绕过反调试之_TracerPid

最新推荐文章于 2024-04-03 09:54:37 发布
VIP文章 最新推荐文章于 2024-04-03 09:54:37 发布
阅读量776 收藏 1
点赞数 1
分类专栏: 安卓逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34108752/article/details/100984623
版权

一:先操作下
手机端运行 EncryptDemo.apk
开启动态调试
adb push d:\as /data/local/tmp/as
adb shell
su
chmod 777 /data/local/tmp/as
/data/local/tmp/as
//这里成功的话 cmd最后会显示 Listening on port #23946

adb forward tcp:23946 tcp:23946
//这里成功的话 cmd最后会显示 23946

再开启 IDA Debugger ->Attach->Remote ARMlINUX/Android Debugger
设置下 Port为 23946
ok
选择好目标包名的进程 ok
点击运行 这时发现 手机上的apk 退出 消失了;
正常的话 点运行是 正常运行的 这说明了 apk是有反调试的 检测了 它正在被调试

二:原理 及 apk里反调试
它是怎么检测到的呢?
Linux系统下 有种 Ptrace(痕迹)机制
痕迹机制 在每个进程里面都有 一个status(状态)文件 里面有很多内容
这个文件里面的 第6个字段 是 TracerPid(跟踪者) 可以通过这个值检测到 有没有被谁在调试
apk里通过这个原理 它可以这么实现
在它的so库里 添加个 thread_function 类似这样的函数 循环的打开status文件
通过检测 TracerPid 字段值是否 为0(为0则正常不为0则被调试 )被调试就 exit 退出软件

三:绕过反调试
通过上面的了解 我们知道apk里是 要 循环的打开status文件 最后检测到就 exit
那么我们可以 在 fopen 函数处 下断点 (因为它要打开

