安卓反调试技术-自带调试检测函数及ptrace检测(3)

原创 已于 2025-04-09 19:31:16 修改 · 654 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

于 2025-04-09 18:11:08 首次发布

原理:

我们进行动态调试的时候,其中有一个步骤是进行jdb连接操作:jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8600,当接连成功之后,isDebuggerConnected() 这个方法就会为ture。

然后我们把三项勾选取消,再点击运行就成功了。

代码 :

这个函数实在Java层的,所以不需要用到.so文件,直接在Mainactivity.java中就可以实现了。

package com.example.myapplicationisdubug;

import androidx.appcompat.app.AppCompatActivity;

import android.os.Bundle;
import android.os.Debug;
import android.util.Log;
import android.widget.Toast;

public class MainActivity extends AppCompatActivity {
    private Thread debuggerCheckThread;    //创建线程也是为了循环检测

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        startDebuggerCheckThread();

    }
    private void startDebuggerCheckThread() {
        debuggerCheckThread = new Thread(() -> {
            while (!Thread.interrupted()) {
                // 检查是否有调试器连接
                if (Debug.isDebuggerConnected()) {
                    // 如果有调试器连接,终止进程
                    Log.e("DEBUG", "debugging");    //为了方便得到检测效果
                    android.os.Process.killProcess(android.os.Process.myPid());    //kill进程
                }else{
                    Log.e("DEBUG", "no debug");
                }
                // 每隔1秒检查一次                try {
                    Thread.sleep(1000);
                } catch (InterruptedException e) {
                    // 线程被中断,退出循环
                    break;
                }
            }
        });
        debuggerCheckThread.start();
    }

    protected void onDestroy() {
        super.onDestroy();
        // 确保线程在Activity销毁时被中断
        if (debuggerCheckThread != null) {
            debuggerCheckThread.interrupt();
        }

    }
}

logcat 

adb logcat查看效果,成功!

IDA这边也成功了 

反反调试(待补充):

可以直接修改smali代码或者hook,以后补充

ptrace检测

这是进行的最顺利的一个了。

一个进程同时刻只能被一个进程跟踪,我们可以使用ptrace让进程自己跟踪自己,这样android_server就不能够调试。

代码原型:
#include <sys/ptrace.h>
long ptrace(enum _ptrace_request request,pid_t pid,void* addr,void* data)

效果如下:

当IDA进行附加时,会附加不上,提示这个就表示成功了

同时可以看看这个进程的Tracerpid值,就是zygote的值

使用命令:

ps -ef | grep ptrace

得到该进程的pid值为1662

然后cat /proc/1662/status得到TracerPid的值为128 

再 使用命令ps -ef | grep 128发现就是zygote

反调试代码如下:

MainActivity.java:

package com.example.myapplicationptrace;

import androidx.appcompat.app.AppCompatActivity;

import android.os.Bundle;
import android.widget.TextView;

import com.example.myapplicationptrace.databinding.ActivityMainBinding;

public class MainActivity extends AppCompatActivity {

    // Used to load the 'my_ptrace' library on application startup.
    static {
        System.loadLibrary("my_ptrace");
    }

    private ActivityMainBinding binding;

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);

        binding = ActivityMainBinding.inflate(getLayoutInflater());
        setContentView(binding.getRoot());

        // Example of a call to a native method
        TextView tv = binding.sampleText;
        tv.setText(stringFromJNI());
    }

    /**
     * A native method that is implemented by the 'myapplicationptrace' native library,
     * which is packaged with this application.
     */
    public native String stringFromJNI();
}

native-lib.cpp:

#include <jni.h>
#include <string>
#include <linux/ptrace.h>
#include <sys/ptrace.h>
#include <stdio.h>
#include <unistd.h>
#include <pthread.h>

void ptrace_me(){
    int ch = ptrace(PTRACE_TRACEME,0,NULL,NULL);        //返回-1表示已经被调试
    if (ch == -1){
        int pid = getpid();     //ptrace附加自身,会导致此进程TracerPid变为父进程(zygote)的TracerPid
        kill(pid,SIGKILL);
    }
}


jint JNI_OnLoad(JavaVM* vm, void* reserved) {
    ptrace_me();        //通过JNI_OnLoad方法调用ptrace_me()
    return JNI_VERSION_1_6; // 返回 JNI 版本号
}

extern "C" JNIEXPORT jstring JNICALL
Java_com_example_myapplicationptrace_MainActivity_stringFromJNI(
        JNIEnv* env,
        jobject /* this */) {
    std::string hello = "Hello from C++";
    return env->NewStringUTF(hello.c_str());
}

