android 多线程反调试,[原创]分析绑绑反调试

最新推荐文章于 2023-03-14 10:20:12 发布
最新推荐文章于 2023-03-14 10:20:12 发布
阅读量998 收藏 1
点赞数
文章标签: android 多线程反调试

第一次分析绑绑加固,我并不是想脱壳只是想看看他怎么反调试的,这里记录下分析的过程。语言组织不好如果有需要的同学将就看看吧。在调试的时候开始还是很痛苦的我也不知道他加了什么混淆反正乱七八糟的流程没法看,只能一路F8,碰到函数调用就看看是什么函数,调用完后看看返回值。在分析的过程中看到他读取.cache目录下的文件,有点怀疑这里面有个是加密的dex文件,但是我没分析不知道是不是。其中我记录了下java层Helper.attach函数对应的jni层函数pC06BEE7ED252466C74DFD6BA9BB3761D。当前分析的这个某银行apk,我没有完全过掉反调试,其中他检查xposed的代码我没找到,我有点怀疑是某银行apk自带的检查,可以正常单步pC06BEE7ED252466C74DFD6BA9BB3761D这个函数了是不是绑绑的反调试已经过了呢?为了验证这点我特意找了个绑绑免费版的来测试把反调试挂起后可以正常启动apk并且调试器能单步(其实我心里也没底不知道这个检查xposed是不是绑绑的),下面开始记录下分析过程。

用JEB打开后发现就这么几个类,肯定是已经加固,下面看看是什么加固

ba1a63a0043136f215b1122cfede6160.png

打开manifest文件查看application中android:name=”com.secneo.apkwrapper.ApplicationWrapper”

