获取和检测android的父进程

已于 2022-06-20 16:30:46 修改
阅读量1.6k 收藏 2
点赞数 3
分类专栏: 安卓逆向 安全 文章标签: android java
于 2021-08-04 10:40:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_kongfei/article/details/119378718
版权

简介

每个App的用于程序都是通过父进程zygote进行fork出来的子进程,所以zygote也是所有app的父进程。
那么对于zygote进程可以用于检测判断app应该是否处于被调试状态。

检测父进程原理

有的时候不使用apk附加调试的方法进行逆向,而是写一个.out可执行文件直接加载so进行
调试,这样程序的父进程名和正常启动apk的父进程名是不一样的。

实验测试

1、正常启动的apk程序:父进程是zygote
2、调试启动的apk程序:在AS中用LLDB调试发现父进程还是zygote
3、附加调试的apk程序:父进程是zygote
4、vs远程调试 用可执行文件加载so:父进程名为gdbserver
实验结论:父进程名非zygote的,判定为调试状态

代码实现



int CheckApkParents()
 { 

// 设置buf 
 char strPpidCmdline[0x100]={0};
 snprintf(strPpidCmdline, sizeof(strPpidCmdline), "/proc/%d/cmdl ine", getppid()); 
 // 调用系统的open函数进行打开文件 
 int file=open(strPpidCmdline,O_RDONLY); if(file<0) 
 { 
     //打开失败,
     LOGA("CheckApkParents open错误!\n");
     return -1;
 }
 
 // 文件内容读入内存
 memset(strPpidCmdline,0,sizeof(strPpidCmdline)); 
 //调用系统read函数进行读内存操作
 ssize_t ret=read(file,strPpidCmdline,sizeof(strPpidCmdline));
 if(-1==ret) 
 { 
 //读取内存数据失败
     LOGA("CheckApkParents read错误!\n");
     return -1; 
 }
 // 没找到返回0
 char sRet=strstr(strPpidCmdline,"zygote"); 
 if(NULL==sRet)
 { 
 