CMakeLists.txt:

 反反调试:

最简单的也是修改JNI_Onload()的相关方法

就是call这一行

我之前看其他师傅们写的文章,统一是说把相关代码nop掉,但是如果我这里nop掉之后,我返回看IDA的流程图,JNI_Onload()就变得不连续了,所以我其实有怀疑可以是这个原因导致的重新打包签名的apk闪退。

所以我今天没有nop掉代码,而是把call这一行的代码,改成和下面一行mov eax, 10006h一样,这样也不会影响函数逻辑。

然后再重新打包签名,发现成功了,程序也没有闪退! 

注意,重新打包签名之前,需要把META-INF这个文件删了,这个是之前的签名文件

 

[车联网安全自学篇] ATTACK安全之Frida反调试检测
橙留香Park的博客
11-25 1463
[车联网安全自学篇] ATTACK安全之Frida反调试检测;在开始正式讲反调试之前,我们先来了解一些基础知识逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全的渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握反编译已编译的APK应用程序的能力、应用程序
浅谈Frida 检测与绕过
AALoveTouch的博客
05-18 1987
浅谈frida
LSPosed_mod反调试保护机制:基于ptrace调试检测与规避技术
最新发布
gitblog_00047的博客
10-04 860
你是否曾为Android应用的调试防护而烦恼?本文将深入剖析LSPosed_mod项目中基于ptrace反调试保护机制,从调试检测原理到实际规避技术,为你呈现一套完整的防护方案。读完本文,你将掌握如何利用ptrace系统调用构建调试检测屏障,以及如何通过代码混淆增强应用安全性。 ## 调试检测核心原理 调试器通过ptrace系统调用实现对目标进程的控制,而反调试技术正是利用这一特性构建...
android ptrace 检测,Android ptrace函数的实现
weixin_39992660的博客
05-28 996
首先看sys/ptrace.h/bionic/libc/include/sys/ptrace.h我们在调用的时候使用的是PTRACE_的导出符号,glibc也导出了PT_开头的符号。PTRACE_开头的符号定义在/bionic/libc/kernel/uapi/linux/ptrace.h中都是int型的数字,回到ptrace函数的定义,头文件中写的是一个不定参数的形式long ptrace(in...
ptrace安卓程序注入例子
02-11
安卓程序ptrace注入例子,送给想研究手游注入的同学 使用JNI注入
Ptrace-for-Android:一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序
07-02
Ptrace-for-Android 一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序。 一、简介: Ptrace 是 linux 发行版中最重要的系统调用之一。大多数调试实用程序(如 gdb 和其他常见调试实践)在很大程度上都涉及 Ptrace 的使用。另一方面,考虑到 android 是建立在 linux 之上的事实, android 同样喜欢 Ptrace 的内置实现。但是可以利用 AndroidPtrace 效率的现成工具/实用程序数量非常有限。所以在这个项目中,我们设计了一个应用程序跟踪器,它基本上适用于 android 平台,它具有跟踪应用程序与内核交互的能力。我们的跟踪器列出了所有交互,这些交互基本上是系统调用,并为任何调试器提供了足够的信息。我们的跟踪器提供了一些其他附加功能,使用户能够密切检查/监视特定系统调用,可以在发生可疑系统调用时杀
Android ptrace简介
热门推荐
MyArrow的专栏
07-29 1万+
1. ptrace 本身的实现 1.1 ptrace用户态定义 见bionic/libc/bionic/ptrace.c extern long __ptrace(int request, pid_t pid, void *addr, void *data); long ptrace(int request, pid_t pid, void * addr, void * data) {
利用PtraceAndroid平台实现应用程序控制
weixin_34004576的博客
04-10 169
利用PtraceAndroid平台实现应用程序控制 http://hi.baidu.com/harry_lime/item/9a23bbd9ebd936b1260ae7db 但凡做过安全软件的人都知道,APIHook和AppControl是经常要实现的功能。 为了实现这两个功能,最常用的方法就是写driver,在kernel中拦截检查相应的调用。这种做法...
Android安卓安全加固反调试检测手段(java层+native层)(附代码实现).pdf
11-25
### Android安卓安全加固反调试检测手段 #### 1. Java层保护 ##### 1.1 代码混淆 在Android应用开发中,java层的代码如果被逆向分析,将变得一览无遗。为了保护代码不被轻易分析,可以使用代码混淆技术Android...
ANDROID调试检测技术汇编
抚琴
02-06 1485
