ANDROID调试检测技术汇编

最新推荐文章于 2022-12-31 09:24:03 发布
最新推荐文章于 2022-12-31 09:24:03 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 安卓逆向 文章标签: ANDROID调试检测技术汇编 安卓反调试
抚琴
本文链接:https://blog.csdn.net/qq_42186263/article/details/113711359
版权

ANDROID调试检测技术汇编

1 调试器调试端口
2 调试器进程名
3 父进程名检测
4 自身进程名检测
5 apk线程检测
6 apk进程fd文件检测
7 安卓系统自带调试检测函数
8 ptrace检测
9 函数hash值检测
10 断点指令检测
11 系统源码修改检测
12 单步调试陷阱
13 利用IDA先截获信号特性的检测
14 利用IDA解析缺陷反调试
15 五种代码执行时间检测
16 三种种进程信息结构检测
17 Inotify事件监控dump

1. IDA调试端口检测

原理:
调试器远程调试时,会占用一些固定的端口号。
做法:
读取/proc/net/tcp,查找IDA远程调试所用的23946端口,若发现说明进程正在被IDA调试。
(也可以运行netstat ­apn结果中搜索23946端口)

void CheckPort23946ByTcp()
{
   
FILE* pfile=NULL;
char buf[0x1000]={
   0};
// 执行命令
char* strCatTcp= "cat /proc/net/tcp |grep :5D8A";
//char* strNetstat="netstat |grep :23946";
pfile=popen(strCatTcp,"r");
if(NULL==pfile)
{
   
LOGA("CheckPort23946ByTcp popen打开命令失败!\n");
return;
}
// 获取结果
while(fgets(buf,sizeof(buf),pfile))
{
   
// 执行到这里,判定为调试状态
LOGA("执行cat /proc/net/tcp |grep :5D8A的结果:\n");
LOGB("%s",buf);
}//while
pclose(pfile);
}

2. 调试器进程名检测

原理:
远程调试要在手机中运行android_server gdbserver gdb等进程。
做法:
遍历进程,查找固定的进程名,找到说明调试器在运行。
void SearchObjProcess()
{
   
FILE* pfile=NULL;
char buf[0x1000]={
   0};
// 执行命令
//pfile=popen("ps | awk '{print $9}'","r"); // 部分不支持awk命令
pfile=popen("ps","r");
if(NULL==pfile)
{
   
LOGA("SearchObjProcess popen打开命令失败!\n");
return;
}
// 获取结果
LOGA("popen方案:\n");
while(fgets(buf,sizeof(buf),pfile))
{
   
// 打印进程
LOGB("遍历进程:%s\n",buf);
// 查找子串
char* strA=NULL,strB=NULL,strC=NULL,strD=NULL;
strA=strstr(buf,"android_server");
strB=strstr(buf,"gdbserver");
strC=strstr(buf,"gdb");
strD=strstr(buf,"fuwu");
if(strA || strB ||strC || strD)
{
   
// 执行到这里,判定为调试状态
LOGB("发现目标进程:%s\n",buf);
}//if
}//while
pclose(pfile);
}

3 父进程名检测

原理:
有的时候不使用apk附加调试的方法进行逆向,而是写一个.out可执行文件直接加载so进行
调试,这样程序的父进程名和正常启动apk的父进程名是不一样的。
测试发现:
(1)正常启动的apk程序:父进程是zygote
(2)调试启动的apk程序:在AS中用LLDB调试发现父进程还是zygote
(3)附加调试的apk程序:父进程是zygote
(4)vs远程调试 用可执行文件加载so:父进程名为gdbserver
结论:父进程名非zygote的,判定为调试状态。
做法:

读取/proc/pid/cmdline,查看内容是否为zygote
void CheckParents()
{
   
///
// 设置buf
char strPpidCmdline[0x100]={
   0};
snprintf(strPpidCmdline, sizeof(strPpidCmdline), "/proc/%d/cmdl
ine", getppid());
// 打开文件
int file=open(strPpidCmdline,O_RDONLY);
if(file<0)
{
   
LOGA("CheckParents open错误!\n");
return;
}
// 文件内容读入内存
memset(strPpidCmdline,0,sizeof(strPpidCmdline));
ssize_t ret=read(file,strPpidCmdline,sizeof(strPpidCmdline));
if(-1==ret)
{
   
LOGA("CheckParents read错误!\n");
return;
}
// 没找到返回0
char sRet=strstr(strPpidCmdline,"zygote");
if(NULL==sRet)
{
   
// 执行到这里,判定为调试状态
LOGA("父进程cmdline没有zygote子串!\n");
return;
}
int i=0;
return;
}

4 自身进程名检测

原理:
和上条一样,也是写个.out加载so来脱壳的场景,
正常进程名一般是apk的com.xxx这样的格式。
代码:

5 apk线程检测

原理:
同样.out加载so来脱壳的场景,
正常apk进程一般会有十几个线程在运行(比如会有jdwp线程),
自己写可执行文件加载so一般只有一个线程,
可以根据这个差异来进行调试环境检测。

void CheckTaskCount()
{
   
char buf[0x100]={
   0};
char* str="/proc/%d/task";
snprintf(buf,sizeof(buf),str,getpid());
// 打开目录:
DIR* pdir = opendir(buf);
if (!pdir)
{
   
perror("CheckTaskCount open() fail.\n");
return;
}
// 查看目录下文件个数:
struct dirent* pde=NULL;
int Count=0;
while ((pde = readdir(pdir)))
{
   
// 字符过滤
if ((pde->d_name[0] <= '9') && (pde->d_name[0] >= '0'))
{
   
++Count;
LOGB("%d 线程名称:%s\n",Count,pde->d_name);
}
}
LOGB("线程个数为:%d",Count);
if(1>=Count)
{
最低0.47元/天 解锁文章
kerve
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
【转】Android调试的必杀技——反汇编
BonderWu的专栏
08-15 4600
  转一位大牛的博文,对作者敬礼。以前也遇见过同样的问题,当时想的就是通过其他方法绕过去。看到大牛的解决方案,的确佩服万分。其实,以前在Moto的时候,遇见Core Dump问题几乎就是用同样方法来定位的。为啥自己以前就想不到呢?以后遇见问题一定要多动脑筋。 转自:http://my.unix-center.net/~Simon_fu/?p=527      在移植Android过程中会遇到很多Crash的事情。一般这些问题都可以通过看代码能解决,当然也有一些比较难搞的问题,非常难找到头绪,在 log
Android 调试检测技术
07-20
Android 调试检测相关知识, 防止程序被逆向, 破解. Android 调试检测相关知识, 防止程序被逆向, 破解.
android C语言调试汇编
yeshen.org
11-06 489
有一点示范代码,不过代码内容有点敏感,所以我换成网上找的一段代码来进行调试。源码来自:detect_bt_arm,在android jni中 void *thread2(void *) __attribute__ ((noreturn));void thread1(void) __attribute__ ((noreturn));uint32_t global_value = 0; #define
Android调试的必杀技——反汇编
huangxiaohu_coder的专栏
11-16 7459
今天一个APK的应用老是挂在一个so中,搜集资料发现以下东东有些意思,虽然对我遇到的问题没有作用,不过转给有需要的朋友,迸发下灵感、     转自http://my.unix-center.net/~Simon_fu/?p=527     在移植Android过程中会遇到很多Crash的情况,尤其是启动Android过程中。一般这些问题都可以通过看代码能解决,当然也有一些比较“妖娆”的问题,非
android调试 反汇编
08-29 2391
android调试 反汇编   转:http://www.apkbus.com/forum.php?mod=viewthread&tid=577 在移植Android过程中会遇到很多Crash的情况,尤其是启动Android过程中。一般这些问题都可以通过看代码能解决,当然也有一些比较“妖娆”的问题,非常难找到头绪,在logcat日志也只会打印一些崩溃的堆栈,这些信息很难帮助我们定位问题
调试端口检测
YJJYXM的博客
11-30 903
往期推荐 调试与反调试–关键文件检测 模拟器检测 文件检测 签名验证 一:运行文件检测程序 1.将checkTCP课件Push到目录/data/local/tmp位置,如下图所示。 2.给这个可执行程序一个权限,运行程序,发现被killed,显示5D8A,如下图所示。 3.执行指令cat /proc/net/tcp,查看当前端口,发现当前有两个端口,如果当前程序存在5D8A这个端口,说明IDA程序android_server正在运行,这个就是端口检测的原理,如下图所示。 4.如果将android se
Android逆向之动态调试技术
01-19
总之,Android逆向工程的动态调试技术是深入了解应用行为、检测安全漏洞或优化性能的有效手段。通过掌握这些技巧,开发者可以更高效地分析和修改Android应用的内部逻辑。在学习过程中,参考书籍、在线资源和实践经验...
Android应用源码之14.程序调试技术学习.zip
12-17
程序调试技术学习”提供了一些关于Android调试的实践教程和示例源码,旨在帮助你深入理解并掌握这一关键技能。 首先,我们要了解Android调试基础。在Android Studio中,我们可以使用内置的IDE进行调试。通过设置...
android smali插桩重打包逆向调试例子
05-25
总结来说,"android smali插桩重打包逆向调试例子"是一个实践教程,涵盖了Android应用的逆向工程、Smali插桩技术调试方法以及重打包过程。通过这个例子,开发者和安全研究人员可以学习如何在没有源码的情况下分析...
