Android so反调试

最新推荐文章于 2024-05-12 17:10:25 发布
最新推荐文章于 2024-05-12 17:10:25 发布
阅读量983 收藏 3
点赞数
分类专栏: android C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq951127336/article/details/108277577
版权
android 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
C
4 篇文章 0 订阅
订阅专栏

原理

在Android系统中,如果进程处于调试状态,/proc/进程pid/status (等同于/proc/self/status)文件中的tracePid不为0,所以只要在加载so的时候,读取status文件,若tracePid不为0,则说明进程处于调试状态。

status文件分析

Name:   sh //当前进程名称
State:  R (running)
Tgid:   23809
Pid:    23809
PPid:   195
TracerPid:      0  //若处于debug 状态,此处非0
Uid:    0       0       0       0
Gid:    0       0       0       0
FDSize: 32
Groups:
VmPeak:     3024 kB
VmSize:     3024 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:       916 kB
VmRSS:       916 kB
VmData:     1132 kB
VmStk:       132 kB
VmExe:       160 kB
VmLib:      1260 kB
VmPTE:         6 kB
VmSwap:        0 kB
Threads:        1
SigQ:   4/12236
SigPnd: 0000000000000000
ShdPnd: 0000000000000000
SigBlk: 0000000000000000
SigIgn: 0000000000380000
SigCgt: 000000000801f4ff
CapInh: 0000000000000000
CapPrm: ffffffffffffffff
CapEff: ffffffffffffffff
CapBnd: ffffffffffffffff
Cpus_allowed:   f
Cpus_allowed_list:      0-3
voluntary_ctxt_switches:        57
nonvoluntary_ctxt_switches:     7

C++ 代码

static int antiDebug() {
    const char mode[2] = "r"; //以读的方式打开文件
    const char path[20] = "/proc/self/status";//文件路径
    FILE *fd = fopen(path, mode);
    int traceId = 0;//用于存储tracePid的值
    if (fd == NULL) {//判断文件是否打开失败
        return traceId;
    }

    char *buf = static_cast<char *>(malloc(0x80));
    if (buf == NULL) { //申请内存失败
    	return traceId;
    }
    memset(buf, 0, 0x80);
    int flag = 0;
    while (1) {
        if (fgets(buf, 0x80, fd)) {//读取一行
            char *temp;
            char *temp2;
            char delim[3] = {0x20, 0x09, 0x00};//切割文本的字符
            temp2 = buf;
            while (temp = strsep(&temp2, delim)) {//切割文本
                const char check[20] = "TracerPid:";
                if (!strcmp(temp, check)) {//比较字符
                    flag = 1;
                    break;
                }
            }
            if (flag) {
                long pid = strtol(temp2, NULL, 10);//截取tracePid
                traceId = pid;
                break;
            }
        } else {
            traceId = 0;
            break;
        }
    }

    free(buf);
    buf = NULL;
    fclose(fd);

