hook与注入&& 软件保护技术 &&软件壳

最新推荐文章于 2024-05-30 12:06:49 发布
最新推荐文章于 2024-05-30 12:06:49 发布
阅读量296 收藏
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/113174942
版权

hook的类型

java层:1.Dalvik hook 2.ART hook
Native层: 1.LD_PRELOAD_Hook 2.Inline hook

hook框架xposed

吐了 老是报错l…为什么。。。
https://blog.csdn.net/tanmx219/article/details/81369229【已解决】
感觉套模板就行。。尴尬了。。。我直接用作者给的源代码编写的插件怎么用不起来。。。

so注入

艹 好难。。。不会写

dex注入

没讲。。

frida注入框架

看雪上 安卓逆向基本都用它 一定要学会!
我吐了,安装了一万次安装失败
直接官方就好了
妈的 以后安装就直接看官方
pip install frida-tools
注意:模拟器 是建立在x86上,所以要下载x86的android-server
真机- arm 吐了 一直失败 才找到原因
声明3.6是sb…用的时候有bug, python升级成3.8毛问题都没有
呵呵。。。写js脚本。。clz都找不到 弄掉后都好了。。。
艹 frida nb pin sb!

软件保护技术

反调试技术

调试器状态检测

1.isDebuggerConnected() 和xml的android:debuggable属性

private bool isDebuggerConnected(){
        if( ( getApplicationInfo().flags &= ApplicationInfo.FLAG_DEBUGGABLE) != 0 ){//判断android:debuggable是否修改
            return true;
 }
 return android.os.Debug.isDebuggerConnected();
}

调试器端口检测

比如检验23496端口有没有被占用

private void checkPort( int Port) {
  final int port_ = port;
  new Thread() {
       @Override
       public void run() {
               try{
               InetAddress addr = InetAddress,getByName("127.0.0.1");
               Socket sock = new Socket(addr , port_);
                  prtused = true;
               } catch(Exception e){
                        e.printStackTrace();
                            portused = false;
               }
               try {
                    run0nUiThread(new Runnable() {
                                      @Override
                                       public void run() {
                                                           tv.setText(portused ? "Yes" : "No");
                                                     }
                              });
                              Thread.sleep(300); 
               }  catch (InterruptedException e){
                                 e.printStackTrace();                 
                 }
               
        }
  }.start();
}

进程状态检测

主要检验tracerpid 有没有被其他的进程附上

extern "C"
JNIEXPORT jboolean JNICALL
java_com_droider_checkdebugger_Main_Activity_checkStatus(
        JNIEnv * env,
        jobject
) {
    FILE *f = fopen("/proc/self/status", "r");
    char buf[1024];
    while(fgets(buf,1024,f)) {
           if(strstr(buf,"TracerPid:")) {
                  int tpid;
                  sscanf(buf,"TracerPid: %d",&tpid);
                  if(tpid != 0){
                   fclose(f);
                   return true;
                  }
           }  
   }
   fclose(f);
   return false;
}

运行环境检验

1.模拟器检测

private boolean checkEMU(Context context) {
      if("goldfish".equals(getProp(context,"ro.hardware")))
         return true;
       if("1".equals(getProp(this,"ro.kernel.qemu")))
         return true;
       if("generic".equals(getProp(context,"ro.product.device")))
       return true;

        if(Build.MANUFACTURER.contains("Genymotion"))
         return true;
        if(Build.DEVICE.startsWith("generic"))
         return true;
        if(Build.MODEL.contains("sdk"))
         return true;
        if(new File("/init.goldfish.rc").exists())
          return true;
        if( new File("/system/bin.qemud").exists())
        return true;
        
        try{
                BufferedReader cpuInfoReader = new BufferedReader(new FileReader("/proc/cpuinfo"));
                String line;
                while((line = cpuInfoReader.readLine()) != null) {
                                 if( line.contains("Goldfish"))
                                   return true;
                      }
           }catch (Exception e) {
           }
           return false;
 }

2.root检验
旧版本的管理软件superuser

if(new File("/system/app/Superuser.apk").exists())
   return true;

