基于HOOK的Anti-debug调用点trace和Anti-anti

最新推荐文章于 2024-04-02 09:33:48 发布
最新推荐文章于 2024-04-02 09:33:48 发布
阅读量845 收藏
点赞数
分类专栏: android ndk

转自:http://bbs.pediy.com/showthread.php?t=199671

一、概述
相信动态调试过SO的坛友对Anti并不陌生,比如读取/proc/self/status,/proc/self/task/xxx/status、stat文件查看状态TracePid和PPid,读取wchan查看进程等待,添加notify,模拟器检测等等。经过各种掉坑之后,虽然知道了这些检测方法,但如果elf文件被畸形不能静态分析(修复又是另外一回事了),也只能动态调试在这些关键API处下断点,也免不了掉坑调试崩溃,再来点指令混淆的话,调试起来确实比较恶心。虽然在Android平台同样也存在linux常用的ltrace(库函数trace)和strace(系统调用和信号trace)工具,但不能满足调试需求,还有检测ltrace的调试。废话不多说,直接进入正题(限于水平,难免会有疏漏和错误之处,请各位大大斧正,小弟感激不尽)。

二、调用点trace
注入Hook API函数,当然首选zygote进程是最方便的了(如果zygote不能注入的话,那就关文档去修改ROM吧)。HooK住函数之后,通常采用下面这种模式添加代码:
Xxxnew_fun(xxx){
         Before_call();
         Old_fun();
         After_call();
}
相信许多都知道 ARM 函数的调用流程,这里再啰嗦下  ARM 汇编如何调用函数:
直接调用: BL/BLX _xxfun
函数指针调用: BL/BLX Rx
某些混淆代码: mov lr, [pc, #xx],  计算 Rx Ldr PC, Rx
外部函数调用: BL/BLX _plt 表项, plt 表中 load got 表存在的函数地址到 PC
被调函数一般模式:
Stmxx{Rx-Rx, lr}       /push
ldmxx{Rx-rx, pc}      /pop
函数的返回地址保存在lr寄存器中,之后被被调函数存在放栈上。只要lr的值未被修改,那么就保存着调用点的下一条指令地址!只要获取lr的值,那么就能跟踪到调用点。
知道了lr保存了调用点的值,获取lr的值也要注意时机。调用函数时lr的值已经被存在放栈上,修改lr也无关紧要。无法确定被调函数是否存在显式地给lr赋值或者函数调用,那要保证lr不被修改,故在函数入口点就保存lr的值是最佳也是最简单的选择。获取lr的值可以通过汇编来实现:
#define GETLR(store_lr)  \
         __asm__ __volatile__(    \
                   "mov %0, lr\n\t"      \
                   :        "=r"(store_lr)  \
         )
Hook 函数模式:
Xxxnew_fun(xxx){
         Unsigned lr;
         GETLR(lr)
         Before_call();
         Old_fun();
         After_call();
}
来个实例,简单起见只 Hook fopen 函数:
FILE*new_fopen(const char *path,const char * mode){
         unsigned lr;
         GETLR(lr);
         if(strstr(path, "status") !=NULL){
                   LOGD("  Traced-fopenCall function: 0x%x\n", lr);
                   if(strstr(path,"task") != NULL){
                            LOGD(" Traced-anti-task/status");
                   }else
                            LOGD(" Traced-anti-status");
         }else if(strstr(path,"wchan") != NULL){
                   LOGD("  Traced-fopenCall function: 0x%x\n", lr);
                   LOGD(" Traced-anti-wchan");
         }
         return old_fopen(path, mode);
}
注入后,某 APK 输出:

 1  调用点
Logcat:

2  trace
Trace 到了这个检测点,大概就知道这个函数想干什么了。动态调试时,也好准备 跨坑 而不是 掉坑 了。
除了直接获得这些调用点过坑外,还可以组合一些其他功能。比如监控APK启动时mmap分配内存,直接dd,便于大致分析某段代码做了什么,配合mprotect能起到一定的效果。当然,不必担心会监控到linker加载SO时mmap的无用信息,因为linker自身实现了mmap函数。
staticvoid* new_mmap(void* start,size_t length,int prot,int flags,int fd,off_toffset){
         unsigned lr;
         void* base = NULL;
         
