android 反调试 github,修改Android手机内核,绕过反调试

最新推荐文章于 2023-04-23 20:35:43 发布
最新推荐文章于 2023-04-23 20:35:43 发布
阅读量841 收藏 5
点赞数
文章标签: android 反调试 github

本文博客链接:http://blog..net/qq1084283172/article/details/57086486

0x1.手机设备环境

Model number: Nexus 5

OS Version: Android 4.4.4 KTU84P

Kernel Version: 3.4.0-gd59db4e

0x2.Android内核提取

查找Android设备的boot分区文件。高通芯片的设备可以通过下面的命令进行查找。

cd /home/androidcode/AndroidDevlop/modifyNexus5Boot

adb shell

ls -al /dev/block/platform/msm_sdcc.1/by-name

adfe9b8a67954e5f63720e4ec1710000.png

root权限下,用 dd 将其dump到Nexus 5手机的sdcard文件夹下,然后导出到文件/home/androidcode/AndroidDevlop/modifyNexus5Boot 下:

adb shell

su

dd if=/dev/block/mmcblk0p19 of=/sdcard/boot.img

exit

exit

adb pull /sdcard/boot.img boot.img

d53892b5e3fbf511a556ea2917503cfc.png

使用abootimg工具对boot.img文件进行解包处理,解包之后得到的 zImage 文件即为Android的内核文件。

abootimg工具的github地址:https://github.com/ggrandou/abootimg

abootimg工具的直接安装命令:sudo apt-get install build-essential abootimg

abootimg -x boot.img

ls -al

3bc7fc5f38acd0dcce1fdac59ed9595a.png

将zImage文件拷贝一份作为文件名为 kernel.gz 的文件,并使用 WinHex 工具查找十六进制1F 8B 08 00,找到之后把前面的数据部分全删掉,使kernel.gz文件变成标准的gzip压缩文件,这样子就可以使用

gunzip/gzip 命令进行解压内核文件了。

cp ./zImage ./kernel.gz

# 去掉解包的内核文件kernel.gz中前面的垃圾数据

gzip -d kernel_new.gz

ls -al

使用WinHex查找十六进制数据:

203d1f8b0f6fa21a9dfffac5aec6c7b8.png

删除掉解包的内核文件kernel.gz中的前面的垃圾数据,然后重新保存修改后的 kernel.gz文件为 kernel_new.gz.

e6c3212595d0291dc8750cc037d2caec.png

修改后的gzip格式的 kernel_new.gz 文件的解压得到kernel_new内核文件:

29ce4b82d9987faf2c8a9535c07302e6.png

提示:关于gzip格式文件的解压,既可以使用 gzip 命令也可以使用 gunzip 命令,都一样。有关gzip/gunzip

命令的参数使用说明,如下:

$ gzip -h

Usage: gzip [OPTION]... [FILE]...

Compress or uncompress FILEs (by default, compress FILES in-place).

Mandatory arguments to long options are mandatory for short options too.

-c, --stdout write on standard output, keep original files unchanged

-d, --decompress decompress

-f, --force force overwrite of output file and compress links

-h, --help give this help

-k, --keep keep (don't delete) input files

-l, --list list compressed file contents

-L, --license display software license

-n, --no-name do not save or restore the original name and time stamp

-N, --name save or restore the original name and time stamp

-q, --quiet suppress all warnings

-r, --recursive operate recursively on directories

-S, --suffix=SUF use suffix SUF on compressed files

-t, --test test compressed file integrity

-v, --verbose verbose mode

-V, --version display version number

-1, --fast compress faster

-9, --best compress better

--rsyncable Make rsync-friendly archive

With no FILE, or when FILE is -, read standard input.

Report bugs to .