新版本的root管理工具SuperSu.apk /data/app apk的名称"eu.chainfiresupersu"

List<PackageInfo> packages = getPackageManager().getInstalledPackages(0);
for(PackageInfo pack : packages) {
           if(pack.packageName.equals("eu.chainfire.supersu"))
           return true;
}

还有su

String[] paths = {"/sbin/su","/system/bin/su","system/xbin/su","/system/bin/failsafe/su"};
for( String path : paths) {
     if(new File(path).exists()) return true;
}

hook检验

主要针对是否安装hook工具

软件壳

看看雪的贴实践吧。。看书感觉没用

明日计划:
1.安卓的ctf题写两个
2.看安卓开发了。。学习安卓开发

20000s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HOOK学习笔记与心得
码莎拉蒂
10-27 4024
一、  Hook介绍 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。  我们知道Windows系统API函数都是被封装到DLL中,在某个应用程序要调用一个API函数的时候,如果这个函数所在的D
软件加密技术内幕
03-19
5.9 软件保护的若干忠告 第6章 加软件编写 6.1 外编写基础 6.1.1 判断文件是否是PE格式的EXE文件 6.1.2 文件基本数据的读入 6.1.3 额外数据保留 6.1.4 重定位数据的去除 6.1.5 文件的压缩 6.1.6 资源...
Hook技术简介
tubaluer
08-30 160
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到...
深入解读 Android Hook 技术-从原理到实践
最新发布
w风雨无阻w的专栏
05-30 1568
Hook技术,源自计算机编程中的“钩子”概念,是一种在程序执行过程中动态改变程序行为的技术,是一种允许用户或开发者拦截和处理系统事件或方法调用的技术。它通过在程序执行路径中插入自定义的代码片段,从而能够实现对程序行为的拦截和修改。动态修改: Hook 技术是在程序运行时进行修改,而不是在编译时。这使得它可以灵活地应用于各种场景,而不需要修改程序源码。透明性: 使用 Hook 技术进行修改是透明的,对于程序的其他部分来说是不可见的。这有利于保持程序的整体一致性和稳定性。可扩展性。
Hook技术
jinking01的专栏
09-06 3332
linux上基于C和C++的hook尝试
hook
wchg21131的博客
11-27 284
1. hook的定义 hook,钩子。勾住系统的程序逻辑。 在某段SDK源码逻辑执行的过程中,通过代码手段拦截执行该逻辑,加入自己的代码逻辑。 2. 实用价值 hook是安卓面向切面(AOP)编程的基础,可以让我们在不变更原有业务的前提下,插入额外的逻辑. 这样,既保护了原有业务的完整性,又能让额外的代码逻辑不与原有业务产生耦合. (想象一下,让你在一个成熟的app上面给每一个按钮添加埋点接口,不说一万个,就说成百上千个控件让你埋点,让你写一千次埋点调用,你是不是要崩溃,hook可以轻松实现
软件加密技术内幕 chm
10-04
5.9 软件保护的若干忠告 第6章 加软件编写 6.1 外编写基础 6.1.1 判断文件是否是PE格式的EXE文件 6.1.2 文件基本数据的读入 6.1.3 额外数据保留 6.1.4 重定位数据的去除 6.1.5 文件的压缩 ...
Packer(Hook IAT + stolen Codes)
09-28
《Packer:Hook IAT与Stolen Codes技术详解》 在IT安全领域,"Packer"是一种工具,用于对可执行文件进行压缩、加密或优化,以提高其运行效率或保护代码不被轻易分析。本篇文章将深入探讨Packer中的核心技术——Hook...
Hook 技术
tanyufeng_521的专栏
01-22 650
一、原理 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。     钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息
HOOK技术(钩子)
xuan_xuan_2的博客
08-21 1302
一、技术简介 钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕
