Android反调试笔记

最新推荐文章于 2022-08-23 15:24:19 发布
最新推荐文章于 2022-08-23 15:24:19 发布
阅读量1.5k 收藏
点赞数
分类专栏: 反调试与hook android ndk linux_c

转自:https://my.oschina.net/cve2015/blog/734381

1)代码执行时间检测

通过取系统时间,检测关键代码执行耗时,检测单步调试,类似函数有:time,gettimeofday,clock_gettime.

也可以直接使用汇编指令RDTSC读取,但测试ARM64有兼容问题。

time_t t1, t2;
time (&t1);
/* Parts of Important Codes */
time (&t2);
if (t2 - t1 > 2) {
    puts ("debugged");
}

2)检测 procfs 文件系统变化

进程的状态信息能通过 procfs 系统反馈给用户空间,调试会使进程状态发生变化:

char file [PATH_LEN];
char line [LINE_LEN];

snprintf (file, PATH_LEN-1, "/proc/%d/status", pid);    
FILE *fp = fopen (file, "r"); 
while (fgets (line, LINE_LEN-1, fp)) {
        if (strncmp (line, "TracerPid:", 10) == 0) {
            if (0 != atoi (&line[10])) {
                /* encrypt random .TEXT code */
            }
            break;
        }
}
fclose (fp);

类似可以检测的接口还有:

/proc/pid/status
/proc/pid/task/pid/status
/proc/pid/stat
/proc/pid/task/pid/stat
/proc/pid/wchan
/proc/pid/task/pid/wchan

3)利用信号机制

ARM程序下断点,调试器完成两件事:

  1. 保存目标地址处指令
  2. 将目标地址处指令替换成断点指令
指令集指令
Arm0x01, 0x00, 0x9f, 0xef
Thumb0x01, 0xde
Thumb20xf0, 0xf7, 0x00, 0xa0

当命中断点时,系统产生SIGTRAP信号,调试器收到信号后完成下面操作:

  1. 恢复断点处原指令
  2. 回退被跟踪进程的当前PC

这时当控制权回到被调试程序时,正好执行断点位置指令。这就是 ARM 平台断点的基本原理。

可以看到,断点是通过处理 SIGTRAP 信号来实现的,假如我们自己注册 SIGTRAP 的信号处理函数,并在程序中主动执行中断指令触发中断。

在中断处理函数中,NOP 掉断点指令,程序可正常执行。但在调试状态下,调试器遇到断点指令时,会去恢复原先指令,由于不是调试器下的断点,所以恢复会失败,而调试器会继续第2步操作,回退PC寄存器,程序会在此处无限循环。

4)软件断点检测

断点会替换内存中原有指令,因此通过检测内存中的断点指令,可以检测调试:

#include <stdlib.h>
#include <stdio.h>
#include <elf.h>
#include <string.h>
#include <unistd.h>
#include <dlfcn.h>

void checkBreakPoint ();
unsigned long getLibAddr (const char *lib);

#define LOG_TAG "ANTIDBG_DEMO"

#include <android/log.h>
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO, LOG_TAG, __VA_ARGS__)

int main () {
    dlopen ("./libdemo.so", RTLD_NOW);
    sleep (60);
    checkBreakPoint ();

    return 0;
}

unsigned long getLibAddr (const char *lib) {
    puts ("Enter getLibAddr");
    unsigned long addr = 0;
    char lineBuf[256];

    snprintf (lineBuf, 256-1, "/proc/%d/maps", getpid ());
    FILE *fp = fopen (lineBuf, "r");
    if (fp == NULL) {
        perror ("fopen failed");
        goto bail;
    }
    while (fgets (lineBuf, sizeof(lineBuf), fp)) {
        if (strstr (lineBuf, lib)) {
            char *temp = strtok (lineBuf, "-");
            addr = strtoul (temp, NULL, 16);
            break;
        }
    }
bail: 
    fclose(fp);
    return addr;
}

void checkBreakPoint () {
    int i, j;
    unsigned int base, offset, pheader;
    Elf32_Ehdr *elfhdr;
    Elf32_Phdr *ph_t;

    base = getLibAddr ("libdemo.so");
    if (base == 0) {
        LOGI ("getLibAddr failed");
        return;
    }

    elfhdr = (Elf32_Ehdr *) base;
    pheader = base + elfhdr->e_phoff;

    for (i = 0; i < elfhdr->e_phnum; i++) {
        ph_t = (Elf32_Phdr*)(pheader + i * sizeof(Elf32_Phdr)); // traverse program header

        if ( !(ph_t->p_flags & 1) ) continue;
        offset = base + ph_t->p_vaddr;
        offset += sizeof(Elf32_Ehdr) + sizeof(Elf32_Phdr) * elfhdr->e_phnum;

        char *p = (char*)offset;
        for (j = 0; j < ph_t->p_memsz; j++) {
            if(*p == 0x01 && *(p+1) == 0xde) {
                LOGI ("Find thumb bpt %p", p);
            } else if (*p == 0xf0 && *(p+1) == 0xf7 && *(p+2) == 0x00 && *(p+3) == 0xa0) {
                LOGI ("Find thumb2 bpt %p", p);
            } else if (*p == 0x01 && *(p+1) == 0x00 && *(p+2) == 0x9f && *(p+3) == 0xef) {
                LOGI ("Find arm bpt %p", p);
            }
            p++;
        }
    }
}