 // 执行到这里,判定为调试状态 
     LOGA("父进程cmdline没有zygote子串!\n");
     return 0; 
 }

 return 1;
 }
小道安全
关注
专栏目录
java 获取 进程名称_获取进程ID,进程ID,进程完整路径
weixin_42512441的博客
03-07 678
准备写一个进程管理的功能模块,今天下午先写了扫描获取本机各个进程路径,获取各个进程映像名称,进程完整路径。要获取进程信息,第一步想到的就是提权,提权代码用过多次了,今天也小结了一下(http://www.cnblogs.com/lsh123/p/8280575.html),不再复述。0x01 自定义结构体struct _PROCESS_INFORMATION_{ULONG ProcessID;...
android ptrace 检测,Android ptrace函数的实现
weixin_39992660的博客
05-28 883
首先看sys/ptrace.h/bionic/libc/include/sys/ptrace.h我们在调用的时候使用的是PTRACE_的导出符号,glibc也导出了PT_开头的符号。PTRACE_开头的符号定义在/bionic/libc/kernel/uapi/linux/ptrace.h中都是int型的数字,回到ptrace函数的定义,头文件中写的是一个不定参数的形式long ptrace(in...
android获取app进程ID
acxingyun的博客
09-15 2007
android.os.Process中可以直接获取当前应用的进程号:int pid = android.os.Process.myPid();在Process中是有获取进程ID方法的,但是不能用: 通过反射来实现: //获取对应的类 Class<Process> processClass = android.os.Process.class; //
Android进程整理
djwmzyl的专栏
12-12 254
一、概括   系统启动架构图:   上图在Android系统-开篇中有讲解,是从Android系统启动的角度来分析,本文是从进程/线程的视角来分析该问题。   1.1 进程   在所有进程中,以进程的姿态存在的进程(即图中的浅红色项),如下:   kthreadd进程: 是所有内核进程进程   init进程 : 是所有用户进程进程(或者
android 获取,如何在Android获取ID?
weixin_31075273的博客
05-27 303
RadioGroup rg = (RadioGroup) arg0.getParent();得到单选按钮(RadioGroup中的ID)的ID,但失败了。以下建设RadioGroup rg = (RadioGroup) findViewById(R.id.radiogr);效果很好。我如何在运行时获取ID?失败,这些日志:12-26 17:11:05.205: E/AndroidRuntime...
Android进程
Dream home
10-11 421
Android进程图示:
DELPHI进程检测源码:确认进程身份与反启动技巧
进程和子进程是相对关系,通常指的是创建和被创建的关系。进程可以创建子进程,而子进程在创建后可以独立于进程运行。 3. 进程检测技术: 进程检测主要是指对运行中的进程进行识别和管理的技术。检测进程是否...
ANDROID调试检测技术汇编
抚琴
02-06 1263
ANDROID调试检测技术汇编 1 调试器调试端口 2 调试器进程名 3 进程检测 4 自身进程检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 14 利用IDA解析缺陷反调试 15 五种代码执行时间检测 16 三种种进程信息结构检测 17 Inotify事件监控dump 1. IDA调试端口检测 原理: 调试器远程调试时
android代码检测anr,ANR检查定位分析工具
weixin_42305622的博客
05-26 3056
百度MTC是业界领先的移动应用测试服务平台,为广大开发者在移动应用测试中面临的成本、技术和效率问题提供解决方案。同时分享行业领先的百度技术,作者来自百度员工和业界领袖等。一、ANR是什么简单说,通常就是App运行的时候,duang~卡住了,怎么搞都动不了。当卡住超过一定时间,Android系统认为这就是一次“ANR(Application Not Responding)”。具体说,在以下情况发生时...
Android保证进程不被杀掉的方法
salute_li的博客
09-05 1万+
今天看到个知识点,如何后台保证service存活**1**onStartCommand方法,返回START_STICKY2提升service优先级AndroidManifest.xml文件中对于intent-filter可以通过android:priority = “1000”3提升service进程优先级 Android中的进程是托管的,当系统进程空间紧张的时候,会依照优先级自动进行进程的回收。A
Android APP存活检测方式
08-19
主要介绍了Android APP存活检测方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
android进程杀掉子进程也跟着销毁,杀死所有子进程的 两种方法
weixin_32806343的博客
05-28 1408
杀死所有子进程的两种方法(2012-06-05 05:59:54)标签:的杂谈杀死所有子进程的 两种方法1 #include 2 #include 3 #include 4 #include 5 #include 67 .......55 return 0;56 }57这里代码不够完美,删掉了后面有比较好的,可用的代码有兴趣的请自行取阅最终解决问题请见16楼和17楼http://bbs.chin...
android获取所有的子进程,Android M:如何获取所有进程UID?
weixin_29649815的博客
05-28 675
你可以使用ActivityManager.getRunningServices(int maxNum):PackageManager pm = context.getPackageManager();ActivityManager am = (ActivityManager) getSystemService(Context.ACTIVITY_SERVICE);List runningServic...
Android 系统进程间的关系
ch853199769的博客
01-18 1583
转载:Android 进程整理 概括 1 进程 2 重量级进程 进程 1 kthreadd子进程 2 init子进程 3 Zygote子进程 线程 1 Zygote 子线程 2 system_server 子线程 3 mediaserver 子线程 4 app 子线程 概括 系统启动架构图: 本文是从进程/线程的视角来分析该问题。 1.1 进程
android进程进程,关于Android中开子进程
weixin_35361584的博客
05-28 588
我们知道在Android中,经常看到AndroidManifest.xml文件中有一些主件会添加一个process属性,大多数都是在service组件中添加的,例如:android:name="com.ebanswers.sample.GuardService"android:process=":guard" />其中gurad可以随意起名字,前面的冒号则表示该guard进程是主进程的一个子...
Android实现双进程守护
热门推荐
Watson的博客
11-14 1万+
如何保证Service不被Kill有关Service的知识请参考Android Service全面解析这篇文章,写的很详细。(1)onStartCommand方法,返回START_STICKY@Override public int onStartCommand(Intent intent, int flags, int startId) { flags = START_STICKY
Android ps进程命令
linliang的博客
06-02 4228
ps进程命令 在adb shell终端,输入 ps,可查看手机当前所有的进程状态,其中ps的英文全称是Process Status。 ps命令参数 -t 显示进程里的所有子线程 -c 显示进程耗费的CPU时间 -p 显示进程优先级、nice值、调度策略 -P 显示进程,通常是bg(后台进程)或fg(前台进程) -x 显示进程耗费的用户时间和系统时间,格式:(u:0, s:0),单位:秒(
修改源码实现全局(无需root)注入躲开注入检测
jayhexiaomi的博客
07-24 1239
.修改源码或者不修改源码,实现全局注入,这样以后随便你怎么hook都行 附加内容 讲如何编译android源码和刷机 android so hook的源代码 一、市面上目前的hook和注入工具 市面上目前的hook有substrate,xposed,或者一些开源的自己实现的hook和注入,但是会调用一些系统api或者自身一些特征,会被加固检测到,故提供以下文章 二、全局注入的三种思路 首先我们注入...
Xposed 框架检测机制
Codeooo 博客
08-16 1万+
一、Xposed 框架实现 Hook 的原理介绍 Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app, Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的 功能。Zygote的启动配置在init.rc 脚 本 中,由系统启动的时候开启此进程,对应的 执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。 当系统中安装了Xposed Framewo
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值