vc++ HOOK 技术 (API钩子)
07-13
vc++ HOOK 技术 (API钩子)
通用注入工具无驱版(HOOK注入、远程注入)(DELPHI源码)
08-26
很方便、很小巧的注入工具,(含HOOK注入、远程注入///DELPHI源码)
HOOK小工具(进程、窗口、全局)
12-14
HOOK小工具,可以用进程,窗口,全局注入,本人用进程方法注入了带NP的游戏
HOOK技术(以键盘钩子为例)
qq_67181251的博客
10-29 1823
如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用来调用其所指向的函数时,我们就说这是回调函数。回调函数不是由该函数的实现方直接调用,而是在特定的事件或条件发生时由另外的一方调用的,用于对该事件或条件进行响应。定义一个回调函数;提供函数实现的一方在初始化的时候,将回调函数的函数指针注册给调用者;当特定的事件或条件发生的时候,调用者使用函数指针调用回调函数对事件进行处理。对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。
Hook技术简单介绍
Hu4
03-01 5596
Hook主要就是通过一定手段在程序执行过程中进行干预。 IAT Hook 篡改MessageBox 借用accills的例子 #include &lt;windows.h&gt; #include &lt;stdio.h&gt; #include &lt;imagehlp.h&gt; #pragma comment(lib,"imagehlp.lib") //以MessageBoxA的...
什么是 Hook 技术
weixin_41454036的博客
09-10 2713
一、什么是 Hook 技术   Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。   要实现钩子函数,有两个步骤:   1. 利用系统内部提供的接口,通过实现该接口,然后注入进系统(特定场景下使用)   2.动态代理(使用所有场景) 二、Hook 技术实现的步骤   Hook 技术实现的步骤也分为两步   1.找到 ho
Hook技术了解
LeakCollector的博客
03-16 437
Hook技术了解 第一,Hook的定义如下: 第二,Hook的原理如下: 第三,对ptrace函数的介绍: 由ptrace所实现的“通信”完全是单方面的,被跟踪的进程(从应用程序的角度而言)并不知道自己是在受到监视和控制的条件下进行。ptrace提供了一种使父进程得以监视和控制其他进程的方式,它还能够改变子进程的寄存器和内核映像,因而可是实现断点调试和系统调用的跟踪。 ptrace函数的定...
什么是HOOK技术
u012273935的专栏
07-13 884
HOOK技术:在windows系统下编程,应该会接触到api函数的使用,常用的api函数大概有2000个左右。今天随着控件,stl等高效编程技术的出现,api的使用概率在普通的用户程序上就变得越来越小了。当诸如控件这些现成的手段不能实现的功能时,我们还需要借助api。最初有些人对某些api函数的功能不太满意,就产生了如何修改这些api,使之更好的服务于程序的想法,这样api hook就自然而然的出
windows api hook & rootkits资料大全
12-03
Windows API Hook 是一种技术,用于截获和修改 Microsoft Windows 操作系统中的 API 调用。API 是应用程序与操作系统之间进行交互的接口,通过 Hook 技术,我们可以在 API 被调用前或者调用后注入自定义的代码来监控、修改甚至完全替换原本的 API 行为。 Windows API Hook 技术通常用于以下几个方面: 1. 监控和记录:通过 Hook 技术,我们可以截获特定 API 的调用,并记录下来,以供后续分析使用。这对于软件调试、异常捕获和性能分析非常有用,可以帮助开发人员定位和解决问题。 2. 行为修改:通过修改 API 调用的参数或返回值,我们可以改变原本的行为逻辑。可以用于对软件进行自定义的增强或者修改,提供特定的功能或者保护隐私等。 3. 恶意行为检测与防范:通过 Hook 技术,可以监控系统中的 API 调用,检测和阻止恶意软件的行为。例如,可以截获网络 API 调用,检测恶意软件的通信行为,并阻止其传输敏感信息。 4. 系统级别功能拓展:通过 Hook 技术,可以在系统层面为应用程序提供额外的功能。例如,可以通过 Hook 来添加全局热键、截获鼠标事件、自定义窗口样式等。 需要注意的是,Windows API Hook 是一项强大但也易被滥用的技术。如果不正确使用,可能会导致系统不稳定、性能下降甚至安全问题。因此,在使用 API Hook 技术时,开发人员需要谨慎设计和测试,确保对系统的干扰和风险最小化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值