize];
char name[bufsize];
char nameline[bufsize];
int pid = getpid();
//先读取Tracepid的值
sprintf(filename,/proc/%d/status”, pid);
FILE *fd=fopen(filename,“r”);
if(fd!=NULL){
while(fgets(line,bufsize,fd)){
if(strstr(line,TracerPid)!=NULL)
{
int statue =atoi(&line[10]);
if(statue!=0){
sprintf(name,"/proc/%d/cmdline",statue);
FILE *fdname=fopen(name,“r”);
if(fdname!= NULL){
while(fgets(nameline,bufsize,fdname)){
if(strstr(nameline,“android_server”)!=NULL){
int ret=kill(pid,SIGKILL);
}
}
}
fclose(fdname);
}
}
}
}
fclose(fd);
}

1.5. 检测常放目录:/data/local/tmp

void anti_localtmp(){
int pid=getpid();
const int bufsize=1024;
char line[bufsize];
char filename[bufsize];
sprintf(filename,"/data/local/tmp");
FILE *fd=fopen(filename,“r”);
if(fd!=NULL){
while(fgets(line,bufsize,fd)){
if(strstr(line,“android_server”)!=NULL){
int ret=kill(pid,SIGKILL);
}
}
}
fclose(fd);
}

1.6 检测break point指令

unsigned long GetLibAddr() {
unsigned long ret = 0;
char name[] = “libptrace.so”;
char buf[4096], *temp;
int pid;
FILE *fp;
pid = getpid();
sprintf(buf,/proc/%d/maps”, pid);
fp = fopen(buf, “r”);
if (fp == NULL) {
puts(open failed);
goto _error;
}
while (fgets(buf, sizeof(buf), fp)) {
if (strstr(buf, name)) {
temp = strtok(buf,-);
ret = strtoul(temp, NULL, 16);
break;
}
}
_error: fclose(fp);
return ret;
}

1.7 通过使用Linux inotify特性来对文件的读写,以及打开等权限进行监控

void anti_debug06() {
int ret, len, i;
int pid6 = getpid();
const int MAXLEN = 2048;
char buf[1024];
char readbuf[MAXLEN];
int fd, wd;
fd_set readfds;
fd = inotify_init();
sprintf(buf,/proc/%d/maps”, pid6);
wd = inotify_add_watch(fd, buf, IN_ALL_EVENTS);
if(wd>=0){
while (1) {
i = 0;
FD_ZERO(&readfds);//使得readfds清零
FD_SET(fd, &readfds);//将fd加入readfds集合
ret = select(fd + 1, &readfds, 0, 0, 0);
if(ret==-1){
break;
}
if (ret) {
len = read(fd, readbuf, MAXLEN);
while (i < len) {
struct inotify_event *event = (struct inotify_event *) &readbuf[i];
if ((event->mask & IN_ACCESS) || (event->mask & IN_OPEN)) {
int ret = kill(pid6, SIGKILL);
return;
}
i += sizeof(struct inotify_event) + event->len;
}
}

}
}
inotify_rm_watch(fd, wd);
close(fd);

}

1.8.检测被调试代码的前后时间的差异;

int gettimeofday(struct timeval *tv,struct timezone *tz);
void anti_debug07(){
int pid=getpid();
struct timeval t1;
struct timeval t2;
struct timezone tz;
gettimeofday(&t1,&tz);
gettimeofday(&t2,&tz);
// int timeoff=gettimeofday(&t1,0)-gettimeofday(&t2,0);
int timeoff=(t2.tv_sec)-(t1.tv_sec);
if(timeoff>1){
int ret=kill(pid,SIGKILL);
return ;
}
}