看到这个包名我也不知道是什么加固,好吧百度下发现是绑绑加固。

分析ApplicationWrapper类基本上没什么值得看的,我唯一就看到DexHelper这个so,其中还有个Helper.attach这个本地函数。

7cf4978dd448fe1e3616c44a8c846620.png

一、静态分析DexHelper.so

c2e74bb7f48f08d5d0bb6d4f201ecd3a.png

双击查看.fini_array节,跟反调试无关,这个函数应该是默认就有的

eddebd8ac744270661b0361a00fc36ff.png

最低0.47元/天 解锁文章
瘾小明
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
app加固-最新加固特征
weixin_38640052的博客
08-02 1256
代码】app加固-最新加固特征。
android 多线程调试,android 调试(TracePid 不断轮询检查 JAVA )
weixin_30803191的博客
05-25 303
android 调试(TracePid 不断轮询检查 JAVA )android 调试(TracePid 不断轮询检查 JAVA )在android 中,在调试状态下,linux会向/proc/"进程PID"/status 中写入状态信息。其中TracePid 就是调试该进程的进程的的Pid,所以调试的方法之一就是通过不断轮询检查TracePid的值,假如为0的话,说明该进程没有被调试,假如...
android 多线程调试,64位内核开发第五讲,调试调试
weixin_39628070的博客
05-25 112
调试调试一丶调试的几种方法1.DebugPort端口清零debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了也就是说你不能单步了.等相关调试操作了.如果做调试.开启一个线程.不断的对这个DebugPort进行清零.进而进行调试.思路:1.找到当前进程的EPROCESS结构2...
android信号量调试,进程、线程、多线程的网址集结(看)
weixin_26843605的博客
05-29 70
面试总是会问这方面的内容,自己虽然知道一点点点点的概念,但是并不是很透彻的了解,这次,面试就挂在这个问题上了。哎。还是先提前写一下这个吧。进程和线程。1、进程和线程下面这个总结得挺好的。http://www.cnblogs.com/obama/archive/2013/04/12/3016509.html2、多线程的讲解http://blog.csdn.net/column/details/kil...
调试 - 调试对象
LYSM
07-14 535
原理 当一个程序被调试时,有两种情况:“打开” 和 “附加” ,分别调用 CreateProcess 和 DebugActiveProcess 创建一个调试对象,而通过检测系统中有无调试对象,可以判断出是否有进程正在被调试。这种方法适用于全局调试,也就是说即使被调试的程序不是自身,也仍然会被检测到。 代码示例 // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <W
pthread_create返回11解决方法
热门推荐
cry1994的专栏
09-24 1万+
一直以为,程序创建线程,线程运行结束会自动清空资源 最近在一个项目中用到了线程,除去业务逻辑,我把他简化出来是下面这样//pthread.c #include <stdio.h> #include <pthread.h> static int testcount = 0; static void *test_thread_handler() { testcount++; print
Android开发中的多线程编程技术
07-25
此资源可能包含用于分析调试Android应用的汇编工具,如dex2jar、JD-GUI等,它们可以帮助开发者查看APK中的字节码和源代码,理解多线程在底层是如何工作的。 总结,这个资源包为Android开发者提供了全面的多线程...
android开发socket编程之udp发送实例分析
01-20
然而,这只是实现完整通信的一个起点,实际应用中还需要考虑更多的因素,如错误处理、数据的序列化和序列化、多线程同步、网络状态检测等。此外,如果需要接收数据,还应该创建一个监听线程,不断地接收和解析从...
Android之快速框架+多线程下载框架的技术(Android + Afinal+gson)_android源码.zip
09-11
本资料主要涵盖了如何利用Android技术结合Afinal和Gson库来实现一个快速框架以及多线程下载功能。以下是相关知识点的详细介绍: 1. **Android快速框架**: - **Activity生命周期管理**:在Android应用开发中,理解...
Android应用源码带服务端多人在线扑克.zip
07-07
2. **多线程编程**:在线扑克游戏涉及到实时的数据交换和处理,因此源码中会大量使用到Android的异步处理机制,如AsyncTask、Handler、Looper、Service等,以保证游戏的流畅性。 3. **网络通信**:游戏的多人在线...
分析安装在Android上的程序的应用程序
04-06
开发者需要熟练掌握Java语法、类与对象、异常处理、多线程等基础知识,以便编写高效、稳定的代码。 2. **Android SDK**:Android软件开发工具包提供了开发、调试和发布Android应用程序所需的工具。开发者需要熟悉...
安卓逆向-IDA动态调试 | 自毁程序的调试
Samsam的博客
03-11 1483