         GETLR(lr);
         base = old_mmap(start, length, prot,flags, fd, offset);
         if((flags & MAP_ANONYMOUS) == 0){     // 文件映射
                   char file_name[256];
                   char buf[256];
                   memset(buf, 0, 256);
                   sprintf(file_name,"/proc/self/fd/%d", fd);
                   if(readlink(file_name, buf,256) < 0){
                            LOGD("[E]Traced-mmap --> readlink %s error\n", file_name);
                            goto _done;
                   }
                   LOGD("  Traced-mmap--> [file] start = %p, length = 0x%x, filename = %s, offset = 0x%x",
                            start, length, buf,offset);
         }else{        // 内存映射
                   LOGD("  Traced-mmap--> [mem] start = %p, length = 0x%x",
                            start, length);
         }
         LOGD("  Traced-mmap Callfunction: 0x%x, Ret address: 0x%x\n", lr, (unsigned)base);
_done:
         return base;
}

 3
至于还能做什么,那就靠各位读者自行研究了吧。附上一些常见 anti trace
三、Anti-anti
讨论一些常见的基于Hook的Anti-anti方法,欢迎讨论。
1、 status和stat
status和stat的Anti-anti方式类似,通过Hook fopen实现重定向到/data/local/tmp目录下:
sprintf(re_path,"/data/local/tmp/status");
if(!HasGenFile(re_path)){
charbuffer[BUFFERSIZE];
FILE*fpr, *fpw;
fpr =old_fopen(path, "r");
fpw =old_fopen(re_path, "w");
if(fpr== NULL || fpw == NULL){
           LOGD("[E]re-path [%s]failed", path);
           returnold_fopen(path, mode);
}
while(fgets(buffer,BUFFERSIZE, fpr) != NULL){
           if(strstr(buffer,"State") != NULL){
                    fputs("State:\tS(sleeping)\n", fpw);
           }
          if(strstr(buffer,"TracerPid") != NULL){
                    fputs("TracerPid:\t0\n",fpw);
           }else{
                    fputs(buffer,fpw);
           }
}
fclose(fpr);
fclose(fpw);
}
2、 wchan
和status类似,只是重定向时,将等待事件设置为sys_epoll_wait:
if(strstr(path, "wchan") != NULL){
LOGD("Anti-anti-wchan!");
strcpy(re_path,"data/local/tmp/wchan");
if(!HasGenFile(re_path)){
           FILE*fpw;
           fpw= old_fopen(re_path, "w");
           if(fpw== NULL){
                    LOGE("[E]re-path wchan failed!");
                    goto__normal;
           }
           fputs("sys_epoll_wait",fpw);
           fclose(fpw);
}
return old_fopen(re_path, mode);

3、 inotify_add_watch
检测mem、pagemem、task等读取事件。可以直接让其返回-1,但不推荐这么做。如果检测代码并未对返回值做判断,直接使用,这样Anti-anti会导致程序崩溃,我的做法是改变mask的值:

//监控打开和读事件
if(strstr(pathname, "mem") !=NULL){
LOGD("inotify_add_watch --> patch mem");
return old_inotify_add_watch(fd,pathname, 0x00000200);           //mem永远不会被删除,改为0也可以
//监控打开和读事件,防获取反调试线程信息
}else if(strstr(pathname, "task")!= NULL){
LOGD("inotify_add_watch --> patch task");
return old_inotify_add_watch(fd, pathname, 0x00000200);
4、 ptrace
这个函数算是用得比较多的吧,简单的检测代码是调用PTRACE_TRACEME,直接返回0就可以,不过现在这种方式很少了吧。某加固fork了进程去作ptrace,并写入一些数据。通过对ptrace hook,可以监控到写入数据。模拟这个通信过程就可以Anti-anti。具体就不展开了吧,相信各位读者可以做到了。
当然,还有一些Anti-anti方法,限于篇幅,就不展开了吧(让小弟学学各位大牛的Anti-anti方法吧)。
四、总结
做好Anti-trace和Anti-anti有些时候能大大节省时间,将精力专注于算法或者其他逻辑上。但也存在一些问题:
1、 HOOK检测
导出表HOOK检测:读取/system/lib/libc.so特定函数偏移,再获取本进程libc.so的基地址来检测是否有HOOK。(Patch方法:Hook fopen、dlopen和open函数)
Inline HooK检测:Inline Hook时要替换函数起始的字节码,可以检测一些比较奇怪的二进制码(BX pc等字节码)。
2、 LOGCAT
许多反调试都会起一个进程或者线程循环监控,此时anti-trace的输出会比较多,比如:

图 4
这看起来比较烦,而且很多都是相同的。可以利用调用点trace地址的唯一性进行过滤,让同一信息只输出一次即可,也可以写个apk,将信息通过AF_UNIX本地套接字发送给apk,利用数据库的优势来存储等等。
3、 SVC
有些关键性的API,为了隐藏,直接通过汇编实现系统调用。ARM系统调用时的调用号通过r7寄存器来传递的。如果编写时,没有手写花指令,直接通过扫描SVC字节码和附近的关于r7的寄存器赋值操作,可以获得一些搜索结果。不过为了隐藏,手写点花指令也是可以的。
比如:常用来刷 cache 的代码
staticvoid clearcache(char* begin, char *end)
{
         const int syscall = 0xf0002;
         __asm __volatile (
                   "mov          r0, %0\n"
                   "mov          r1, %1\n"
                   "mov          r7, %2\n"
                   "mov     r2, #0x0\n"
                   "svc     0x00000000\n"
                   :
                   :        "r" (begin), "r" (end), "r" (syscall)
                   :        "r0", "r1", "r7"
                   );
}

yunshouhu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反调试(Anti-debug
winner82的专栏
10-05 4651
<!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } --> 盗版也反盗版一直是共存的矛盾体,也是在数字版权领域争论不休的一块领域。破解与反破解,侦测与反侦测也正是基于此而生生不息,欣欣向荣。鉴于此,安全软件是作为守方的我们所锲而不舍的目标。抛却
iOS Anti-Debug
weixin_33786077的博客
08-24 189
iOS Anti-Debug 1 iOS Anti-Debug前言 移动平台攻防对抗技术的发展基本是沿着PC端发展轨迹在前进,从windows平台上的加壳到Android平台的APK加固,相信ipa的加固也已经不远了;windows平台下从ring3层到ring0层的反调试技术已经非常成熟,Android平台下的反调试...
Anti-Debug 小试牛刀
狼族小子的专栏
12-04 3303
Anti-Debug 小试牛刀  本文整理了日常生活中遇到的一些Anti-Debug技术,除非特殊说明,均适用于Mac/iOS开发 作为第一篇正式博文,会不定期更新,谢谢大家. 禁止附加或调试-ptrace中断检测-int3检测lldb更多 禁止附加或调试-ptrace PT_DENY_ATTACH1 is an Apple-specific constant
OD Anti Debug 研究笔记
09-06 432
V盾网络验证 Anti Debug 1.V盾debug.exe 0044B77C . FF15 D0F24700 call dword ptr ds:[<&KERNEL32.CreateThre>; \CreateThread 创建线程api CreateThread (OD附加程序后 按T可以看到程序调用的线程地址) 001...
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
《Mirage:基于Intel VT-x & EPT技术的内核模式Anti-Anti-Debug插件解析》 在计算机安全领域,调试技术是检测、分析和逆向工程软件的重要手段。然而,随着技术的发展,一些恶意软件开始使用反调试策略来避免被分析...
微信3.1.0.41逆向-微信3.1.0.41HOOK接口-MFC调用实例方法源码
01-06
微信3.1.0.41逆向-微信3.1.0.41HOOK接口(WeChatHelper3.1.0.41.dll)-MFC调用实例方法源码
基于NDIS-HOOK的个人防水墙设计
04-16
为了解决网络数据泄露的问题,讨论了防水墙的概念和NDIS概念结构,研究了NDIS数据包发送流程和NDIS-HOOK数据包发送流程,并简要分析了NDIS-HOOK技术在防水墙数据包处理中的应用,讨论了运用NDIS-HOOK技术对发送的...
