【Android 逆向】修改运行中的 Android 进程的内存数据 ( 使用 IDA 分析要修改的内存特征 | 根据内存特征搜索修改点 | 修改进程内存 )

最新推荐文章于 2024-04-09 19:55:28 发布
最新推荐文章于 2024-04-09 19:55:28 发布
阅读量1.6k 收藏 7
点赞数 3
分类专栏: Android 逆向 文章标签: android 逆向 进程内存调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shulianghan/article/details/121069227
版权

文章目录





一、使用 IDA 分析要修改的内存特征


在前的博客 【Android 逆向】逆向修改游戏应用 ( 分析应用结构 | 定位动态库位置 | 定位动态库中的修改点 | 修改动态库 | 重打包 ) 中 , 已经分析过该动态库 ;

修改的动态库的位置是 如下 , 将 0x354A8 地址处的 0x59 字节数据 修改为 0x58 ;

在这里插入图片描述

在程序运行时 , 会将上述动态库加载到内存中 , 0x354A8 是在静态文件中 该字节的地址 , 如果加载到内存中 , 该字节的地址就需要进行查找 ;

上图中 , 0x59 之后的 9 个字节为 59 28 B3 07 00 06 02 7B 41 08 , 可以在进程内存中搜索上述 10 个字节 , 然后将第一个字节修改成 59 即可 ;

这 10 个字节为 :

0x59 0x28 0xB3 0x07 0x00 0x06 0x02 0x7B 0x41 0x08




二、根据内存特征搜索修改点


这里需要使用到 【Android 逆向】修改运行中的 Android 进程的内存数据 ( Android 系统中调试器进程内存流程 | 编译内存调试动态库以及调试程序 ) 博客中 , 编译的 Android 平台的 cmd 可执行程序 ;

先将编译好的 cmd 可执行程序传输到 Android 模拟器的 /data/system/debug/cmd 路径中 ;

Y:\002_WorkSpace\001_AS\magic3.1.3\Debug\x86>adb push cmd /data/system/debug/cmd
cmd: 1 file pushed, 0 skipped. 13.4 MB/s (444196 bytes in 0.032s)

Y:\002_WorkSpace\001_AS\magic3.1.3\Debug\x86>

在 Android 模拟器中为其赋予 777 权限 , 主要是可执行权限 ;

=root@aosp:/data/system/debug # chmod 777 cmd
root@aosp:/data/system/debug # ls -l
-rwxrwxrwx root     root       444196 2021-10-31 18:37 cmd
-rwxrwxrwx root     root         5476 2021-10-31 18:37 libbridge.so
-rwxrwxrwx root     root         9684 2021-10-31 18:37 tool
root@aosp:/data/system/debug #

执行

./cmd 2328 searchcode 0x59 0x28 0xB3 0x07 0x00 0x06 0x02 0x7B 0x41 0x08 10

命令 , 查询 2328 进程中 , 0x59 0x28 0xB3 0x07 0x00 0x06 0x02 0x7B 0x41 0x08 10 个字节的内存特征 , 主要是查询首字节 0x59 在该进程内存中的地址 ;





三、修改进程内存


查询到要修改的字节在内存中的地址为 0x96A2C355 , 修改该地址的数据 ;

执行

./cmd 2328 modify 96A2C355 0x58 0x28 0xB3 0x07 4

命令 , 修改 0x96A2C355 处的进程内存值 , 将从上述地址开始的 4 字节数据修改为 0x58 0x28 0xB3 0x07 数据 ;

