一文带你实现监控android的内存dump

已于 2024-01-16 15:04:55 修改
阅读量1.1k 收藏 1
点赞数
文章标签: 实时监控 网络安全 Android 内存dump Inotify
于 2023-02-28 22:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/129265521
版权

监控原理

通常加固会在程序运行前完成对text的解密,所以脱壳可以通过 /proc/pid/mem或/proc/pid/pagemap或/proc/pid/maps,获取到壳解密后的代码内容。

可以通过Inotify系列api来监控mem或pagemap的打开或访问事件, 一旦发生触发了事件就结束进程来阻止android的内存被dump。

代码实现


 void thread_watchIntifyDump() {

char dirName[NAME_MAX]={0};
//用于监控/proc/pid/maps的数据
snprintf(dirName,NAME_MAX,"/proc/%d/maps",getpid());

int fd = inotify_init();
if (fd < 0)
{
LOGA("inotify_init err.\n");
return;

}

int wd = inotify_add_watch(fd,dirName,IN_ALL_EVENTS);
if (wd < 0)
{

LOGA("inotify_add_watch err.\n");
close(fd);

return;

}

const int buflen=sizeof(struct inotify_event) * 0x100;
char buf[buflen]={0};
fd_set readfds;

while(1)
{

FD_ZERO(&readfds);

FD_SET(fd, &readfds);

int iRet = select(fd+1,&readfds,0,0,0); // 此处阻塞

LOGB("iRet的返回值:%d\n",iRet);
if(-1==iRet)
break;

if (iRet)
{

memset(buf,0,buflen);
int len = read(fd,buf,buflen);

int i=0;

while(i < len)
{

struct inotify_event *event = (struct inotify_even

t*)&buf[i];

LOGB("1 event mask的数值为:%d\n",event->mask);

if( (event->mask==IN_OPEN) )
{

// 此处判定为有true,执行崩溃.

LOGB("2 有人打开pagemap,第%d次.\n\n",i);

//__asm __volatile(".int 0x8c89fa98");

}i += sizeof (struct inotify_event) + event->len;

}


}

}

inotify_rm_watch(fd,wd);
close(fd);

return;

} 

 //接口函数调用
void main() {

// 监控/proc/pid/mem

pthread_t ptMem,t,ptPageMap;

int iRet=0;

// 监控/proc/pid/pagemap

iRet=pthread_create(&ptPageMap,NULL,(PPP)thread_watchInotifyDump,NULL);

if (0!=iRet)
{

LOGA("Create,thread_watchDumpPagemap,error!\n");

return;

}

iRet=pthread_detach(ptPageMap);

if (0!=iRet)
{

LOGA("pthread_detach,thread_watchDumpPagemap,error!\n");
return;

}

LOGB("pid:%d\n",getpid());

return;

}

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:

# 网络安全学习方法

上面介绍了技术分类和学习路线,这里来谈一下学习方法:

## 视频学习

无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

教IT的无语强
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IM即时通讯开发之Android内存泄漏监控
蔚可云的博客
07-20 337
Activity泄漏会导致该Activity引用到的Bitmap、DrawingCache等无法释放,对内存造成大的压力,挽救措施是指对于已泄漏Activity,尝试回收其持有的资源,泄漏的仅仅是一个Activity空壳,从而降低对内存的压力。当分配的对象大小超过384K时触发,注意这是以异步的方式进行回收的.如果发现大量反复的ConcurrentGC出现,说明系统中可能一直有大于384K的对象被分配,而这些往往是一些临时对象,被反复触发了。给到我们的暗示是对象的复用不够。...
android应用内存监控工具
12-19
android应用内存监控工具,
android-dump-memory:Android内存转储工具
05-17
自述件 这是一个从android进程中转储内存内容的简单工具。 它需要植根设备。 该工具基于。 我添加了几个功能,例如“转储”,“搜索”,“显示”。 搜索对于搜索内存中的敏感信息(密码等)很有用。 包括示例二进制件。 用法 android_dump_memory <dump> <pid> <start> <total> [search string] dump:将内存内容转储到件中。 件名将采用./dump_startaddress_endaddress格式。 show:在控制台中打印内存内容。 search:搜索ASCII / UNICODE字符串。 start_address,total_bytes应该以“ 0x”开头,因为sscanf希望它存在。
android.内存监控,android内存监控
weixin_29476659的博客
05-31 1238
有道云笔记Android内存监控http://note.youdao.com/noteshare?id=6733e5300c8a4d06fa3c41a4f03f5c7b内存总量:/proc/meminfoadb shelldumpsys meminfoYOUR-PACKAGE-NAMEVSS – Virtual Set Size 虚拟耗用内存(包含共享库占用的内存)RSS – Resident ...
2024年安卓最新Android内存泄露监控和分析应用,Android程序员架构之路该如何继续学习
最新发布
erhtre的博客
05-16 940
学完之后,若是想验收效果如何,其实最好的方法就是可自己去总结一下。比如我就会在学习完一个东西之后自己去手绘一份xmind件的知识梳理大纲脑图,这样也可方便后续的复习,且都是自己的理解,相信随便瞟几眼就能迅速过完整个知识,脑补回来。下方即为我手绘的Android框架体系架构知识脑图,由于是xmind件,不好上传,所以小编将其以图片形式导出来传在此处,细节方面不是特别清晰。但可给感兴趣的朋友提供完整的Android框架体系架构知识脑图原件(包括上方的面试解析xmind档)
Android内存监控
Andrea_Chi的博客
02-24 802
因为Android也是基于Linux所以同理 可以看VSS/RSS/PSS/USS另外可以用adb shell dumpsys meminfo processname的方式,这种方式是统计PSS,如果怀疑有memoryleak的话可以检测下native heap是否是持续增长,如果想检查函数/方法级别的内存占用的话可以使用MAT等工具。VSS- Virtual Set Size 虚拟耗用内存(包含...
利用IActivityManager接口监听android系统中进程状态变化
分享技术与经验的博客
08-19 3634
上面方法可得到准确的包名信息来判断对应进程。通过也可获取更多的信息,但是不能实时监听系统中进程的变化。在与AMS相关的接口找到,是一个系统接口,实现类为,内部持有AMS的代理,使用实际上也是调用AMS的方法。源码分析 — Binder机制(二)之IActivityManager以上是的使用介绍,仅限于系统应用使用,非系统应用无法直接调用,可通过来定时获取进程信息进行判断处理。
M8 android dump内存工具
08-12
这是一个C语言编写的源代码件,它实现了从Android设备内存中导出数据的功能。通常,开发者会编译这个源代码生成一个可执行件,例如`memdmp`。这个程序可以通过ADB(Android Debug Bridge)推送到设备上,用于...
Android arm64 hexdump tool
03-08
Android arm64 hexdump tool ,源码,Android.mk 及编译好的bin
MemDump:android 内存dump,不会触发ptrace检测
05-08
memdump:Android 内存dump。配合kill -19,能比较方便的破二代壳。
ANDROID-CORE-DUMP-ANALYSIS
10-09
Android系统中,核心转储(Core Dump)分析是一项关键的技术,用于诊断和解决系统崩溃、内存泄漏等问题。本档“ANDROID CORE DUMP ANALYSIS”是Qualcomm Technologies, Inc.内部的技术资料,详细介绍了Android...
Android系统资源实时监控工具
05-20
轻量级的Android 实时监控系统资源工具,另外附加Monkey,和启动耗时等功能!目前版本1.0
内存监控apk
04-03
安装到手机,运行后点击打开,在件管理中有MemoryLog件夹,里面有excel表格。(可能需要插入SD卡才能正常使用,对不支持的机型表示对不起)
Android 内存监控 OOM治理
jhyshenyu的专栏
02-18 760
Linux内存指标概念 VSS- Virtual Set Size 虚拟耗用内存(包含共享库占用的内存) RSS- Resident Set Size 实际使用物理内存(包含共享库占用的内存) PSS- Proportional Set Size 实际使用的物理内存(比例分配共享库占用的内存) USS- Unique Set Size 进程独自占用的物理内存(不包含共享库占用的内存) 一...
Android内存监听的方法
FritzXu的博客
06-18 3853
Android 系统提供了 ComponentCallbacks 和 ComponentCallbacks2 这两个接口让开发者去监听 App 的内存变化 ,其中 ComponentCallbacks2 仅可用于 Api 14 以上的版本。 我们可以在 Application,Activiy,Service 和 ContentProvider 中重写接口方法来实现内存变化的监听。 ...
Android系统启动流程(五)——init进程对子进程的监控(基于Android13)
一切皆是定数的博客
05-08 523
init进程会读取rc件,然后孵化很多其他系统服务进程,为防止子进程死亡后称为僵尸进程,init需要监测子进程是否死亡,如果死亡,则清除子进程资源,并重新拉起进程。使用epoll注册监听信号量fd,子进程死亡会发送信号给init进程,这里就会调用epoll中注册的回调函数HandleSignalFd。这里清除了进程的资源,并设置该进程标志为SVC_RESTARTING,并启动rc中定义的onrestart相关服务。init进程第二阶段启动的时候,创建了epoll,并将子进程相关处理注册到epoll中。
android线上内存监控_如何在Android监控(和减少)您的数据使用情况
cuma1988的博客
09-21 2540
android线上内存监控Increasingly sophisticated phones and data-hungry applications make it easier than ever to blow through your cellphone plan’s datacap…and incur nasty overage charges. Read on as we show ...
[Android]app调用系统服务dump讨论
aaajj的专栏
10-31 3506
【相关技术讨论群】760816094 在app调用系统服务的dump方法,我们可以参考dumpsys命令的实现,可以通过以下2中方式, 1,获取服务的Ibinder对象,但是一般是获取不到的,因为在app端可以使用的类似PackageManager这样的对象是把Ibinder对象封装在里面的,没有暴露出来,一般需要修改代码来提供Ibinder对象。或者进行NDk调用,仿照dumpsys里的方式,通过servicemanager对象获取到Ibinder对象,再调用其dump方法,可能会有SELinux

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值