88327113ed66413d61d8a51a2bd712d7.png

关于gzip文件格式的说明和源码的解析可以参考 gzip文件格式解析及源代码分析,进行深入的研究和学习。

394de20f591c0285bbc9ade615ad6842.png

0x3.Android内核文件的逆向修改

将解压后的Android内核文件 kernel_new  拖入到IDA Pro 中进行分析,设置处理器类型为ARM Little-endian。

a0527847f0a5a7149287cd91ec7512a3.png

在 ROM start address 和Loading address 处填上

0xc0008000,然后点击 OK 。

a23b02b13a47417007a1f035d2507d9d.png

IDA显示效果如下图所示,没有函数名,不方便定位代码,显示不友好需要添加Android内核的内核符号。

c82f177db570ad64504404b3bc2427a2.png

为了要获取Android内核中所有的内核符号信息,可以通过在root权限下,修改Andriod设备中的/proc/sys/kernel/kptr_restrict的值来实现,去掉Android内核符号的信息屏蔽。

adb shell

su

# 查看默认值

cat /proc/sys/kernel/kptr_restrict

# 关闭内核符号屏蔽

echo 0 > /proc/sys/kernel/kptr_restrict

# 查看修改后的值

cat /proc/sys/kernel/kptr_restrict

cat /proc/kallsyms

关闭Android设备的内核符号的屏蔽以后,再次执行 cat /proc/kallsyms ,发现被隐藏的内核符号信息都显示出来了。

a0141f463bea35a2c3c767dfc9d69f3e.png

在root权限下,将Android设备中的内核符号信息dump出来,导出到 /home/androidcode/AndroidDevlop/modifyNexus5Boot/syms.txt文件中。因此,Android内核文件的内核符号信息都保存在syms.txt文件中了。

# cat /proc/kallsyms > /sdcard/syms.txt

# exit

$ exit

$ adb pull /sdcard/syms.txt syms.txt

4226ef457997d73d09ac8ee507dce070.png

我们已经将Androd内核文件中的内核符号信息都dump出来,下面将大有用武之地。因此,向IDA中导入之前提取出来的内核符号信息就可以看到对应的函数名称了。需要用到下面的Python脚本:

ksyms = open("C:\Users\Fly2016\Desktop\Android内核的提取和逆向\syms.txt")

for line in ksyms:

addr = int(line[0:8],16)

name = line[11:]

idaapi.set_debug_name(addr,name)

MakeNameEx(addr,name,SN_NOWARN)

Message("%08X:%sn"%(addr,name))

在IDA的File->Script Command中运行上述python脚本,之后就可以在IDA中成功添加内核符号信息使IDA显示出正确的系统调用的函数名称来。

7bc0c41f2763e91e8838c73702e47632.png

Android内核中隐藏的系统函数调用的名称在IDA中显示出来了。

96678fb1468a195190d5cfdf1c58f56c.png

现在来聊一聊修改Android的内核文件绕过反调试,很多的Android加固都会通过查看当前进程的/proc/pid/status 的状态信息,来进行判断当前进程是否被调试的依据。如果当前进程被调试器所调试,那么cat /proc/self/status

显示的状态如下图所示,比较常见的Android反调试也就是通过 TracerPid 的值在调试状态和非调试状态的不同且非调试状态该值为0而调试状态为非0,来判断是否被调试器所调试。

f48aaa715dcf781bfa6e6048ec57dc63.png

这里修改Android内核绕过反调试也就只是考虑 TracerPid 的值不同的这种情况,真真的也过掉这些检测的反调试还是需要从具体的Android加固的检测逻辑代码入手,没准现在有些Android加固还会检测State的值的不同呢!修改Android内核绕过Android加固的反调试,其实还是要依赖具体的开源的Android内核代码来进行对照着分析,否则根本不知道哪个地方是/proc/pid/status

的值根据调试状态改变的代码位置,因此这里通过修改Android内核文件绕过反调试还是基于Android内核源码文件/kernel/msm/fs/proc/array.c 中 的代码实现进行对照着修改的。

/kernel/msm/fs/proc/array.c文件中,检测调试修改TracerPid的值的Android内核源码:

/*

* The task state array is a strange "bitmap" of

* reasons to sleep. Thus "running" is zero, and

* you can test for combinations of others with

* simple bit tests.