韩曙亮
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本 工具可反编译成汇编。
安卓逆向工具-IDA pro, AndroidKiller, Jadx-gui, WinHex, Notepad++
10-11
1. IDA pro是7.7版本。【动态分析分析so文件必备】 2. AndroidKiller是一个集成工具箱(apktools等都在里面)【分析修改smali代码】 3. Jadx-gui 可以将apk直接反编译为Java代码,但是不能查看。 4. WinHex 由于IDA多用于分析,该软件用来修改对应的二进制。 5. Notepad++ 文件内字符串搜索必备,很多AndroidKiller无法搜索的字符串,都可以找到,因为AndroidKiller只能搜索双引号的。
暴力搜索内存 直接内存搜索枚举内存的原理和实现
07-25
暴力搜索内存 直接内存搜索枚举内存的原理和实现
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
内容概要:(ppt,源码,程序)密码是idapro 1.逆向工程介绍,IDA页面简单介绍,开发和逆向的对比 2.如何定位MAIN函数,修改逻辑跳转指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密源码 4.动态调试 包括动态调试解密案例 5.脱壳处理 包括解压壳脱壳解密案例 6.附带4个解密案例程序,包括三个exe文件和一个linux程序的逆向实操 环境: IDA pro7.6, linux, vc++ 适合人群: 具备一定编程基础,作业时间不够的学生,ida初学者 阅读建议: IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析使用IDA静态分析全过程
android so文件脱壳,安卓逆向ida脱dex so壳内存脱壳教程
weixin_30994671的博客
05-27 1269
idc脚本:static main(void){auto fp, dexAddress, end, size;dexAddress = 0xA644C008;size = 0x0086CAB0;end = dexAddress + size;fp = fopen("D:\\classes.dex", "wb");for ( ; dexAddress < end; dexAddress++ )...
安卓动态调试七种武器之孔雀翎 – Ida Pro
把梦想放飞在蓝色的天空里...
09-07 1529
作者:蒸米 地址:http://drops.wooyun.org/tips/6840 0x00 序 随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的。另外工具是死的,人是活的,如果能搞懂工具的原理再结合上自身的经验,你也可以创造出属于自己的调试武器。因此,笔者将会在这一系列文章分享一些自己经常用或原创的调试工具以及手段,希望能对
IDA内存的设置
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
01-07 5379
前言 在IDA单步,找到一段数据后,想看看数据是如何被使用的。 这时,如果再单步去跟cm流程,查看数据是如何被使用的,有纠结。 随着作者思路的不同,使用数据的反汇编代码可能不在找到数据的反汇编代码附近。 这时,很容易将数据和程序流程跟丢了。 如何在找到数据后,对数据内存访问断。然后F9让cm跑起来,当内存访问断后,停下来单步数据处理的逻辑,这样操作性强。 在网上找到的资料
IDA动态调试---设置内存(半转载)
生命不息 折腾不止
07-22 7985
前言 在IDA单步,找到一段数据后,想看看数据是如何被使用的。 对数据内存访问断。然后F9让cm跑起来,当内存访问断后,停下来单步数据处理的逻辑,这样操作性强。 实验 实验环境 IDA7.0 + win10x64 *在代码区,g到找到的数据块地址。 *在数据块首地址按下F2,设置断。 *因为这个断所在位置不是代码块,IDA会弹出设置对话框。可以在里面填数据块长度。 ...
使用IDAPython dump 内存
Denny_Chen_的博客
07-26 1944
在网上搜到的最多的 IDA dump 内存的脚本是类似以下的idc代码: static main(void) { auto fp, begin, end, dexbyte; fp = fopen("/home/t/tmpkqk.so", "wb"); begin = 0xCD96F000; end = begin + 0x2FB000; for ( dexbyte = begin; dexbyte < end; dexbyte ++ ) fputc(Byte(dexby
Android逆向分析基础篇之格式篇.pdf
08-07
目录 Dalvik 虚拟机 •Dalvik 虚拟机介绍 •Dalvik汇编语言基础 •Dalvik版本HellWorld •破解第一个程序 Dex和ODex文件格式 •Dex文件结构解析 •ODex文件结构解析 •另类APK破解方法 Smali文件格式 •Smali文件结构解析 •IDA Pro 破解实例
