android拦截native方法,Android native反调试方式及使用IDA绕过反调试

最新推荐文章于 2024-06-06 11:24:15 发布
最新推荐文章于 2024-06-06 11:24:15 发布
阅读量787 收藏 5
点赞数 1
文章标签: android拦截native方法

0x00

为了避免我们的so文件被动态分析,我们通常在so中加入一些反调试代码,常见的Android native反调试方法有以下几种。

1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试。

2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如果!=0就退出程序。参考Android Native反调试,用JNI实现APK的反调试。

3、检查代码执行的间隔时间,参考Android应用方法隐藏及反调试技术浅析的0×03反调试初探。

4、检测手机上的一些硬件信息,判断是否在调试器中,参考Android应用方法隐藏及反调试技术浅析的0×03反调试初探。

0x01

那么我们如何过掉这些反调试呢?

我们讲解两种方式:

1、Ida Patch so

2、Ida动态修改内存数据和寄存器数值

我们首先讲解Ida Patch so,有几处都可以patch。我们从易到难依次讲解。

第一处:

我们在JNI_ONLOAD下断点,如下图:

2bb682ba0094fc5a93e70563d33b7fc4.png

依次单步执行到BLX R7

cf73677911f4b8a63dbbcaa69cab7d78.png

我们发现当执行完这步后,我们的ida就退出了,说明反调试代码是从这个入口进入执行的。那么我们只要把这个入口给NOP掉,就可以绕过反调试了。

Patch so就是修改so中的二进制代码,然后再重新签名生成新的apk。Patch so,需要修改的本地so中的代码,而不是内存中的,所以我们需要通过上图内存中指令地址减去so在内存中的基地址来获取这条指令在本地so文件中的偏移。那么so在内存中的基地址怎么获取呢?按Crtl+s。