ANDROID调试检测技术汇编 1 调试调试端口 2 调试器进程名 3 父进程名检测 4 自身进程名检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 14 利用IDA解析缺陷反调试 15 五种代码执行时间检测 16 三种种进程信息结构检测 17 Inotify事件监控dump 1. IDA调试端口检测 原理: 调试器远程调试
安卓逆向-IDA动态调试 | 自毁程序的反调试
Samsam的博客
03-11 1831
IDA动态调试 配置: #把本地文件推送进手机目录 adb push android_x86_server(cpu型号要对应 模拟器是x86) /data/local/tmp/ #进入手机shell adb shell #真机要使用 su 命令 切换到root用户,模拟器不用 #进入手机tmp目录 cd /data/local/tmp/ #修改权限 chmod 777 android_server #运行 ./android_server #在本地执行adb 做端口转发 adb
安卓逆向—反调试汇总
contrary_的博客
04-28 1565
给大家介绍一下反调试汇总的原理及实现方式,以及各种反调试的扩展 反调试汇总: 针对于一些大型apk 反调试不一定是让你不能调试 -> 让你得到一个错误的结果 逆向某一个算法 传参 中间会根据一些数据运算 如果检测反调试 计算错误 **1.IDA调试端口检测** 监测android_server文件端口信息 默认的23946(5D8A) 更改端口 31927 -> 过掉此反调试 **2.调试器进程名检测** 监测android_server gdbserver gdb等进程
CTF-RE: 在c语言中利用ptrace()检测子进程是否被调试
weixin_59166557的博客
12-03 665
ptrace是一个在 Unix 和类 Unix 系统(如 Linux)中用于进程间调试和控制的系统调用。它允许一个进程(通常是调试器)观察和控制另一个进程的执行,并能访问和修改其内存和寄存器。ptrace常用于调试工具,如gdb(GNU 调试器)。
Android ptrace注入基础
weixin_43632667的博客
06-13 1276
一、Android ptrace注入基础 1.可执行文件建立 首先建立一个ELF可执行文件target,使用ndk-build进行编译 需要先在任意地方建立一个jni,然后在jni目录下建立Android.mk,Application.mk,target.c Android.mk: LOCAL_PATH := $(call my-dir) include $(CLEAR_VARS) LOCAL_MODULE := target LOCAL_SRC_FILES := target.c include
linux 分析 ptrace
weixin_33670786的博客
01-26 472
linux分析ptrace() 形式 #include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心p_w_picpath。它主要用于实现断点调试。一...
Andorid APK反逆向解决方案:梆梆加固原理探寻【存档】
panfanglin的专栏
06-26 1095
目前Android市场充斥着大量的盗版软件,开发者的官方应用被“打包党”们恶意篡改。如何使程序代码免受盗版篡改就成了开发者面临的头等大事,今天我们将分析一个不错的解决方案——梆梆加固。 通过对App进行加固保护,梆梆可以有效防止移动应用在运营推广过程中被破解、盗版、二次打包、注入、反编译等破坏,保障程序的安全性、稳定性,对移动应用的整体逻辑结构进行保护,保证了移动应用的用户体验。
Android平台的 Ptrace, 注入, Hook 全攻略
beyond702的专栏
05-11 3977
原帖:http://www.aiuxian.com/article/p-1295924.html Android平台上的Ptrace已经流行很久了,我记得最早的时候是LBE开始使用PtraceAndroid上做拦截,大概三年前我原来的同事yuki (看雪上的古河) 写了一个利用Ptrace注入的例子,被广泛使用,听说他还因此当上了版主,呵呵: Android平台上的注入代码 两年前
android inject(一)ptrace基础
qq_17748035的专栏
11-22 1575
理论不说了,以下提供三个demo,几乎逐行注释,看懂了应该就懂了。 一.完成了两件事儿: 1.儿子告诉爸爸,儿子到信息可以被查看/修改 PTRACE_TRACEME 2.爸爸查看儿子的信息 PTRACE_PEEKUSER #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;sys/ptrace.h&gt; #in......
ptrace反调试
HotIce0
10-03 3149
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试反调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
深入解析ptrace与sysctl反调试检测技术
资源摘要信息:"反调试技术体系:ptrace反注入与sysctl反调试检测组合拳.pdf" 一、引言 1.1 背景与意义:介绍了文档的研究背景,强调了反调试技术的重要性,以及它在保护软件安全、避免恶意行为和提高系统稳定性的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值