Anti-Debugging Skills In APK

最新推荐文章于 2021-08-30 13:49:18 发布
最新推荐文章于 2021-08-30 13:49:18 发布
阅读量2k 收藏 1
点赞数
分类专栏: Android Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jltxgcy/article/details/52214058
版权

   0x00 本文参考

    本文主要是参考Anti-Debugging Skills In APK ,请读者先阅读此文,本文只是对其中的难点进行讲解和说明。


   0x01 ida调试so原理

    要理解反调试原理,首先要理解调试原理。有关如何使用ida调试so,请参考ida动态调试so,在init_array和JNI_ONLOAD处下断点

    几个关键的步骤,说明下原理:

    1.1 在手机端运行android_server

    启动server在手机端监听23946端口。

    1.2 端口转发,adb forward tcp:23946 tcp:23946

    使电脑端可以通过端口23946和手机端通信。

    1.3 以debug模式启动被调试进程

    adb shell am start -D -n com.example.ndkreverse/.MainActivity

    1.4 ida列出所有进程

    之所以可以列举出所有进程,是因为电脑端请求android_server返回的所有进程名。

    1.5 ida attach 被调试的进程

    电脑端于手机端android_server通信,使android_server ptrace到目标进程,我们可以查看目标进程的TracePid,就是android_server的进程号。

    1.6 使debug模式的应用程序继续运行

    jdb -connect com.sun.jdi.SocketAttach:port=8700,hostname=localhost

    1.7 ida 设置断点

    ida通知手机端,首先保存原汇编代码,之后替换为breakpoint命令,当程序执行到此时,产生SIGTRAP信号,SIGTRAP信号被android_server捕获,首先用刚保存的原汇编代码替换breakpoint指令,好让程序继续执行,然后把现在的寄存器状态通过端口转发,传递给ida。


   0x02 理解Anti-Debugging Skills In APK 第四点用Signal来反调试

    刚刚在ida调试so原理时,1.7中已经说了ida设置断点的原理。

    如果我们在代码中主动加入breakpoint指令,执行到这行汇编代码时,会产生SIGTRAP信号,在非调试的状态下,我们定义了SIGTRAP信号处理函数,在信号处理函数中,我们把breakpoint指令替换为正确的指令,然程序正常运行。

    如果处于调试状态,我们自定义的信号处理函数捕获不到SIGTRAP,因为android_server会捕获SIGTRAP信号。会将刚保存的原汇编代码替换为breakpoint指令,而原来的指令就是breakpoint指令,这样继续运行还是breakpoint指令,出现死循环。达到反调试的目的。