IDA Pro动态调试APPSO(详细版本)
Devil丶LY
10-20 2968
一直想学习一下IDA PRO的动态调试,这样在逆向APP的时候,如果遇到突然的断就可以一步一步调试,发现问题所在。但苦于模拟器坑太多,网上大多调试都只到jdb联通,至于后面的怎样定位到关键,如何下断,以及如何修改内存keypatch,大多都是零零散散的,写这篇文章也是首次进行动态调试SO成功,到关键下断,并修改相关内存指令得到想要的结果后的记录。笔者是小白入门,若本文有不正确的地方,欢迎大佬指正。
IDA Pro使用技巧_ida数据窗口怎么打开(1),2024年最新从网络安全语言到AIDL使用与原理讲解
最新发布
2401_84166413的博客
04-09 825
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
android 逆向工程 IDA 学习
keen_zuxwang的博客
06-05 990
android 逆向工程 IDA Android逆向之旅—动态方式破解apk进阶篇(IDA调试so源码) http://blog.csdn.net/jiangwei0910410003/article/details/51500328IDA 一些app会把一些重要的功能放到native层(一般native层使用的是so库文件,.so文件可分为代码.so和数据.so) IDA可用于调试so文件、从
OD+IDA动静结合反编译C++
qq_20031585的博客
04-27 7660
通过OD动态调试内存查到定位程序代码,IDA静态反编译出来C/C++伪代码,本文完整走一遍逆向反编译的流程。
android ida多线程调试,C/C++知识ida动态调试.so 动态加载(必须真机)
weixin_39928648的博客
05-27 378
本文主要向大家介绍了C/C++知识ida动态调试.so 动态加载(必须真机),通过具体的内容向大家展示,希望对大家学习C/C++知识有所帮助。第一步连接安卓手机查看设备localhost:~ liuhailong$ adb devicesList of devices attachedCVH7N15A28004365 devicelocalhost:~ liuhailong$第二步...
IDA Pro内存dump脚本
纸房子
10-28 6195
IDA利用脚本命令Dump内存内容
IDA小技巧——快速重命名内存dump地址
信息安全
02-15 1336
我们在逆向的很多时候需要dump内存来进行分析,但是不可避免的是会遇到很多call内存内存地址的汇编语句,call的内存地址在调用之前就会被填充 然而当我们dump下来时候用ida打开会变成这样 我们双击内存地址后会看到里面填充了各个函数的地址 但是我们dump下来是为了更方便的使用ida进行分析,这些地址我们不可能去一个个重命名为调用的函数名,所以这时候我们需要使用更简单的方法把所有内存地...
ida动态调试.so 动态加载(必须真机)
weixin_34367845的博客
07-10 1003
第一步连接安卓手机 查看设备 localhost:~ liuhailong$ adb devices List of devices attached CVH7N15A28004365 device localhost:~ liuhailong$ 第二步 上传调试器的服务端 可以 32 位 64 位都上传这里 32 位命令 adb push /Applications/IDA\ Pro...
win10使用MobSF静态分析如何检测App在运行时,内存数据是否可被dump
06-09
使用MobSF静态分析工具来检测App在运行时,内存数据是否可被dump,可以按照以下步骤进行操作: 1. 首先,你需要下载并安装MobSF静态分析工具,并打开它。 2. 然后,你需要将App的APK文件导入到MobSF。可以在MobSF的主界面选择“Upload”按钮,并选择要分析的APK文件。 3. 分析完成后,你需要击左侧导航栏的“Filesystem”选项卡,并查看App是否存在可疑的文件或目录。例如,是否存在可被其他应用程序读取的文件或目录。 4. 接着,你需要击左侧导航栏的“Strings”选项卡,并查看App是否存在敏感数据,例如密码、密钥等。如果存在敏感数据,那么就可能存在内存数据被dump的风险。 5. 最后,你可以使用一些内存分析工具,例如“IDA Pro”、“GDB”等,来检测App在运行时,内存数据是否可被dump。在使用这些工具时,你需要在模拟器或实际设备上运行App,并使用工具来监控App的内存行为。 需要注意的是,内存数据被dump可能是一种非常危险的情况,因为攻击者可以通过dump出的内存数据来获取敏感信息,例如密码、密钥等。因此,在开发过程,开发人员应该采取一些防范措施,例如使用内存加密技术、禁用日志输出等,来保护敏感数据。 总之,使用MobSF静态分析工具来检测App在运行时,内存数据是否可被dump是一种有效的方法。在开发过程,开发人员应该采取多种防范措施,来保护敏感数据。同时,定期进行安全评估和测试也是必要的,以确保App不存在安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值