android汇编2014最新版
12-23
Android开发领域,了解反汇编技术是提升应用安全性和逆向工程能力的重要步骤。"android汇编2014最新版" 提供了2014年最新的反汇编工具包,使得开发者和安全研究人员能深入查看APK文件内部的代码结构,特别是对于...
安卓逆向+androidkiller工具+仅供技术分析
最新发布
11-02
安卓逆向工程是针对Android应用程序的一种技术分析手段,它涉及到对APK文件的解包、反编译、调试和修改,旨在理解应用的工作原理、提取数据或查找潜在的安全漏洞。在Android开发和安全研究领域,逆向工程是一个不可...
[车联网安全自学篇] Android安全之检测APK应用程序是否可被调试的多种技巧
橙留香Park的博客
08-26 961
APK调试的前提条件是APK是可调试的状态,但一般开放人员在发版的时候,会发release版。因为在一般的手机上,release版本的应用是不可以被调试的,相对来说起到了保护APK的作用PS:在最初的时候,开发Android是没有gradle的,那时候发release版不像现在在gradle配置好就行了,是直接操作文件中标签的属性Android系统会通过APP的文件中设置属性,去验证App可不可以调试。假如想关掉这个系统验证,一种是重新刷入boot.img修改方法,另一种是通过hook修改。......
android的函数断点反调试检测
小王的储物间
12-31 158
在apk应用的so文件中函数的指令都是固定,但是如果被下了软件断点,指令就会发生改变(断点地址被改写为bkpt断点指令),可以计算内存中一段指令的hash值进行校验,检测函数是否被修改或 被下断点。
android+反调试+方案,Android调试笔记
weixin_36401794的博客
05-25 532
1)代码执行时间检测通过取系统时间,检测关键代码执行耗时,检测单步调试,类似函数有:time,gettimeofday,clock_gettime.也可以直接使用汇编指令RDTSC读取,但测试ARM64有兼容问题。time_t t1, t2;time (&t1);/* Parts of Important Codes */time (&t2);if (t2 - t1 > 2)...
安卓:使用/proc文件系统获取当前运行进程名
ONS_cukuyo的博客
01-15 2066
  借用下其他博主的话:“ 可以从原有的几个方法的API变化及调用返回看出。  - getRunningAppProcesses()在直到4.x, 5.0版本上工作良好(即便API中提示此方法仅用于debugging及编译管理UI之用),但从5.0+开始在一些OEM的系统中调用此方法进行测试会发现方法返回null。 getRunningTasks (int)方法从5.0起正式被标记为depr...
Performance(CPU/MEM) Monitoring with /proc in Android
weixin_33690963的博客
02-26 74
/proc/stat 记录了CPU使用的数据,比如CPU在用户态、nice和内核态的时间,其单位是USER_HZ or Jiffies (1/100 seconds) > adb shell cat /proc/stat cpu 18485 385 17818 1731820 10138 10 244 0 0 0cpu0 16059 283 16775 847113 8982 10 ...
android proc目录,Android系统/proc目录详解
weixin_35990183的博客
06-03 1869
/proc是一个虚拟文件系统,其下面的文件不是真实存在的,不占用实际存储空间。/proc/cmdline:显示内核启动的命令行。示例: /proc/cpuinfo:显示系统cpu的信息。示例: /proc/filesystems,显示当前注册了的文件系统列表,nodev表示为虚拟文件系统。示例: /proc/interrupts:显示当前系统的中断信息.示例: /proc/ioports:被占用的...
Android逆向基础之ARM汇编语言知识总结
道阻且长,行则将至。
10-15 3099
文章目录前言ARM汇编1.1 寄存器1.2 变址寻址方式1.3 常用汇编指令 前言 X86 是英特尔 Intel 首先开发制造的一种微处理器体系结构的泛称,包括 Intel 8086、80186、80286、80386 以及 80486 等以 86 结尾系列,英特尔统治整个 CPU 产业链长达数十年。ARM(Advanced RISC Machines)公司是苹果、Acorn、VLSI、Technology等公司的合资企业,ARM 处理器非常适用于移动通信领域,具有低成本、高性能和低耗电的特性,ARM 的高
特殊文件--proc文件系统
ubuntulover的专栏
08-15 6290
1.proc文件系统proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,proc文件系统是动态从系统内核读出所需信息并提交的。作为一种特殊的文件,程序可以使用op
暖通空调施工与调试技术方案汇编
"暖通精选施工方案文档包含了多个项目的暖通空调(HVAC)施工细节,涵盖管线布置、空调洁净系统、洁净室装修、工艺管道、电气施工、设备材料运输、系统调试检测等多个方面。" 这篇文档详尽地阐述了暖通空调系统的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kerve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值