*/

static const char * const task_state_array[] = {

"R (running)",/* 0 */

"S (sleeping)",/* 1 */

"D (disk sleep)",/* 2 */

"T (stopped)",/* 4 */

"t (tracing stop)",/* 8 */

"Z (zombie)",/* 16 */

"X (dead)",/* 32 */

"x (dead)",/* 64 */

"K (wakekill)",/* 128 */

"W (waking)",/* 256 */

};

static inline const char *get_task_state(struct task_struct *tsk)

{

unsigned int state = (tsk->state & TASK_REPORT) | tsk->exit_state;

const char * const *p = &task_state_array[0];

BUILD_BUG_ON(1 + ilog2(TASK_STATE_MAX) != ARRAY_SIZE(task_state_array));

while (state) {

p++;

state >>= 1;

}

return *p;

}

static inline void task_state(struct seq_file *m, struct pid_namespace *ns,

struct pid *pid, struct task_struct *p)

{

struct group_info *group_info;

int g;

struct fdtable *fdt = NULL;

const struct cred *cred;

pid_t ppid, tpid;

rcu_read_lock();

ppid = pid_alive(p) ?

task_tgid_nr_ns(rcu_dereference(p->real_parent), ns) : 0;

tpid = 0;

if (pid_alive(p)) {

struct task_struct *tracer = ptrace_parent(p);

if (tracer)

// 逆向Android内核文件需要关注的地方

tpid = task_pid_nr_ns(tracer, ns);

}

cred = get_task_cred(p);

seq_printf(m,

"State:\t%s\n"

"Tgid:\t%d\n"

"Pid:\t%d\n"

"PPid:\t%d\n"

"TracerPid:\t%d\n"

"Uid:\t%d\t%d\t%d\t%d\n"

"Gid:\t%d\t%d\t%d\t%d\n",

get_task_state(p),

task_tgid_nr_ns(p, ns),

pid_nr_ns(pid, ns),

ppid, tpid,

cred->uid, cred->euid, cred->suid, cred->fsuid,

cred->gid, cred->egid, cred->sgid, cred->fsgid);

task_lock(p);

if (p->files)

fdt = files_fdtable(p->files);

seq_printf(m,

"FDSize:\t%d\n"

"Groups:\t",

fdt ? fdt->max_fds : 0);

rcu_read_unlock();

group_info = cred->group_info;

task_unlock(p);

for (g = 0; g < min(group_info->ngroups, NGROUPS_SMALL); g++)

seq_printf(m, "%d ", GROUP_AT(group_info, g));

put_cred(cred);

seq_putc(m, '\n');

}

因此,通过上面的Android内核源码的实现可以知道,如图所示的位置是我们应该修改的地方:

bada1085c6f61ee362aa83146762f97d.png

通过对Android内核源码的研究知道了我们在Android内核文件中修改的地方,在IDA中通过字符串搜索 TracerPid

即查找上面提到的特征字符串组。

9476e06496f371f20b6a770722b9d875.png

在IDA中通过对特征字符串的引用功能可以定位到我们需要关注的代码的位置。

67460e8ac5f68fc1369da50ae6221734.png

通过IDA的F5功能分析Android内核根据检测调试状态修改TracerPid值的代码位置。

d378f242bfb3126fd0d1ee4866ca88d5.png

通过IDA具体细致的看下,我们需要关注的代码位置处的ARM汇编指令。

957eb4c0865dc8c86760c12cc5297bdc.png

通过逆向分析代码的流程可以知道,只要ROM:C02BA5C0 EC FE FF 0ABEQ  Jmp_C02BA178 处改为直接跳转到地址C02BA178处执行,没有机会执行下面的代码既可以绕过反调试检测。通过IDA的二进制修改的功能,实现了ARM汇编代码的修改,修改后的代码如下图:

48abec0646612faa62426f049cef7d05.png

Android内核文件kernel_new在修改前后的代码的对比结果示意图:

a739a6f335ae40665a98c35ebc8f04ea.png

0x4.将逆向修改的Android内核刷回Android设备

对修改后的Android内核文件 kernel_new 进行gzip的压缩处理得到压缩文件

kernel_new.gz。

# -n, --no-name do not save or restore the original name and time stamp

# -f, --force force overwrite of output file and compress links

# -9, --best compress better

gzip -n -f -9 kernel_new

482c7b2feaa64873a9061598aaf9eef4.png

使用WinHex工具将kernel_new.gz文件的二进制数据覆盖到原来的zImage文件的 1F 8B 08 00 处的位置开始到结束的地方(新的kernel_new.gz文件必须比原kernel_new.gz文件小,并且回写回去时不能改变原zImage文件的大小及修改原zImage文件中后面的内容,否则会很麻烦),这时得到了zImage文件。