5)inotify 文件系统监控

inotify 是一个内核用于通知用户态文件系统变化的机制,当文件被访问,修改,删除等时用户态可以快速感知。

1.使用 inotify_init() 初始化一个 inotify 实例并返回文件描述符,每个文件描述符都关联了一个事件队列:

int fd = inotify_init ();

2.拿到这个文件描述符后下一步就告诉内核,哪些文件发生哪些事件时你得通知我,通过函数 inotify_add_watch 实现:

int wd = inotify_add_watch (fd, path, mask);

第一个参数即 inotify_init 返回的文件描述符,path 表示关注的目标路径,可以是文件目录等。mask 表示关注的事件的掩码,如 IN_ACCESS 代表访问,IN_MODIFY 代表修改等

相应的,可以通过 inotify_rm_watch 来删除一个watch:

int ret = inotify_rm_watch (fd, wd);

这样,每当监视的文件发生变化时,内核便给 fd 关联的事件队列里面塞一个文件事件。文件事件用一个 inotify_event 结构表示,可以通过 read 来读取:

struct inotify_event {
        __s32           wd;             /* watch descriptor */
        __u32           mask;           /* watch mask */
        __u32           cookie;         /* cookie to synchronize two events */
        __u32           len;            /* length (including nulls) of name */
        char            name[0];        /* stub for possible name */
};

size_t len = read (fd, buf, LEN);

  • 通过监视 /proc/pid/maps 文件的打开事件,可防针对 360 加固的 dump 脱壳

  • 文件变化与事件触发非必然联系,例如 /proc/pid/status 中的 TracerPid 值在被调试时是变化的,但其变化没有事件发生,原因未知可能与 inofity 的内核实现有关

6)ptrace()

ptrace() 是 Linux 的一个系统调用,也是 Linux 下 gdb 等调试器实现的基础。它提供了 Linux 下一个进程跟踪另一个进程寄存器、内存等的能力。

由于 ptrace() 到一个线程后,任何信号都将导致线程STOP 并将控制权交由调用者 ,因此如果利用每个线程只能有一个ptrace跟踪 来防止附加的话,需要处理好这个关系:

while (waitpid (g_childPid, &stat, 0) ) {
    if (WIFEXITED (stat) || WIFSIGNALED(stat)) {
        XXX_DEBUG_LOG ("waitpid : child died\n");
        exit (11);
    }
    ptrace (PTRACE_CONT, g_childPid, NULL, NULL);
}

