Android 使用ptrace查看其它进程的内存数据

最新推荐文章于 2024-05-09 22:35:39 发布
最新推荐文章于 2024-05-09 22:35:39 发布
阅读量3.7k 收藏 7
点赞数 1
分类专栏: Android学习

原文地址:http://blog.csdn.net/mldxs/article/details/14486827

Andorid通过C code获取其它进程C code中的内存数据。且此代码在32位CPU上可以,但在64位上寻找内存地址的方法需要相应变动。



由于android是基于linux系统的,下面使用的是ptrace监视其他进程的方式进行内存窥视的。


1、被监视进程

test_addr.c

[cpp]  view plain copy print ?
  1. #include <stdio.h>  
  2. #include <sys/ptrace.h>  
  3.   
  4.   
  5. static uint16_t test = 0x17ce ;  
  6.   
  7.   
  8. int main(int argv , char **argc){  
  9.     printf("test address = %p\n" , &test) ;  
  10.     while(1){  
  11.         sleep(1000) ;  
  12.     }  
  13.     return 1 ;  
  14. }  

  • copy编译后的可执行文件test_addr到手机/data/local/tmp目录
  • chmod 755 /data/local/tmp/test_addr
  • /data/local/tmp/test_addr
  • 查看打印的test变量地址。本人的地址是(test address = 0x90e0)
  • ps 查看所有进程,找到test_addr对应的进程号。本人的是8124
  • 查看进程的地址空间ps /proc/8124/maps(这条ps命令我没执行成功,用的cat /proc/8124/maps反而能查看到类似如下的数据),如下:

[html]  view plain copy print ?
  1. 00008000-00009000 r-xp 00000000 b3:1a 261968     /data/local/tmp/test_addr  
  2. <span style="background-color:rgb(255,0,0)">00009000-0000a000 rw-p 00001000 b3:1a 261968     /data/local/tmp/test_addr</span>  
  3. 01e83000-01e84000 rw-p 00000000 00:00 0          [heap]  
  4. b6f0a000-b6f0b000 r--p 00000000 00:00 0  
  5. b6f0b000-b6f1c000 r--s 00000000 00:0b 5875       /dev/__properties__  
  6. b6f1c000-b6f34000 r-xp 00000000 b3:17 2066       /system/lib/libm.so  
  7. b6f34000-b6f35000 r--p 00017000 b3:17 2066       /system/lib/libm.so  
  8. b6f35000-b6f36000 rw-p 00018000 b3:17 2066       /system/lib/libm.so  
  9. b6f36000-b6f37000 r-xp 00000000 b3:17 2298       /system/lib/libstdc++.so  
  10. b6f37000-b6f38000 r--p 00000000 b3:17 2298       /system/lib/libstdc++.so  
  11. b6f38000-b6f39000 rw-p 00001000 b3:17 2298       /system/lib/libstdc++.so  
  12. b6f39000-b6f7f000 r-xp 00000000 b3:17 1844       /system/lib/libc.so  
  13. b6f7f000-b6f81000 r--p 00045000 b3:17 1844       /system/lib/libc.so  
  14. b6f81000-b6f83000 rw-p 00047000 b3:17 1844       /system/lib/libc.so  
  15. b6f83000-b6f91000 rw-p 00000000 00:00 0  
  16. b6f92000-b6f93000 r--p 00000000 00:00 0  
  17. b6f93000-b6fa2000 r-xp 00000000 b3:17 592        /system/bin/linker  