最低0.47元/天 解锁文章
乡村隐士
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EAC作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np作弊_
10-01
作弊绕过工具.可以绕过np等大部分作弊工具
Android Native调试-检测TCP端口,ptrace自身,查看TracerPid
zhangmiaoping23的专栏
08-06 4148
Android Native调试-检测TCP端口 转:http://www.cnblogs.com/dacainiao/p/5139880.html 之前转载了一篇文章介绍了两种调试方式,分别是ptrace自身和查看TracerPid信息,文章地址: http://www.cnblogs.com/dacainiao/p/5124151.html 这一处调试是在调
TracerPid调试实现与逆向
明风的博客
11-01 6348
经常会在一些脱壳文章里面看到TracerPid,ptrace什么的,那这些都是什么意思呢? 我们来查看本程序的/proc/{PID}/status文件 C:\Users\wangz>adb shell root@jflte:/ # ps |grep "wnagzihxain" u0_a123 29139 281 960944 31468 ffffffff 4005a8e0 S com.
推荐一款强大的加密库:EncryptionLib
最新发布
gitblog_00095的博客
04-03 229
推荐一款强大的加密库:EncryptionLib 项目地址:https://gitcode.com/songxiaoliang/EncryptionLib 在信息安全日益重要的今天,数据加密是保护隐私、确保数据安全的关键步骤。今天,我要向大家推荐一个开源的加密库——EncryptionLib,它提供了一站式的解决方案,适用于各种应用场景。 项目简介 EncryptionLib是由宋晓亮开发的一款多...
调试检测之一TracerPid
omnispace的博客
08-24 1601
当我们使用Ptrace方式跟踪一个进程时,目标进程会记录自己被谁跟踪,可以查看/proc/pid/status看到这个信息,下图展示的是使用ida进行调试的情况。 Paste_Image.png Paste_Image.png 而没有被调试的时候TracerPid为0: Paste_Image.png 因此一种常见的检测调试的办法就是去读取这个值,发现不是0则判定
IDA pro脱壳实战过调试
daide2012的博客
07-28 7238
IDA pro脱壳实战过调试标签(空格分隔): Apk逆向1. 前言之前总结了IDA pro脱壳的基本步骤,包括调试步骤和在libdvm.so的dvmDexFileOpenPartial函数出下断点,从内存中dump出dex文件。 这次以360一代加壳为例,试着在mmap出下断点和过一些基本的调试技术。2. 脱壳环境搭建这里的环境搭建和上一篇博客一样http://blog.csdn.net/d
android 调试 方案,android调试之tracerPid检测
weixin_32120857的博客
05-26 458
#include #include #include #include #include #define TRACERPID "TracerPid:"#define TRACERPID_LEN (sizeof(TRACERPID) - 1)void loop(){while(true){sleep(60);}}bool check_debugger(pid_t pid){const int pat...
360加固逆向脱壳之过调试-附件资源
03-02
360加固逆向脱壳之过调试-附件资源
POC.rar_绕过GD渲染
09-21
绕过GD 编码的 phpinfo 绕过GD 编码的 phpinfo
蚁剑的能绕过disable_functions的插件
06-21
蚁剑的能绕过disable_functions的插件,插件无法下载问题
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
刷boot.img内核防止调试TracerPId的轮询
10-24
1、学习如何提取内核 2、如何修改TracerPID跳过调试 3、提供了需要用到的工具和源码
某车联网App 通讯协议加密分析(三) Trace Block
fenfei331的博客
09-13 983
何以解忧,唯有Trace。能下断点Debug的App,一定就逃不出手心了。所以现在App的关注点都是抵抗Debug,抵抗下断点。结果不对,就和正确的结果去对比流程,跑的和你一模一样,总没毛病吧?1:ffshow凡说之难 在知所说之心 可以吾说当之。
逆向爬虫38 JNI开发
weixin_40743639的博客
05-20 320
快速入门Android JNI开发
某车联网App 通讯协议加密分析(二) Unidbg手把手跑通
fenfei331的博客
09-08 1992
unidbg补环境实际是考验你的Android编程能力。谷歌一下关键字 unidbg + 报错信息,一般都有同道趟过坑。什么?你打不开谷歌?我现在劝你改行还来得及吗?好味止园葵,大欢止稚子。平生不止酒,止酒情无喜。
android 编译出现 More than one file was found with OS independent path ‘lib/x86/xxx.so‘
懒惰的四叶草的博客
08-16 648
在app的下的build文件android{}中添加下方代码,如果有类似其他so库,可以继续添加。
OpenIPMP中Cryptopp库的重编译
05-24 1585
author: A.TNG [email protected]>一直在琢磨怎么把OpenIPMP的东西成功的放到嵌入式开发板上。OpenIPMP中使用了很多外部库,都是开源的项目,其中的Crypto++是一个与密码学相关的库,支持许多算法,应该负责对多媒体文件的加密和解密功能。通过比较OpenIPMP中/ext/Crypt++/include/*.h与Crypto++各个较新版本的头文件,发
android动态调试防止,Android应用防止so注入防止动态调试参考代码
weixin_31860973的博客
05-25 1188
//非Debug 编译,调试检测if(!BuildConfig.DEBUG) {if(isDebuggable()) {exit(0);}Thread t = new Thread(new Runnable() {@Overridepublic void run() {while(true) {try {sleep(100);if(Debug.isDebuggerConnected()) {ex...
xss之PHP_SELF绕过
03-29
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在受害者的网页上执行恶意脚本。而PHP_SELF是PHP中的一个超全局变量,它包含了当前脚本的文件路径和文件名。 在使用PHP_SELF时,如果没有进行适当的过滤和验证,攻击者可以通过构造恶意的输入来绕过安全措施,从而进行XSS攻击。一种常见的绕过方式是通过在URL中注入恶意的脚本代码。 为了防止XSS攻击,我们应该对用户输入进行严格的过滤和验证,并使用适当的编码方式来输出数据。在处理用户输入时,可以使用函数如htmlspecialchars()来转义特殊字符,或者使用过滤器函数如filter_input()来过滤输入数据。 另外,还可以采取以下措施来增强安全性: 1. 使用CSP(内容安全策略)来限制页面中可以加载的资源。 2. 设置HTTP头中的X-XSS-Protection选项来启用浏览器内置的XSS过滤器。 3. 使用安全的编码方式,如将用户输入作为属性值时使用引号包裹。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值