IDA动态调试 配置: #把本地文件推送进手机目录 adb push android_x86_server(cpu型号要对应 模拟器是x86) /data/local/tmp/ #进入手机shell adb shell #真机要使用 su 命令 切换到root用户,模拟器不用 #进入手机tmp目录 cd /data/local/tmp/ #修改权限 chmod 777 android_server #运行 ./android_server #在本地执行adb 做端口转发 adb
Android Apk加固厂商特征,Apk加固哪家强?
键盘的起始页
12-25 5486
一、Apk加固厂商特征(apk包含以下一个或多个文件) 爱加密 libexec.so, libexecmain.so,ijiami.dat 娜迦 libchaosvmp.so , libddog.solibfdog.so 梆梆 libsecexe.so, libsecmain.so 梆梆企业版 libDexHelper.so , libDexHelper-x86...
加壳加固厂商特征
Codeooo 博客
09-08 1万+
1.常用加固方式 类加载技术 针对apk中的classes.dex文件进行处理,放入特定的文件中,通 过native代码来对其运行时解密 使用厂商(娜迦/爱加密/梆梆) 对原dex文件整体压缩加密,保存在壳代理的dex文件尾部,加 载到内存中解密运行 使用厂商(360) 方法替换技术 将classes.dex文件中的方法代码进行提取,抽取方法,在运行 时对其进行动态解密还原 使用厂商(娜迦/梆梆) 2.加固厂商特征 娜迦:libchaosvmp.so, libddog.so libf
Android各代加固总结
weixin_42454310的博客
03-14 1943
本文简单地总结了一下Android加固的背景和发展历史,也介绍了一些目前常见的脱壳工具。对于so加密的情况,目前也有许多方法应对,比如ida动态调试dump内存中的so,GG模拟器dump内存,frida dump so,unidbg等等。对于混淆的so,也有jnitrace,unidbg,还有hluwa大佬的大作obpo等工具辅助我们分析。除此以外还有还有一些优秀的脱壳工具如Fart等,我也没有再做介绍了。如有问题可关注公众号:移动安全星球。
某问答社区App x-zse-96签名分析
fenfei331的博客
06-23 902
今天我们的目标是某问答社区App的 x-zse-961:main版本: v8.21.1常规做法是jadx打开apk,然后搜索x-zse-96。神奇的是,居然没有结果,这就有点意思了,App给我们加戏了,把一些明显的字符串做了加密隐藏。观察一下,签名有两个共性1、 都是 1.0_ 开头2、 后面接着的很像Base64那就先从hook开头开始吧。继续用大海捞针法来捞开头。 来跑一下。幸运的是,我们这次猜对了开头,也猜对了结果。下面的目标就是这个 com.zxxxu.android.net.d.i.e 了点这个e
[操作向]DexExtractor的使用
weixin_33824363的博客
12-27 928
最近对接某应用, 他们集成我司sdk后出了点问题, 打算看看他们代码, 发现咋jadx中找不到包名目录; 可以看到有个 wrapper 包名 com.secneo.apkwrapper 包名, 查了下, 是梆梆加固的(我自己用免费的梆梆加密apk,倒是没有个包,而是多了 com.secshell.secData 包): 之前用爱加密/腾讯乐固等加固软件, 都会隐藏app所有代码, 没想到...
12306 Android客户端的libcheckcode.so解密及修复
燕十二的BLOG
04-23 7862
12306Android客户端每个请求包都会带个baseDTO.check_code(如下图)作为数据包安全及完整性校验码,这个校验码由libcheckcode.so生成         如果需要模拟购买火车票的过程,就要调用这个libcheckcode.so,不过这个SO使用dlopen无法加载。其ELF头,如下图所示,红框内表示ProgramHeader,里面的内容不符合elf
加固加壳脱壳分析(3)_实战手动脱壳某家加固
HURUWO的技术博客
08-13 1774
手动脱壳准备 一个加固的Apk文件 frida环境 一台Root手机 手动脱壳准备 本次的脱壳目标就是一个叫每日优先的软件 我在论坛里分析了很久 最后发现这个软件适合用来练手 目标就是脱出完整的dex文件分析源码 整个目录结构 我们用jdax打开 可以看到没有我们要找的目标包和类,所以软件dex被加壳保护起来了。 分析哪家的壳 百度搜索 secneo.apkwrapper找到了这个加固厂商为梆梆加固 可以通过这个分析加固特点了 核心加固技术: 1.防逆向(Anti-RE) 抽取classes.dex
python多线程debug调试
最新发布
10-09
Python多线程debug调试可以通过以下几种方式: 1. 使用pdb库进行单线程调试。通过在代码中设置断点,可以查看程序在哪里出错。但是,当使用多线程时,pdb可能无法正常工作。 2. 使用logging库输出日志信息。在多线程应用程序中,使用print语句输出信息是不可取的,因为多个线程会同时向标准输出流写入数据,导致输出混乱。logging库可以在多线程应用程序中安全地输出日志信息,以便调试程序。 3. 使用pydev插件。pydev是一个基于Eclipse的Python IDE,提供了强大的调试功能。可以通过在代码中设置断点、调试器控制台和变量查看器等功能,调试多线程应用程序。 4. 使用Python的内置调试器pdb进行调试。pdb可以让我们在代码中设置断点,并在程序运行到断点处时停止执行,并进入交互式调试模式。pdb支持多线程,可以帮助我们调试多线程应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值