react-hook-with-redux-hooks
05-04
用Redux HooksReactHook 该项目是一种研究形式,它使用了当今就业... 注意:要进行项目工作,需要使用此提供的api节通过创建React App 通过Redux用于状态管理等,作者: Redux DevTools通过入门# clone it git clone ...
Android代码-anti-counterfeit-android
08-05
anti-counterfeit-android 模拟器检测,多开检测,Hook检测,Root检测。 4个Java类,直接拷贝使用即可。 模拟器检测 boolean isEmulator = EmulatorDetector.isEmulator(); 多开检测 boolean isVirtual = ...
AntiDebug.rar
01-02
AntiDebug.rar VS2013源码 放这里作备份 标 题: 【原创】元旦开源 AntiDebug 作 者: XXX 时 间: 2014-01-01,11:16:57 链 接: http://bbs.pediy.com/showthread.php?t=183253 很久之前写的一个综合检测调试的工具,为了写OD插件用的,A了不少前辈的代码, 借新春佳节之际分享给全体坛友,祝大家在新的一年里万事如意,事事顺心,发大财。 Vs2013 项目
traceview_tool_lib.zip
08-17
traceview工具包,下载后解压到android/sdk/tools目录即可
inotifywait-for-Android1.rar
07-25
inotifywait-for-Android资源包带成品
探秘 `anti-debug`:一种强大的反调试工具
最新发布
gitblog_00041的博客
04-02 344
探秘 anti-debug:一种强大的反调试工具 项目地址:https://gitcode.com/gnaixx/anti-debug 在软件安全和逆向工程领域,对抗调试是一项关键的技术。anti-debug 是一个开源项目,旨在帮助开发者和安全研究人员构建具有反调试特性的应用程序。通过深入理解这个项目,我们可以更好地保护自己的代码免受恶意分析。 项目简介 该项目由 gnaixx 开发并维护,提...
反调试 anti-debug
weixin_30437337的博客
06-29 170
详解反调试技术 https://blog.csdn.net/qq_32400847/article/details/52798050 2种基于异常机制的反调试方法 https://blog.csdn.net/lixiangminghate/article/details/47950929 基础反调试技术总结 https://bbs.pediy.com/thread-21237...
anti-debug1——侦测
40KO的博客
01-23 410
BeingDebugged标记 最简单也最常用的反调试方法就是使用IsDebuggerPresent函数了,它返回一个标志位BeingDebugged,这个标志位存在于PEB(进程环境块)中,偏移位置为0x2 IsDebuggerPresent(void) { return NtCurrentPeb()-&gt;BeingDebugged; } 要找到BeingDebugged在当前进...
实战案列:AntiDebug
YJJYXM的博客
12-07 513
Anti Debug主要是通过各种函数去确定当前进程是否处于被调试的状态。
anti-debug0——结构
40KO的博客
01-23 203
注:这里的反调试技术主要针对Windows平台 TEB TEB指线程环境块,它是一个结构体,包含进程中运行线程的各种信息,每个线程中都有一个对应的TEB结构体。由于这个结构体实在太复杂,这里只说几个跟调试有关的部分。 +0x30 ProcessEnvironmentBlock 它是指向PEB结构体的指针,PEB是进程控制块,每个进程都有一个对应的PEB +0x00 Nt...
Anti-Content
08-02
Anti-Content是一个接口参数,它在URL中被使用,并且通过ajax加载下拉数据。可以通过Hook或者XHR断的方式来定位它。在代码中,可以通过全局搜索anti_content来找到包含这个关键字的唯一一个js文件。[2]在异步请求中,像XMLHttpRequest这样的操作会比较复杂,需要在不同的地方进行跳转和处理。[3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值