Android反调试笔记

转自:https://my.oschina.net/cve2015/blog/734381

1)代码执行时间检测

通过取系统时间,检测关键代码执行耗时,检测单步调试,类似函数有:time,gettimeofday,clock_gettime.

也可以直接使用汇编指令RDTSC读取,但测试ARM64有兼容问题。

time_t t1, t2;
time (&t1);
/* Parts of Important Codes */
time (&t2);
if (t2 - t1 > 2) {
    puts ("debugged");
}

2)检测 procfs 文件系统变化

进程的状态信息能通过 procfs 系统反馈给用户空间,调试会使进程状态发生变化:

char file [PATH_LEN];
char line [LINE_LEN];

snprintf (file, PATH_LEN-1, "/proc/%d/status", pid);    
FILE *fp = fopen (file, "r"); 
while (fgets (line, LINE_LEN-1, fp)) {
        if (strncmp (line, "TracerPid:", 10) == 0) {
            if (0 != atoi (&line[10])) {
                /* encrypt random .TEXT code */
            }
            break;
        }
}
fclose (fp);

类似可以检测的接口还有:

/proc/pid/status
/proc/pid/task/pid/status
/proc/pid/stat
/proc/pid/task/pid/stat
/proc/pid/wchan
/proc/pid/task/pid/wchan

3)利用信号机制

ARM程序下断点,调试器完成两件事:

  1. 保存目标地址处指令
  2. 将目标地址处指令替换成断点指令
指令集 指令
Arm 0x01, 0x00, 0x9f, 0xef
Thumb 0x01, 0xde
Thumb2 0xf0, 0xf7, 0x00, 0xa0

当命中断点时,系统产生SIGTRAP信号,调试器收到信号后完成下面操作:

  1. 恢复断点处原指令
  2. 回退被跟踪进程的当前PC

这时当控制权回到被调试程序时,正好执行断点位置指令。这就是 ARM 平台断点的基本原理。

可以看到,断点是通过处理 SIGTRAP 信号来实现的,假如我们自己注册 SIGTRAP 的信号处理函数,并在程序中主动执行中断指令触发中断。

在中断处理函数中,NOP 掉断点指令,程序可正常执行。但在调试状态下,调试器遇到断点指令时,会去恢复原先指令,由于不是调试器下的断点,所以恢复会失败,而调试器会继续第2步操作,回退PC寄存器,程序会在此处无限循环。

4)软件断点检测

断点会替换内存中原有指令,因此通过检测内存中的断点指令,可以检测调试:

#include <stdlib.h>
#include <stdio.h>
#include <elf.h>
#include <string.h>
#include <unistd.h>
#include <dlfcn.h>

void checkBreakPoint ();
unsigned long getLibAddr (const char *lib);

#define LOG_TAG "ANTIDBG_DEMO"

#include <android/log.h>
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)

int main ()
{
    dlopen ("./libdemo.so", RTLD_NOW);
    sleep (60);
    checkBreakPoint ();

    return 0;
}

unsigned long getLibAddr (const char *lib) 
{
    puts ("Enter getLibAddr");
    unsigned long addr = 0;
    char lineBuf[256];

    snprintf (lineBuf, 256-1, "/proc/%d/maps", getpid ());
    FILE *fp = fopen (lineBuf, "r");
    if (fp == NULL) {
        perror ("fopen failed");
        goto bail;
    }
    while (fgets (lineBuf, sizeof(lineBuf), fp)) {
        if (strstr (lineBuf, lib)) {
            char *temp = strtok (lineBuf, "-");
            addr = strtoul (temp, NULL, 16);
            break;
        }
    }
bail: 
    fclose(fp);
    return addr;
}

void checkBreakPoint ()
{
    int i, j;
    unsigned int base, offset, pheader;
    Elf32_Ehdr *elfhdr;
    Elf32_Phdr *ph_t;

    base = getLibAddr ("libdemo.so");
    if (base == 0) {
        LOGI ("getLibAddr failed");
        return;
    }

    elfhdr = (Elf32_Ehdr *) base;
    pheader = base + elfhdr->e_phoff;

    for (i = 0; i < elfhdr->e_phnum; i++) {
        ph_t = (Elf32_Phdr*)(pheader + i * sizeof(Elf32_Phdr)); // traverse program header

        if ( !(ph_t->p_flags & 1) ) continue;
        offset = base + ph_t->p_vaddr;
        offset += sizeof(Elf32_Ehdr) + sizeof(Elf32_Phdr) * elfhdr->e_phnum;

        char *p = (char*)offset;
        for (j = 0; j < ph_t->p_memsz; j++) {
            if(*p == 0x01 && *(p+1) == 0xde) {
                LOGI ("Find thumb bpt %p", p);
            } else if (*p == 0xf0 && *(p+1) == 0xf7 && *(p+2) == 0x00 && *(p+3) == 0xa0) {
                LOGI ("Find thumb2 bpt %p", p);
            } else if (*p == 0x01 && *(p+1) == 0x00 && *(p+2) == 0x9f && *(p+3) == 0xef) {
                LOGI ("Find arm bpt %p", p);
            }
            p++;
        }
    }
}

5)inotify 文件系统监控

inotify 是一个内核用于通知用户态文件系统变化的机制,当文件被访问,修改,删除等时用户态可以快速感知。

1.使用 inotify_init() 初始化一个 inotify 实例并返回文件描述符,每个文件描述符都关联了一个事件队列:

int fd = inotify_init ();

2.拿到这个文件描述符后下一步就告诉内核,哪些文件发生哪些事件时你得通知我,通过函数 inotify_add_watch 实现:

int wd = inotify_add_watch (fd, path, mask);

第一个参数即 inotify_init 返回的文件描述符,path 表示关注的目标路径,可以是文件目录等。mask 表示关注的事件的掩码,如 IN_ACCESS 代表访问,IN_MODIFY 代表修改等

相应的,可以通过 inotify_rm_watch 来删除一个watch:

int ret = inotify_rm_watch (fd, wd);

这样,每当监视的文件发生变化时,内核便给 fd 关联的事件队列里面塞一个文件事件。文件事件用一个 inotify_event 结构表示,可以通过 read 来读取:

struct inotify_event {
        __s32           wd;             /* watch descriptor */
        __u32           mask;           /* watch mask */
        __u32           cookie;         /* cookie to synchronize two events */
        __u32           len;            /* length (including nulls) of name */
        char            name[0];        /* stub for possible name */
};
size_t len = read (fd, buf, LEN);
  • 通过监视 /proc/pid/maps 文件的打开事件,可防针对 360 加固的 dump 脱壳

  • 文件变化与事件触发非必然联系,例如 /proc/pid/status 中的 TracerPid 值在被调试时是变化的,但其变化没有事件发生,原因未知可能与 inofity 的内核实现有关

6)ptrace()

ptrace() 是 Linux 的一个系统调用,也是 Linux 下 gdb 等调试器实现的基础。它提供了 Linux 下一个进程跟踪另一个进程寄存器、内存等的能力。

由于 ptrace() 到一个线程后,任何信号都将导致线程STOP 并将控制权交由调用者 ,因此如果利用每个线程只能有一个ptrace跟踪 来防止附加的话,需要处理好这个关系:

while (waitpid (g_childPid, &stat, 0) ) {
    if (WIFEXITED (stat) || WIFSIGNALED(stat)) {
        XXX_DEBUG_LOG ("waitpid : child died\n");
        exit (11);
    }
    ptrace (PTRACE_CONT, g_childPid, NULL, NULL);
}

7)多进程的反调试实现

写了份 demo : GITHUB


阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页