反调试 - ptrace占坑

已于 2024-05-25 13:22:03 修改
阅读量521 收藏 5
点赞数 3
分类专栏: Android 逆向基础 文章标签: 爬虫
于 2024-05-12 17:04:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dafan0/article/details/138760126
版权

ptrace占坑

在这里插入图片描述

这是ptrace占坑的标志。

ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。

在Android app保护中,ptrace被广泛用于反调试。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。

一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。

怎么办?

  • 方法1:速度快点让frida先附加。

    frida -U -f cmt.chinaway.com.lite -l hook.js

  • 方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。





【PS:Android 逆向进阶专栏地址:https://blog.csdn.net/dafan0/category_12682484.html】

象野VH
关注
专栏目录
越狱开发笔记(五)—— ptrace调试&调试
zhuxincheng_1218的专栏
03-06 965
文章目录debugserver 连接APPLLDB 启动LLDB 启动原理LLDB下断点命令行工具的权限文件调试PtracePtrace通过framework防护调试 debugserver 连接APP $sh usbLogin.sh链接手机,root# cd /Developer/usr/bin可以看的目录下有个debugserver,在链接之前可以$ps -A查看进程。 $ ./deb...
【学习记录】各种调试手段总结
weixin_34192993的博客
09-30 361
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 调试 虚拟机 android java层 常见的Android native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。 2、根据上面说的/proc/$pid/status中T...
ptrace调试
HotIce0
10-03 2968
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
推荐开源项目:Android Ptrace Inject——深入安卓内核的动态注入利器
最新发布
gitblog_00800的博客
08-16 904
推荐开源项目:Android Ptrace Inject——深入安卓内核的动态注入利器 项目地址:https://gitcode.com/gh_mirrors/an/AndroidPtraceInject 在安卓开发与逆向工程领域,掌握底层操作无疑为开发者打开了另一扇创新之门。今天,我们为您介绍一款开源神器——Android Ptrace Inject,它是一个基于ptrace系统调用的强大动态...
ptrace入坑指南
qq_36963214的博客
10-17 957
ptrace描述 通过ptrace(),一个进程可以观察和控制另一个进程的执行,并检查和更改跟踪程序的内存和寄存器。它主要用于实现断点调试和系统调用跟踪。 ptrace函数原型 long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); ptrace用法 PTRACE_TRACEME 形式:ptrace(PTRACE_TRACEME,0 ,0 ,0) 描述:本进程被其父进程所跟踪。其父进程应该希望跟踪子进程
ptrace 调试
weixin_30355437的博客
12-30 573
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
ptrace之SMC,调试
lyx2007825的专栏
11-09 942
#include #include #include #include #include #include #include #define PAGE_START(p) ((p) &~4095) #define PAGE_END(p) ((p) + PAGE_START(p)) static char encrypt_shellcode[] = "\x66\xba\xd6\x6
浅谈Android调试 之 PTRACE_TRACEME
weixin_34014277的博客
05-01 465
浅谈Android调试 之 PTRACE_TRACEME 调试原理:关于Ptrace: http://www.cnblogs.com/tangr206/articles/3094358.htmlptrace函数原型为: #include <sys/ptrace.h>long ptrace(enum __ptrace_r...
使用PTRACE_TRACEME调试的原理
aka_yoo的博客
08-07 355
介绍和演示使用(PTRACE_TRACEME, 0, NULL, NULL)进行调试的底层原理
android绕过调试方法,安卓|使用ptrace绕过ptrace调试(二)
weixin_35171513的博客
05-26 1750
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
玩转Android10源码开发定制(七)修改ptrace绕过调试
xiaomaNo01的专栏
12-31 1123
一、安卓10中ptrace介绍 1.源码位置追踪 在Android10中,ptrace函数定义文件路径为: bionic/libc/include/sys/ptrace.h 函数原型定义如下: long ptrace(int __request, ...); ptrace函数实现文件路径为: bionic/libc/bionic/ptrace.cpp 函数实现代码如下: long ptrace(int ...
Android逆向之旅---应用的"调试"方案解析(附加修改IDA调试端口和修改内核信息)
尼古拉斯.赵四的博客
04-19 1484
一、前言 在前一篇文章中详细介绍了Android现阶段可以采用的几种调试方案策略,我们在破解逆向应用的时候,一般现在第一步都回去解决调试,不然后续步骤无法进行,当然如果你是静态分析的话获取就没必要了。但是有时候必须要借助动态调试方可破解,就需要进行操作了。现阶段调试策略主要包括以下几种方式: 第一、自己附加进程,先占坑,ptrace(PTRACE_TRACEME, 0, 0, 0)...
Android安全防护之旅---应用"调试"操作的几种方案解析
尼古拉斯.赵四的博客
04-18 940
​一、前言 在之前介绍了很多破解相关的文章,在这个过程中我们难免会遇到一些调试策略,当时只是简单的介绍了如何去解决调试,其实在去年我已经介绍了一篇关于Android中的安全逆向防护之战的文章:Android安全逆向防护解析;那么这篇文章就来详细总结一下,现阶段比较流行的几种调试解决方案。 二、调试方案分析 第一种:先占坑,自己附加 代码非常简单,在so中加上这行代码即可:pt...
Android安全防护之旅---只需要这几行代码让Android程序项目变得更加安全
尼古拉斯.赵四的博客
04-07 680
​我们在编码美丽微信公众号已经弄过了很多app了,不管是协议还是外挂,我们都是那么一路走过来了,在操作的过程中也发现了很多问题就是应用不在乎安全问题带来的后果,因为安全始终都是不可忽视的问题,辛辛苦苦写的代码被人看的体无完肤对不起自己也对不起公司,所以如果你做了这几件事至少可以防止一些人把你的app给无情的强奸了。本文就来总结一下不用加固方式也可以让你的应用变得更加安全可靠。 一、代码资源...
调试方法二 - 抢占ptrace
attach_114的博客
12-23 739
<blockquote> <p>The ptrace() system call provides a means by which one process (the"tracer") may obs
linux或者android样本ptrace调试绕过
kernweak的博客
06-16 1488
linux linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(调试程序) #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> void a() { if (ptra
Android平台的 Ptrace, 注入, Hook 全攻略
beyond702的专栏
05-11 3781
原帖:http://www.aiuxian.com/article/p-1295924.html Android平台上的Ptrace已经流行很久了,我记得最早的时候是LBE开始使用Ptrace在Android上做拦截,大概三年前我原来的同事yuki (看雪上的古河) 写了一个利用Ptrace注入的例子,被广泛使用,听说他还因此当上了版主,呵呵: Android平台上的注入代码 两年前
安卓防附加和防调试源码实现。
深耕安全技术研究
12-29 1916
在NDK中实现代码如下,可以直接拷贝就可以用。 原理:先用fork()把自身的进程先给附加了,其他进程就附加了,这样就能实现调试。 JNIEXPORT jboolean JNICALL Java_com_protectSelfPid(JNIEnv *, jobject) { pid_t child; child = F(); long orig_eax; if(0 == child) { ptrace(PTRACE_TRACEME, 0, N......
解决Android加固多进程ptrace调试的思路整理
云守护的专栏
04-09 2472
转自:https://blog.csdn.net/QQ1084283172/article/details/53613481 一、Android多进程调试的原理代码 当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种调试的手法,效果还是不错的。 /*********************************...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值