jltxgcy
关注
专栏目录
反调试(Anti-debug)
winner82的专栏
10-05 4704
<!-- @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } --> 盗版也反盗版一直是共存的矛盾体,也是在数字版权领域争论不休的一块领域。破解与反破解,侦测与反侦测也正是基于此而生生不息,欣欣向荣。鉴于此,安全软件是作为守方的我们所锲而不舍的目标。抛却
Android APK反编译就这么简单 详解(附图)
热门推荐
xumingrencai
03-11 2万+
在学习Android开发的过程你,你往往会去借鉴别人的应用是怎么开发的,那些漂亮的动画和精致的布局可能会让你爱不释手,作为一个开发者,你可能会很想知道这些效果界面是怎么去实现的,这时,你便可以对改应用的APK进行反编译查看。下面是我参考了一些文章后简单的教程详解。 (注:反编译不是让各位开发者去对一个应用破解搞重装什么的,主要目的是为了促进开发者学习,借鉴好的代码,提升自我开发水平。) 测...
[转]Waledac's Anti-Debugging Tricks
weixin_30263277的博客
05-10 89
src:http://www.honeynet.org/node/550The last spreading malware version ofWaledac, a notorious spamming botnet that has been taken down in acollaborative effort lead by Microsoftearlier this year, c...
APP加固反调试(Anti-debugging)技术点汇总 (转载)
qq_24137739的博客
10-09 1143
0x00 时间相关反调试 通过计算某部分代码的执行时间差来判断是否被调试,在Linux内核下可以通过time、gettimeofday,或者直接通过sys call来获取当前时间。另外,还可以通过自定义SIGALRM信号来判断程序运行是否超时。 0x01 检测关键文件 (1)/proc/pid/status、/proc/pid/task/pid/status 在调试状态下,Linux内核会向某些文件写入一些进程状态的信息,比如向/proc/pid/status或/proc/pid/task/pid/
zAnti_2.5.apk
04-01
网络渗透测试工具
反编译android apk工具下载,apktool下载-apktool官方下载「APK反编译工具」-华军软件园...
weixin_31528001的博客
05-25 639
ApkTool是用于逆向工程Android APK文件的反编译工具,是一个免费的开源工具。Android开发人员有了ApkTool就可以解码来自第三方,封闭和二进制APK的资源。apktool可支持编译、反编译、签名等功能。如果你是经常DIY安卓软件的小伙伴们,那可以下载apktool体验下该软件的魅力了。相似软件版本说明软件地址apktool功能介绍1、反编译.apk对.apk文件进行反编译。2...
Anti-Debugging:一组c ++程序,这些程序演示了检测连接的调试器是否存在的常用方法
05-06
在开发软件时,有时需要在运行时检查应用程序是否在调试器存在下运行。 有时,目标是阻止应用程序在调试器下运行,以减慢反向尝试的速度。 相反,逆向工程师可能会检查开发人员放置的支票。 该存储库托管的代码显示...
Unity-debugging-5.x.zip
04-06
"Unity-debugging-5.x.zip"这个压缩包可能包含了一组针对Unity 5.x版本的调试工具和资源,特别是针对"dnspy"的mono.dll文件。 dnspy是一款开源的.NET反编译器和调试器,它允许开发者查看、编辑、调试和分析.NET程序...
Anti-Debugging.ec
04-11
Anti-Debugging.ec
Unity-debugging-2019.x.zip
04-06
"Unity-debugging-2019.x.zip"这个压缩包很可能包含了一些关于在Unity 2019版本中进行调试的资源和教程,特别是使用dnSpy工具来调试Unity引擎中的"mono.dll"。 dnSpy是一款强大的.NET反编译器和调试器,特别适合于...
Anti-debugging Skills in APK
云守护的专栏
03-06 440
转自:http://www.droidsec.cn/anti-debugging-skills-in-apk/ x00 时间相关反调试 通过计算某部分代码的执行时间差来判断是否被调试,在Linux内核下可以通过time、gettimeofday,或者直接通过sys call来获取当前时间。另外,还可以通过自定义SIGALRM信号来判断程序运行是否超时。 0x01 检测关键文件 (1)/pr...
[原创]VMProject 3.x 3.5: 2021年绕过anti-debugging的最新配置, 解决“a debugger has been found“的问题.
其实我不是代码教父,我只是猪头三
08-30 7924
[简介] 常用网名: 猪头三 出生日期: 1981.XX.XX 个人网站: https://www.x86asm.org QQ交流: 643439947 编程生涯: 2001年~至今[共20年] 职业生涯: 18年 开发语言: C/C++、80x86ASM、PHP、Perl、Objective-C、Object Pascal、C#、Python 开发工具: Visual Studio、Delphi、XCode、Eclipse 技能种类: 逆向 驱动 磁盘 文件 研发领域: Windows应用软件安全/Win
Anti-Debugging Reference - Peter Ferrie (4 May 2011)-计算机科学
04-22
qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmrtyuiopasdfghjklzxcvbnmqwertyuio
Android-Anti-Debug 文章对应的apk
最新发布
12-21
Android-Anti-Debug 文章对应的apk :https://gtoad.github.io/2017/06/25/Android-Anti-Debug/
Android中的权限管理(基于Permission ProtectionLevel)
jltxgcy的专栏
09-08 2万+
1、什么是protectionlevel呢?      我们经常在AndroidManifest中使用权限,如果我们想让应用程序可以发短信,那么应该这样写:       那么这个权限的定义是在哪里定义的呢?如下:      frameworks/base/core/res/AndroidManifest.xml<permission android:name="android.permission
Android SO 加壳(加密)与脱壳思路
jltxgcy的专栏
08-14 2万+
0x01 常见的Android SO加壳(加密)思路 1.1 破坏Elf Header 将Elf32_Ehdr 中的e_shoff, e_shnum, e_shstrndx, e_shentsize字段处理,变为无效值。由于在链接过程中,这些字段是无用的,所以可以随意修改,这会导致ida打不开这个so文件。 1.2 删除Section Header ...
Android native反调试方式及使用IDA绕过反调试
jltxgcy的专栏
01-28 1万+
0x00     为了避免我们的so文件被动态分析,我们通常在so中加入一些反调试代码,常见的Android native反调试方法有以下几种。     1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试。     2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查
Android NDK中C++ STL库动态和静态链接
jltxgcy的专栏
08-15 1万+
0x00 本文参考    本文参考Android NDK中C++运行时库介绍。    我们在开发NDK的时候,经常需要使用C++ STL库开发,那么这些库是如何和我们的程序链接的呢?   0x01 C++ STL分类     这些静态链接库和动态链接库都位于哪呢?    答案是位于ndkpat/sources/cxx-stl。我们截图看下这个目录:    我们可以清晰的对照两张图。libstlpo
使用NanoHttpd实现简易WebServer
jltxgcy的专栏
02-17 9592
0x00    在介绍使用NanoHttpd实现简易WebServer之前,我们首先熟悉下局域网Socket通信。一个Client工程,代码地址为https://github.com/jltxgcy/AppVulnerability/tree/master/MyClient。一个Server工程,代码地址为https://github.com/jltxgcy/AppVulnerability/tr
百度全系APP SDK漏洞–WormHole虫洞漏洞
jltxgcy的专栏
02-18 9427
0x00    我们以百度地图v8.7.0为例来分析百度蠕虫漏洞,apk下载地址为https://github.com/jltxgcy/AppVulnerability/Baidu_Maps_v8.7.0.apk。    使用Android Killer来打开这个apk,Android Killer下载地址为http://pan.baidu.com/s/1jGQUzwa。    我们先讲述如何在代
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值