fa00b28d04715f32b87265a688a78374.png

我们看到libcrackme.so的基地址是AB732000,用BLX R7的地址AB733C58减去AB732000,等于1C58。

最低0.47元/天 解锁文章
白字不白
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android native函数,[原创]Android强调native函数的两种方法
weixin_26750831的博客
05-26 1042
在逆向分析APP的过程中,经常会遇到native函数调用,有些是可以通过正常的IDA动态调试分析其函数逻辑算法等,但有些函数由于多线程造成调试不便,甚至由于ollvm等混淆造成逆向困难就需要自行调用native函数实现想要的结果。通过导出函数调用native函数一般普通的native函数都是有导出函数的,因此只要找到导出函数名即可调用该native函数。寻找导出函数首先在java层找到native...
【转】andorid ndk anti-debug
weixin_30725467的博客
08-07 131
思考 之前研究了下如何调试和尝试一个别人加密的东西, 所以现在的体会就是: 其实重点不是你如何加密, 重点是如何不让别人知道你怎么加密的 因为像这种自己加密的资源运行的时候自己解密之后拿来用的程序, 我甚至根本不用关心你到底怎么加密, 加密算法是啥, 我只需要知道, 你解密完了之后, 那个资源的内存块在哪, 写个dumper就全拿到了; 加密并不能防止被破解, 只是增加...
AndroidAndroid开发之JNI零基础入门指南:Java调用Native方法的详细实现步骤新手完整教程
最新发布
科技改变人类,技术成就未来
06-06 842
AndroidAndroid开发之JNI零基础新手完整入门指南:Java调用Native方法的详细实现步骤教程
android拦截native方法,Android实现H5与Native交互的两种方式
weixin_31493023的博客
05-25 167
前言大家都知道在Android WebView使用中,经常需要H5页面和Native页面进行交互,比如在网页上点击分享按钮,调用本地分享接口进行分享,分享成功后本地调用网页的JavaScript代码展示一条分享成功的消息。下面来看看一起看看两种实现方式是什么?一、Url拦截方式重写ShouldOverrideUrl进行Url拦截,这种方式通过H5和Native协商好的Url格式来表明H5页面想要...
AndroidNative方法是怎样调用的
热门推荐
混沌的博客
12-25 1万+
1.  Power.java--> find corresponding native cfile(查找对应的具体用C实现的C文件)         android.os.Power.java -------- native file ---->.../jni/android_os_Power.c 2. in android_os_Power.c, you canfind: static JNINativeMethod method_table[]=   // Native functiontable{<b
180715 安卓-防护基本策略(Native方法
whklhhhh的博客
07-18 412
Native方法 安卓的底层是Linux实现,但实际上程序入口是在Dalvik虚拟机中,作为字节码和运行在虚拟机中的代码本身就不具备太强的安全性,另一方面虚拟机的执行效率也是众所周知的 因此安卓允许通过so库的加载来调用底层linux执行代码,这就是Native方法 具体使用方法为在java层中使用System.loadlibrary(“test”),虚拟机会去载入libtest.so文件,...
IDA附加调试android动态库.so文件帮助小程序源码
06-26
IDA调试动态库.so时,经常需要用jdb启动挂起进程,IDA附加进程, 映射端口到进程pid,这里的pid每次都是变化的,需要手工输入,很麻烦,所以写了一个小程序,只需要敲一行命令 nadb 进程名,很爽......
使用IDA调试汇编受保护的PE文件.rar
12-25
本文将详细讨论如何使用IDA(Interactive Disassembler)这款强大的汇编器和调试器来处理受保护的PE(Portable Executable)文件。标题和描述指向了这个主题,而标签“使用IDA”、“调试”和“汇编PE文件”则...
Android中invalidate()和postInvalidate() 的区别及使用方法
01-21
Android中实现view的更新有两组方法,一组是invalidate,另一组是postInvalidate,其中前者是在UI线程自身中使用,而后者在非UI线程中使用。  Android提供了Invalidate方法实现界面刷新,但是Invalidate不能直接在...
IDA 调试Android android_server nonpie
07-28
使用IDA调试Android android_server_nonpie的深度解析》 在Android系统中,`android_server`是核心服务框架的重要组成部分,它负责处理系统级的服务请求,是Android系统与应用程序交互的关键桥梁。尤其在Android ...
【技术】Android中用native 修饰的方法学习
攻城狮粥迪的专栏
09-06 590
转自:http://blog.csdn.net/changeyahuhei/article/details/52021689 问题:在工程中看到这样一个修饰词对于小白的我来说没有见过 学习过程: 1.native 叫做本地方法,需要提前知道的知识:NDK 和JNI a.对于NDK (Native Development Kit)自己科普了一下 总结来说就是用C语言来给A
Android-jni(2)-第一个native方法