7)多进程的反调试实现

写了份 demo : GITHUB


yunshouhu
关注
专栏目录
一个android调试的学习
trap0D的专栏
05-13 2932
前言初学android逆向调试,用阿里上次的比赛练练手,第二题就是一个包含android调试机制的题目,于是仔细调试分析了一下其调试的原理,记录下来。 调试方法这个apk核心功能在so文件中实现,于是试图动态调试so文件,在关键函数下断点之后,attach,F9,程序直接就退出了,经过一番搜索,找到一种调试方法。启动android中的程序 adb shell am start -D -n com
android studio编译教程,android studio简单的动态调试
weixin_39654823的博客
05-26 934
本帖最后由 红心J 于 2018-3-19 12:27 编辑~~ 分享自己的学习笔记。写的不好 请大家见谅。如果有什么问题请大家提出来。工具:android studio ,android killer , bluestacks .程序:链接:https://pan.baidu.com/s/16B9L6umA52zYWRPtXwUI_A 密码:lb1g抱歉大家,忘记说了:要安装插件ideasm...
9种android安卓调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android调试并有详细的代码实现。包括动态和静态调试。对于不同的方法给出了优缺点,可以选择合适的自己的调试手段 只有知道调试是怎么实现的才能更好的过调试Android逆向必备
通过inotify实现调试
weixin_34124939的博客
11-01 424
1.inotify linux下inotify可以实现监控文件系统事件(打开,读写删除等),inotify最常见的api有以下几个: inotify_init:用于创建一个 inotify 实例的系统调用,并返回一个指向该实例的文件描述符。 inotify_add_watch:增加对文件或者目录的监控,并指定需要监控哪些事件。 read:读取包含一个或者多个事件信息的缓存。 inot...
安卓的断点调试
TOMKUN的博客
03-21 5364
直销银行在更新了OCR的so库后出现了问题,OCR出现了闪退的情况,对于安卓我还是一知半解,外包方叫我加断点调试,我才发现连Andriod Studio的断点调试都不清楚,上网百度了些资料,此处下方资料来源于@DRPrincess1.在怀疑的代码上加上断点:2.点击debug调试3.程序执行到断点出就可以调试了4.断点按钮组选择直接执行到下一行代码,还是到方法里面一步步执行,我这里选择进入方法,是...
安卓逆向学习笔记之定制ART,绕过所有调试.docx
最新发布
04-13
安卓逆向学习笔记之定制ART,绕过所有调试.docx
学习笔记Android studio 调试smali
深秋黄金甲的博客
07-28 474
1.androidkiller编译,生成smali工程文件,并且在androidmainfest.xml文件中,找到包名,然后在application节点,加入androiddebuggable="true",修改debbuggable属性.8.配置远程设备调试器run->editconfigurations->+->RemoteJVMDebug。3.找到包名启动界面,adbshellamstsart-D-n包名/.activity名。...
Android安全笔记
08-07
安全工具和框架方面,本笔记介绍了Android调试工具、堆内存操作和Smali等知识点。Smali是Dalvik字节码的汇编语言表示,它在逆向工程和安全分析中扮演着重要角色。 Hook技术在Android安全领域也非常关键,它指的是...
Android笔记
10-24
"Android笔记"显然是一份深入浅出的学习资料,旨在帮助初学者快速掌握Android应用开发的核心技能。 这份教程可能包含以下几个主要的知识点: 1. **Android环境搭建**:首先,你需要了解如何安装和配置Android ...
Android调试总结
u010725842的专栏
05-01 1494
调试可以分两类:一类是检测,另一类是攻击。 前者:是去想各种办法去检测程序是否在被调试,如果正在被调试的话做出一些”返”的举措,比如退出(这里的退出不是一个万全之策,因为容易暴露调试的位置点,更好的是想办法不让攻击者发现,并且跳到另一个位置,让攻击者懵逼)等等; 后者:是采用攻击的方法,就是想办法让调试器不能正常工作或者是让调试器崩溃,从而阻止它。 1.一种进程最多只能被一个进程pt...
android NDK 编程学习记录
大海牛的专栏
04-25 2950
问题1:c++ string 转 char* data() 方法: string str = "hello"; const char* p = str.data();//加const 或者用char * p=(char*)str.data();的形式 c_str()方法: string str=“world”; const char *p = str.c_str();//同上,要加const或者等号右边用char* 参考博客 问题2:打印Log 导入头文件:#include <android/
以微秒为单位的精确计时gettimeofday函数
lqxandroid2012的专栏
05-23 3187
以微秒为单位的精确计时 long long L1,L2,L3; timeval tv1; //取一个时间 gettimeofday(&tv,NULL); L1 = tv.tv_sec*1000*1000 + tv.tv_usec;   //执行一些代码,如算法1...   //第二次取时间 gettimeofday(&tv,NULL); L2 = tv.tv_sec*1000
android linux5.10内核do_gettimeofday函数报错问题
Android系统开发笔记
08-23 2376
linux5.10内核使用do_gettimeofday函数报错问题解决办法
android 时间函数 性能,Android编程计算函数时间戳的相关方法总结
weixin_39857480的博客
05-25 239
本文实例讲述了Android编程计算函数时间戳的相关方法。分享给大家供大家参考,具体如下:对于做性能的人来说,知道时间的花在哪了是比较重要的,可以在函数前后得到系统的时间,计算时间戳能够得到每个函数的时间。在JAVA中可以通过System.currentTimeMillis()得到:long start_time = System.currentTimeMillis();View.draw(can...
Android防止被动态调试的解决方法
逍遥阁
05-11 5661
1、判断要是BuildConfig.DEBUG为false,但AndroidManifest却声明为debuggable,可认为是被动态调试调试状态,强制退出 2、定时轮询,判断在BuildConfig.DEBUG为false时,是否有调试器连接,如果有,可认为是被动态调试调试状态,强制退出 3、定时轮询,判断在BuildConfig.DEBUG为false时,是否被其他进程用Ptrace方式跟踪,如果有,可认为是被动态调试调试状态,强制退出 public class DebuggerUtils {
Android 中的调试技术
weixin_30892987的博客
07-15 275
比较简单的有下面这两种 调试端口检测, 23946(0x5D8A) Demo: void CheckPort23946ByTcp() { FILE* pfile=NULL; char buf[0x1000]={0}; // 执行命令 char* strCatTcp= "cat /proc/net/tcp |grep :5D8A"; //char* ...
gdb时发出SIGTRAP信号的处理
热门推荐
Rynax
03-02 2万+
在大多数系统,gdb对使用fork创建的进程没有进行特别的支持。当父进程使用fork创建子进程,gdb仍然只会调试父进程,而子进程没有得到控制和调试。这个时候,如果你在子进程执行到的代码中设置了断点,那么当子进程执行到这个断点的时候,会产生一个SIGTRAP的信号,如果没有对此信号进行捕捉处理,就会按默认的处理方式处理——终止进程。 当然,你可以使用时间延迟的方法,在子进程fork出来之后
深入理解Smali:Android逆向分析笔记
"Smail学习笔记,涵盖了Android逆向工程中的Smali语言,包括Dalvik虚拟机的概述,与Java虚拟机的区别,Smali的基本概念,编译、编译和打包流程,以及Smali语法规范与格式。" 本文档详细介绍了Smali语言,它是...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值