更多安全技术文章,请关注 “小道安全”公众号,一起交流,一起进步。

小道安全
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
Android代码保护与调试方案
IT从业者,生活精致一点,工作认真一点!
12-21 1208
Android代码保护与调试方案
安卓 调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 7979
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app调试映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
[安卓逆向]常见调试调试及解决方案
杰孑的博客
04-09 1589
我们在逆向软件时难免会遇到一些调试策略,这篇文章就来详细总结下,现阶段比较流行的几种调试策略及解决方案。
Android逆向-基础与实践 (六) 调试
最新发布
shuwangyong的专栏
06-23 30
制手段1.算法助手、对话框取消等插件一键hook2.分析具体的检测代码3.利用IO重定向使文件不可读4.修改Andoird源码,去除常见指纹定义了一个和。方法检查设备的build tags是否包含test-keys。这通常是用于测试的设备,因此如果检测到这个标记,则可以认为设备已被 root。方法检查设备是否存在一些特定的文件,这些文件通常被用于执行 root 操作。如果检测到这些文件,则可以认为设备已被 root。方法使用方法来执行which su命令,然后检查命令的输出是否不为空。
移动安全面试题—调试&调试
Andy0214的专栏
08-12 4910
对抗方法:使用内核模块或 Xposed 插件拦截对 /proc/self/status 的读取,将 TracerPid 字段设置为 0。对抗方法:使用内核模块或 Xposed 插件拦截对 /proc/self/maps 的读取,移除与调试器相关的内存映射信息。检测 /proc/self/status 中的 TracerPid 字段:如果该字段的值不为 0,则表示有调试器附加。修改 /proc/self/status 中的 TracerPid 字段,伪装成无调试器附加的状态。可能需要结合静态和动态分析工具。
Android调试检测
re_psyche的博客
09-07 2685
java层保护 1 代码混淆 apk应用在被逆向分析时,java层代码就像被扒光一样,而native代码分析难度大,但是需要扎实的c/c++基础。这个时候大家就可以考虑一下代码混淆技术稍作保护(毕竟看着好多abc也挺烦的)。Android开发中提供了Proguard这一工具来进行代码混淆。 这里只做简单介绍,Proguard是一个开源项目,他能够对Java类中的代码进行压缩(Shrink),优化(...
9种android安卓调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android调试并有详细的代码实现。包括动态和静态调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试Android逆向必备
Android中的调试代码
05-29
在实际应用中,`EncryptDemo`可能是一个展示如何实现这些调试策略的示例项目,可能包括代码混淆、动态加载、JNI检测等多种技术的综合运用。通过研究和分析这个示例,开发者可以更好地理解和实践Android应用的...
Android虚拟机调试器原理与实现
02-25
本文主要讲解Android...在讲解android动态调试实现之前,先回顾下针对apk进行动态调试常用的几种方法,比较下不同解决方案的特点和存在的问题:smali插桩大法,编译apk后在关键位置插入smali代码,通过打印日志的
Android安卓安全加固调试检测手段(java层+native层)(附代码实现).pdf
11-25
本文档实现了java层和native层的调试手段 对于学习Android安卓逆向和安全的人来说有非常大的借鉴意义 里面附有详细的实现代码
android 编译、调试方法总结
qq_34108752的博客
09-29 608
0x01 前言 最近在分析的很多应用都使用了XXX加固,研究半月未见成效,原因是对调试的方法和原理不够熟悉,导致无法对程序进行进一步分析和调试,故整理收集现有调试调试方法以便加深理解。 ...
Android逆向实战知识(一)
weixin_63576152的博客
11-26 1700
(1)使用 Android Killer 工具修改AndroidMenifest.xml文件, 在
2021-09-18 安卓常见调试
classdota的博客
09-18 784
ANDROID调试检测技术汇编 1 调试调试端口 2 调试器进程名 3 父进程名检测 4 自身进程名检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 ...
android调试方法,Android 中的调试技术
weixin_28358083的博客
05-26 210
比较简单的有下面这两种调试端口检测, 23946(0x5D8A)Demo:void CheckPort23946ByTcp(){FILE* pfile=NULL;char buf[0x1000]={0};// 执行命令char* strCatTcp= "cat /proc/net/tcp |grep :5D8A";//char* strNetstat="netstat |grep :23946";...
android逆向之-调试
u013346208的博客
02-14 1695
一.检测特定文件 通过文件监测方式,检测android_server文件 问题:文件名可以更改 二.监测调试端口 1.通过adb shell->su>cat /proc/net/tcp 2.默认端口23946转换成16进制,查看上一步结果是否包含对应的16进制 问题:端口号可以更改 三.进程信息监测 类似文件名检测 四.TraceerPid监测 1.proc/%d/status,传入pid,读取到进程 2.进行TraceerPid,TraceerPid长度进行比较 五.防附加检测 原理:IDA调
探索 Android 调试利器:AndroidAntiDebugger
gitblog_00050的博客
04-22 337
探索 Android 调试利器:AndroidAntiDebugger 项目地址:https://gitcode.com/F8LEFT/AndroidAntiDebugger 在这个日益竞争激烈的移动应用市场,安全性和隐私保护变得至关重要。对于开发者而言,防止恶意调试是保护应用免受攻击和篡改的重要手段之一。今天,我们要介绍一款开源项目——AndroidAntiDebugger,这是一个专门用于增...
【转】andorid ndk anti-debug
weixin_30725467的博客
08-07 131
思考 之前研究了下如何调试和尝试一个别人加密的东西, 所以现在的体会就是: 其实重点不是你如何加密, 重点是如何不让别人知道你怎么加密的 因为像这种自己加密的资源运行的时候自己解密之后拿来用的程序, 我甚至根本不用关心你到底怎么加密, 加密算法是啥, 我只需要知道, 你解密完了之后, 那个资源的内存块在哪, 写个dumper就全拿到了; 加密并不能防止被破解, 只是增加...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值