    if (traceId != 0) {
        return antiDebug();//若tracePid不等于0,任务处于调试阶段,会一直陷入死循环,导致应用闪退
    } else {
        return traceId;
    }
}
森林海的棕熊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
so层调试方法以及部分调试的方法
YenKoc的博客
11-26 58
1.检测ida远程调试所占的常用端口23946,是否被占用 //检测idaserver是否占用了23946端口 void CheckPort23946ByTcp() { FILE* pfile=NULL; char buf[0x1000]={0}; //执行命令 char* strCatTcp="cat /proc/net/tcp | grep :5D8A"; ...
Android SO加固技术及其破解方法探讨
陆业聪
03-25 1802
本文详细介绍了针对Android应用中的native层(.so文件)的15种SO加固方法,包括加密与解密、代码混淆与优化、调试分析、运行时保护以及加载器与签名校验等方面。同时,探讨了针对这些加固方法的常见破解手段,如静态分析、动态调试、内存Dump、逆向加固算法等。本文旨在帮助开发者和安全工程师了解SO加固技术及其破解方法,以提高应用的安全性和防护能力。
Android逆向调试 - Frida 检测绕过
最新发布
dafan0的博客
05-12 1208
进入app安装目录,把 libmsaoaidsec.so 删除即可。app安装目录位置,/data/app/,进入后再进入/lib/arm64/,运行 rm libmsaoaidsec.so 即可。然后在MT管理器中将怀疑的 so 文件移动到别的地方后进行测试,看是否还会出现闪退现象。hook发现,app会出现闪退现象,原因是这个app做了frida调试。这个就类似frida-server防hook的升级版,启动后即可使用。有些app运行时会监测frida的相关特征,监测到之后就会直接闪退。
安卓逆向_21 --- Java层和so层的调试( IDA 动态调试 JNI_OnLoad、init_array下断)
墨鱼菜鸡
07-11 1284
1. 安卓程序动态调试条件 安卓程序动态调试条件 ( 2个满足1个即可 ): 1. 在 AndroidMainfest.xml ---> application 标签下,设置或者添加属性android:debuggable="true" 2. 系统默认模式,在 build.prop(boot.img),ro.debuggable=1 And...
Linux下进程信息的深入分析
weixin_34411563的博客
04-27 653
这里我们主要介绍进程的状态,进程的状态可以通过/proc/PID/status来查看,也可以通过/proc/PID/stat来查看。 如果说到工具大家用的最多的ps也可以看到进程的信息。这里我们通过/proc/PID/status来分析进程的信息。 在2.6.18之后的内核,多了capibilty/cpusets等信息.   查看进程状态信息如下: more status Name: ...
proc-pid的文件列表
落月星辰的空间
09-15 340
/proc/pid/status 进程的详细信息 /proc/pid/cmdline 进程启动命令 /proc/pid/cwd 链接到进程当前工作目录 /proc/pid/environ 进程环境变量列表 /proc/pid/exe 链接到进程的执行命令文件 /proc/pid/fd 包含进程相关的所有的文件描述符 /proc/pid/maps 与进程相关的内存映射信息 /proc...
PROC系列之/proc/pid/status
weixin_33877885的博客
10-19 227
/proc/ /status 包含了所有CPU活跃的信息,该文件中的所有值都是从系统启动开始累计到当前时刻。 [root@localhost ~]# cat /proc/self/status Name: cat State: R (running) SleepAVG: 88% Tgid: 5783 Pid: 5783 PPid: 5742 Trace...
Android 调试环境
weixin_42977718的博客
12-12 254
Android 调试 --- 环境配置前提条件安卓手机:USB调试无线调试(限 Android 11,需要电脑手机连接同一WiFi)电脑:adb 环境配置配对USB调试无线调试 前提条件 安卓手机: USB调试 打开 设置 > 系统 > 关于 > 版本号,连续点击版本号7次,输入锁屏密码后提示“您已进入开发者模式”。 打开 设置 > 系统 > 开发者选项 > USB调试,点击打开 USB调试,通过数据线连接电脑进行调试。 无线调试(限 Android 11,需要电脑手
Android 调用自身程序
东名夜雨 的专栏
08-08 1080
1:  调用默认浏览器 Uri uri = Uri.parse("http://www.baidu.com"); Intent intent = new Intent(Intent.ACTION_VIEW, uri); intent.addCategory(Intent.CATEGORY_BROWSABLE); // 设置调用 默认浏览器的 package 和 activity intent.s
android so动态调试-测试专用apk
11-08
本资源“android so动态调试-测试专用apk”显然是一个专用于测试SO动态调试的工具或应用,可能包含特定的调试功能或挑战,源自阿里的笔试题目,旨在考察候选人的逆向工程和调试技能。 首先,让我们详细了解Android ...
Android调试bin和so
05-16
Android开发过程中,调试二进制文件(bin)和共享库(so)是解决应用程序崩溃、性能优化等关键任务的一部分。本篇文章将详细介绍如何在Android环境下对so或bin文件进行调试,以及如何从崩溃日志中提取关键信息来...
AndroidAntiHook:调试so注入demo
05-18
library目录下有调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
Android So动态调试jdb附加的解决大法
10-06
总的来说,Android So动态调试jdb附加的解决大法是一个涵盖多个技术层面的问题,包括对Android系统安全机制的理解、调试工具的熟练使用以及对原生代码调试的深入掌握。开发者需要根据实际情况灵活运用这些知识,...
Android编译工具
12-25
Android开发领域,编译...总的来说,Android编译工具是Android开发者学习、调试和优化应用的重要辅助工具。了解并熟练掌握这些工具的使用,不仅可以提升个人技能,还能帮助我们在面临复杂问题时找到解决方案。
Linux调试小记(三)
博客
05-23 1171
接着上面的文章,继续讨论关于Linux的调试技术。 七:检查进程运行状态 调试器可以通过attach到某个已有进程的方法进行调试。这种情况下,被调试进程的父进程便不是调试器了。 在这种情况下,我们可以通过直接检查进程的运行状态来判断是否被调试。而这里使用到的依然是/proc文件系统。具体地,我们检查/proc/self/status文件。 当由非调试状态转变为调试状态时,进程状态由sleeping变为tracing stop,TracerPid也由0变为非0的数,即调试器的PID。由此,我们便可通过.
判断Android 应用是否处于Debug模式的2种方法
卜大爷的博客
03-15 4389
判断Android 应用是否处于Debug模式的2种方法
在JNI_onload函数处下断点避开针对IDA的调试
武天旭的博客
10-03 1112
一、在JNI_onload函数处下断点避开针对IDA的调试 为了防止apk中的so文件被动态调试,开发者往往会使用一些调试手段来干扰黑客的动态调试。其中最常见的就是在so文件中检测TracerPid值。通过在JNI_onload下断点即可避开调试。 二、调试原理 1、ptrace:是系统调用的一个方法
超详细的Android so库的逆向调试
郭霖
08-20 3459
/ 今日科技快讯 /2021年上半年,中国移动实现营收4436亿元,同比增长13.8%;股东应占利润为人民币591亿元,增长6%。中国电信营收2192亿元,同比增长13.1%;净利...
/proc/self/status讲解
shanlijia的博客
05-09 1101
[root@localhost ~]# cat /proc/self/status Name: cat State: R (running) SleepAVG: 88% Tgid: 5783 Pid: 5783 PPid: 5742 TracerPid: 0 Uid: 0 0 0 0 Gid: 0 0 0 0 FDSize: 256 Groups: 0 1 2 3 4 6 10 VmSize: 6588 kB VmLck: 0 kB VmRSS: 400 kB VmData: 144 kB VmStk: 2
android so汇编编译
05-24
Android系统使用的是ARM处理器,因此其汇编语言为ARM汇编语言。如果需要编译ARM汇编代码,可以使用汇编工具来将二进制代码转换为汇编代码。常用的汇编工具有objdump、IDA Pro等。 对于Android应用程序的编译,可以使用apktool来将apk文件解压成smali代码,smali代码是一种类似汇编语言的代码,可以通过文本编辑器进行查看和修改。同时,也可以使用dex2jar工具将apk文件转换为jar文件,然后再使用Java编译工具如jd-gui等来查看和修改Java代码。需要注意的是,编译后得到的代码可能不完整或者存在误差,因此需要经过一定的人工修复和调试。此外,编译涉及到知识产权和法律问题,需要遵守相关规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值