ddxxii的博客
11-20 282
在前面讲了基础配置,那么接下来开始使用了: 第一个native方法 在第一篇中配置完cmake后,笔者在MainActivity中创建来了一个native方法: package shixin.ndkdemo; import android.support.v7.app.AppCompatActivity; import android.os.Bundle; import android.widg...
ida调试技巧-通过修改zf寄存器的值绕过简单调试
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
03-28 450
不想看也没关系,蒟蒻博主概述一下,总之,在机器执行汇编指令时,标志(flag)寄存器中的一个zf (Zero Flag) 零标志位用来存放指令判断,他的值将决定程序的分支走向,比方说zf=1如果走if逻辑,那么zf=0就走else逻辑了。不想看还是没关系(哈哈),概述下来就是JZ命令通过ZF标志位判断是否跳转,当执行到JZ指令时,如果ZF=1则跳转,如果ZF=0,不跳转,正无非就是一个if...else的逻辑。既然ZF=0时程序下一步往左边的线路走,那直接手动把ZF的值改成1。
IDA调试调试
林羽的博客
05-15 2399
IDA在动态调试os文件的时候经常遇到在步进的时候或者是在启动的时候直接崩掉 一,端口检测: IDA调试端口检测 原理: 调试器远程调试时,会占用一些固定的端口号。 做法: 读取/proc/net/tcp,查找IDA远程调试所用的23946端口,若发现说明进程正在被IDA调试。 (也可以运行netstat -apn结果中搜索23946端口) 更改IDA调式默认端口 root@generic:/data/local/tmp # ./as -p31928 IDA Android 32-bit remote de
android studio 无法debug native
ajiaihuiaaa的博客
05-26 319
Run-> Edit Configurations-> Debugger下的Symbol Directors是否为空。网上各种方法都试了,发现任然不行,然后就搜到了一篇文章,网址如下。如果为空,请点击+号,选择你的项目目录,保存即可。就解决了,赶紧记录一下。
动态调试 ida linux,IDA 动态调试、 过调试 配置流程
weixin_30046717的博客
05-13 350
1:设备中安装调试的apk。IDA目录下的android_server 服务传入设备,给权限,启动服务。 adb shellsucd data/local/tmp./android_server2:端口转发adb forward tcp:23946 tcp:239463:调试模式启动adb shellam start -D -n com.xxx.xxx/com.xxx.xxx.ui.main.ac...
【CTF-Reverse】IDA动态调试调试技术
WdIg-2023的博客
06-27 2847
在本专栏前两篇文章中,带领大家讲解了逆向加密算法,AES,TEA,RC4,Base64加密算法,并带领大家识别各种密码算法特征,这一篇文章来带领大家学习在逆向过程中的动态调试IDA动态调试调试技术。
android拦截native方法,Android中H5和Native交互的两种方式
weixin_31826689的博客
05-25 161
交互在Android WebView使用中,经常需要H5页面和Native页面进行交互,比如在网页上点击分享按钮,调用本地分享接口进行分享,分享成功后本地调用网页的JavaScript代码展示一条分享成功的消息。实现H5页面和Native页面交互的方法有两种,一种是Url拦截方法,另一种是JavaScript注入,下面分别讲解。Url拦截方式重写ShouldOverrideUrl进行Url拦截...
IDA屏蔽登录弹窗分析过程
一十一的博客
05-25 761
打开IDA 从桌面打开IDA 选择文件(我一般选择Go比较多,因为拖拽的方式太方便了) 搜索弹窗的字符串 打开字符串窗口 快捷键是 Shift+F12 设置字符串的类型 按截图上的设置即可,否则不显示中文。 (注意的是:不是所有的字符串都能搜索,遇到字符串加密或者非硬编码字符串就无法搜索到) 搜索字符串 输入 过期 第一个就是,双击进入 显示中文字符串 双击后是乱码,因为没有设置字符串编码 设置字符串编码 打开菜单 Options - String Literals… 快捷键是 Alt+A .
android编译工具idapro 7.0 调试工具windows版本
12-03
IDAPRO 7.0是一种用于Android应用的编译工具,它可以帮助开发者分析和理解已编译的应用程序的代码。它具有强大的功能,可以帮助开发者逆向工程和调试应用程序。 IDAPRO 7.0的Windows版本是专为在Windows操作系统上使用而设计的。使用Windows版本的IDAPRO 7.0可以让开发者在他们熟悉的操作系统环境中使用该工具。这使得他们可以更加高效地编译Android应用程序并进行调试。与其他操作系统版本相比,Windows版本的IDAPRO 7.0可能与Windows的用户界面和工具集成得更好,使得开发者能够更容易地进行编译和调试操作。 通过使用IDAPRO 7.0的Windows版本,开发者可以查看Android应用程序的源代码,理解它的逻辑和内部机制。这对于开发者来说是非常有价值的,因为它可以帮助他们进行应用程序的优化、错误修复和功能增强等操作。 总而言之,IDAPRO 7.0是一种非常有用的编译工具,在Windows操作系统上的版本使得开发者能够轻松地进行Android应用程序的编译和调试操作,从而帮助他们更好地理解和改进应用程序的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值