静态初始化变量test应该存放在数据段,上面标红的那一行。地址空间是9000-a000


2、监视进程:

search_mem.c

[cpp]  view plain copy print ?
  1. #include <stdio.h>  
  2. #include <sys/ptrace.h>  
  3.   
  4. int main(int argv , char **argc){  
  5.   
  6.     uint8_t data ;  
  7.     int stat ;  
  8.     int pid = atoi(argc[1]) ;  
  9.     ptrace(PTRACE_ATTACH, pid, NULL, NULL) ;  
  10.     wait(&stat) ;    // 如果不wait,马上进行下一个ptrace的PEEK操作会造成 no such process 错误  
  11.     int addr = 0x00009000 ;  
  12.     for (; addr < 0x0000a000; ++addr)  
  13.     {  
  14.         data = ptrace(PTRACE_PEEKDATA, pid, addr, NULL);    // 一次读一个字节  
  15.         if(data == 0x17 || data == 0xce){  
  16.             printf("data = %x , addr = %x\n" , data , addr) ;  
  17.         }     
  18.     }  
  19.       
  20.     ptrace(PTRACE_DETACH, pid, NULL, NULL);  
  21.   
  22.     return 1 ;  
  23. }  


对上面的代码稍微解释一下,其实很简单:

  • ptrace:PTRACE_ATTACH表示我们要attach到一个进程上,pid为我们要监视的进程id(本文为8124)。
  • ptrace:PTRACE_PEEKDATA,每次返回一个字节,addr标示我们要获取的data的内存地址。
  • 我们循环所有数据段的内存,来查找内容为0x17ce的变量地址是多少(本文地址范围为9000-a000)。

编译search_mem.c

copy编译后的可执行文件到/data/local/tmp/search_mem

chmod 755 /data/local/tmp/search_mem

执行:/data/local/tmp/search_mem


本人的执行结果如下:

data = 17 , addr = 9030
data = ce , addr = 90e0
data = 17 , addr = 90e1

很明显内容是0x17ce的变量地址应该是0x000090e0。

muzhengjun
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
android绕过反调试方法,安卓|使用ptrace绕过ptrace反调试(二)
weixin_35171513的博客
05-26 1655
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
Andorid APK反逆向解决方案:梆梆加固原理探寻【存档】
panfanglin的专栏
06-26 954
目前Android市场充斥着大量的盗版软件,开发者的官方应用被“打包党”们恶意篡改。如何使程序代码免受盗版篡改就成了开发者面临的头等大事,今天我们将分析一个不错的解决方案——梆梆加固。 通过对App进行加固保护,梆梆可以有效防止移动应用在运营推广过程中被破解、盗版、二次打包、注入、反编译等破坏,保障程序的安全性、稳定性,对移动应用的整体逻辑结构进行保护,保证了移动应用的用户体验。
Android Hook学习之ptrace函数的使用
Fly20141201. 的专栏
05-25 3669
Synopsis #include sys/ptrace.h> long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void*data); Description The ptrace() system call provides a means bywhich one process (the "tracer
Lua 零基础入门
最新发布
You_mo_的博客
05-09 821
Lua 是一种轻量级的、高效的、可扩展的脚本语言,最初由巴西里约热内卢天主教大学(Pontifical Catholic University of Rio de Janeiro)的一个研究小组于 1993 年创建。Lua 的设计目标是作为一种嵌入式脚本语言,并在游戏开发领域得到广泛应用。
Linux 系统调用 Ptrace 详解
freeking101的博客
06-19 1572
From:https://blog.csdn.net/u012417380/article/details/60470075 一、系统调用 操作系统提供一系列系统调用函数来为应用程序提供服务。关于系统调用的详细相关知识,可以查看<<程序员的自我修养》第十二章。 对于x86操作系统来说,用中断命令“int 0x80”来进行系统调用,系统调用前,需要将系统调用号放入到%EAX寄存器中,将系统的参数依次放入到寄存器%ebx、%ecx、%edx以及%esi和%edi中。...
linux ptrace内存,转:Linux系统调用--ptrace函数详解
weixin_39805924的博客
05-03 632
PTRACE_PEEKTEXT,PTRACE_PEEKDATA//从子进程内存空间 addr 指向的位置读取一个字,并作为调用的结果返回。Linux内部对文本段和数据段不加区分,所以目前这两个请求相等。data 参数被忽略。PTRACE_PEEKUSR//从子进程的用户区 addr 指向的位置读取一个字,并作为调用的结果返回。PTRACE_POKETEXT,PTRACE_POKEDATA//...
linux ptrace内存,[原创] Linux ptrace详细分析系列(一)
weixin_33814090的博客
05-03 639
Linux ptrace 详解(该系列将深入分析Linux ptrace的方方面面,争取一次把它搞定,对后续调试或开发都有益处。不定期更新。)备注:文章中使用的Linux内核源码版本为Linux 5.9,使用的Linux版本为Linux ubuntu 5.4.0-65-generic一、简述ptrace系统调用提供了一个进程(tracer)可以控制另一个进程(tracee)运行的方法,并且trac...
Android 逆向 - 修改 Android 进程内存.zip
10-31
Android 逆向】修改运行中的 Android 进程内存数据 ( Android 系统中调试器进程内存流程 | 编译内存调试动态库以及调试程序 ) https://hanshuliang.blog.csdn.net/article/details/121063591 博客资源
clee:使用Linux ptrace进程行为跟踪库
05-01
CLEE:使用Linux ptrace进程行为跟踪库 适用于 : 归因 从 : Copyright (c) 1991, 1992 Paul Kranenburg Copyright (c) 1993 Branko Lankester Copyright (c) 1993 Ulrich Pegelow Copyright (c) 1995, 1996...
ptrace-for-android
06-12
==================== PTrace for Android介绍Ptrace 系统调用提供了一个框架,进程(跟踪器)可以通过该框架查看任何其他被跟踪进程使用的系统调用并修改跟踪进程的属性。 通过使用 ptrace 调用附加到另一个进程...
appfence:Android沙箱(基于ptrace
05-20
入门Eclipse + CDT + Android NDK + Android SDK 该项目主要使用Android NDK工具链(编译器,脚本,调试器)进行开发。 如果需要实际的设备进行开发,则还需要Android SDK 。Eclipse设定我们需要在Eclipse中为NDK...
Android中获取系统内存信息以及进程信息
11-16
Android中获取系统内存信息以及进程信息-----ActivityManager的使用(一)
三个游戏内存修改工具源代码
05-27
关于几个内存修改工具的说明: MemEdit0.2.rar (需要RX6控件) 侯思松先生写的 一个快速的游戏修改工具的Delphi6源代码 和金山游侠之类的很接近,速度较快。 ProcessInfo.rar 作者不详,在此对其表示感谢 Memory.rar 无意在硬盘上找到的,发现里面的主要搜索代码是我以前写的。 效率不太高,但是还是送给大家吧。希望有一定参考价值。
ptrace安卓程序注入例子
02-11
安卓程序ptrace注入例子,送给想研究手游注入的同学 使用JNI注入
MemDump:android 内存dump,不会触发ptrace检测
05-08
memdump:Android 内存dump。配合kill -19,能比较方便的破二代壳。
Android 获取真实的进程运行时内存
xiaobaaidaba123的专栏
03-05 7511
实时获取进程运行时内存方法
Android 逆向】代码调试器开发 ( ptrace 函数 | 读取进程内存数据 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-30 1726
一、读取进程内存数据、 二、读取流程、 三、完整代码
[ptrace修改内存]实现进程代码注入
HotIce0
09-26 8270
一、背景 ptrace是Unix系列系统的系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&amp;amp;amp;amp;amp;amp;amp;amp;写入操作,内存进行读取&amp;amp;amp;amp;amp;amp;amp;amp;修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。 二、主要流程 实验使用方式是,直接rip
怎么使用ptrace劫持进程
06-07
3. 使用ptrace系统调用在目标进程中设置断点,或者修改目标进程的寄存器状态、内存空间等。 4. 使用ptrace系统调用恢复目标进程的执行,等待目标进程触发断点,或者在目标进程中运行自己的代码。 5. 使用ptrace...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值