上面这句话,可能不太好理解,但是也很好理解,可以参考一下作者 lcweik 给出的理解的例子:

e81e2be109198ca5e329f4309afb0c95.png

通过WinHex工具查看kernel_new.gz文件的大小为 0x6AB190,zImage文件中 1F

8B 08 00 处的位置起始偏移为0x48B4,因此在zImage文件中kernel_new.gz文件的起始位置偏移为0x48B4,结束位置偏移为0x6AFA43。使用WinHex工具先将zImage文件中0x48B4~0x6AFA43处的数据删除,然后将kernel_new.gz文件中的数据全部拷贝到0x48B4~0x6AFA43的范围中,即zImage文件中偏移0x48B3后面的位置开始覆盖。

3ca264c8fd0c452619c34e68da75075a.png

使用abootimg打包工具,重新对解包的boot.img的文件进行打包处理。

abootimg --create myboot.img -f bootimg.cfg -k zImage -r initrd.img

e4b0168a366c7d73480c041c88aab230.png

将修改后重新打包的 myboot.img镜像 文件,更新到Android设备上。

adb reboot bootloader

fastboot flash boot myboot.img

a5e0fcab1d1613a759adcdad6414e6be.png

0x5.手机刷成砖的还原

直接修改Android内核的二进制文件比较危险,很容易导致Android设备变砖的。如果不幸Android设备变砖了,只需要将前面的步骤中备份的原始boot.img镜像文件重新输入Android设备即可。

adb reboot bootloader

fastboot flash boot boot.img

0x6.逆向修改Android内核的总结。

这篇博文主要是参考:逆向修改手机内核,绕过反调试,原文的作者方法说的很详细,但是我的操作步骤有些地方和原作者的不同。

1.找目标代码和目标函数的方法不同,原作者通过关闭Android设备中内核符号屏蔽然后拿到关键函数 proc_pid_status_和proc_pid_status_(获取调试器进程的pid)的系统调用的地址,在IDA进行查找定位到需要逆向分析的关键代码的位置。

acc2f893933555f6b841b5f31d9baaed.png

2.在修改二进制代码绕过反调试的方法上,我和原作者修改的地方稍有一处不同,原作者的修改如下图。

51a300596e8ac97e119f03e9c2b567aa.png

3.按照作者的操作步骤,修改Andorid内核成功绕过反调试耳朵检测,但是我按照自己改进后的操作,修改Android内核成功但是刷机重启直接变砖,哈哈。说实话,这么逆向修改Android内核绕过反调试只是提供一种思路吧,实际干活是吃力不讨好而且要真的绕过这种反调试的检测还需要修改其他的地方,而且其他的检测位置修改也不方便。这种open 情况下的反调试检测,其实手动patch内存过掉也是很简单的事情。

0x7.关于ARM汇编BL指令的计算

ARM汇编下BL类指令的修改以及偏移的计算具体可以参考:【求助】arm指令BL指令对应的机器码问题、ARM中跳转指令BL/BLX偏移值计算规则

,由于在前面的操作步骤中涉及到B类跳转指令的修改,特此提到一下。提醒两点:1.一定要善于利用IDA能够显示ARM指令机器码的特点,2.在内存中ARM指令的存放是按小尾端存放的。

a99e82bb95e32fe878299046a3c0a462.png

45dae46fab8846fe9ac1574024e9eea7.png

参考资料:

逆向修改手机内核,绕过反调试

提取Android内核的方法

【求助】arm指令BL指令对应的机器码问题

ARM中跳转指令BL/BLX偏移值计算规则

做一个安静的废物
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android内核修改工具,修改手机内核绕过ptrace
weixin_28719225的博客
05-26 2227
前面一篇文章《Android调试手段收集》在讲常用的调试方法中有一条是检测进程的TracerPid的值正常情况下为0,在被调试时变成父进程的pid,应对这种情况我们可以通过修改手机内核中代码,将这个pid永久性改为0。具体方法也都是前人总结的https://bbs.pediy.com/thread-207538.htm,这里只根据自己的设备做一遍操作演示。设备:Nexus5系统版本:4.4.4...
UVCCamera+Opencv+RK3568+Android12+调试记录
最新发布
10-24
说明:基于https://github.com/saki4510t/UVCCamera开发 注:本压缩包内不包含源代码,可下载...3、解决Android10以上系统运行崩溃问题(插入USB摄像头崩溃,Android7系统无崩溃问题) 4、包含RK3568主板开发相关资料
绕过kernel模块版本校验检测
flc2762的专栏
12-20 1509
kernel module version check bypass 1、 举例说明 2、 内核是怎么实现的 3、 怎样去突破 4、 总结 1、 举例说明 Linux内核版本很多,升级很快,2个小内核版本中内核函数的定义可能都不一样,为了确保不一致的驱动程序导致kernel oops, 开发者加入了模块验证机制。它在加载内核模块的时候对模块进行校验, 如果模块与主机的一些环境不一致,就会加载不...
为4.14低版本内核编译kernelsu绕过root检测
陌刀逆向工程
04-23 3025
为4.14低版本内核编译kernelsu绕过root检测
android 修改 dpi_逆向修改手机内核支持调试、过调试
weixin_39884738的博客
10-26 335
逆向修改手机内核支持调试、过调试前言当下,移动互联发展尤为迅速,还记得几年前大家还用着翻盖、滑盖、按键手机,如今按键越来越少,屏幕越来越大,功能越来越多,现在你可以没有电脑,但是你一定不会没有手机,移动安全暗地里发展的更为迅猛,没有人可以停滞不前……1、Android下常见调试0x1Java层调试0x2self-debugging调试0x3轮训检测调试轮训检测调试原理 读取进程的/pr...
Kernel pwn 基础教学之 Kernel ROP
蚁景网安学院
01-28 2507
点击"蓝字"关注,获取更多技术内容!前言Kernel ROP本质上还是构造ropchain来控制程序流程完成提权,不过相较于用户态来说还是有了一些变化,这里选取的例题是2018年强网杯的赛...
androidx-githubAndroid GitHub API客户端
02-03
androidx-github 这是GitHub的非官方Android客户端,仅使用AndroidX&Retrofit2。 目前,人们可以浏览Android / Kotlin / Gradle项目(使用动态主题的编辑器)。 需要创建文件token.properties并具有与...
安卓Android源码——github客户端.zip
10-14
安卓Android源码——github客户端.zip
Android调试神器stetho使用详解和改造
08-26
Android调试神器Stetho详解】 Stetho是由Facebook开源的一款强大的Android调试工具,它使得开发者能够在Chrome浏览器中对Android应用程序进行全方位的调试和检查。项目托管在GitHub上,地址为facebook/stetho。...
上传Android项目至github的解析
01-05
本文主要讲解了如何将自己的android项目上传至github,相信大家平时在开发过程中为了避免重复造轮子会经常逛一下github查看有没有与需求类似的开源项目,那么github上面的开源项目是如何上传至github上的呢?...
手机rom内核boot.img解包打包合并替换工具
03-24
手机rom内核boot.img解包打包合并替换工具
安卓内核修改工具 bootimg_tools
07-23
安卓内核修改工具 bootimg_tools
Android 11 限制射,如何破解?
hao_qi
09-07 2399
先来分析一下问题出现的原因 我们看一眼Android 11 的源码,如下: static jobject Class_getDeclaredMethodInternal(JNIEnv* env, jobject javaThis, jstring name, jobjectArray args) { // …… Handle<mirror::Method> result = hs.NewHandle( mirror::Class::GetDeclaredMethodInte.
linux内核提取ret2usr,Linux kernel pwn:ROP & ret2usr
weixin_30023527的博客
05-07 252
原标题:Linux kernel pwn:ROP & ret2usr 本文为看雪论精华文章看雪论坛作者ID:T1e9u前言这篇博文是我根据2018年强网杯的core题的利用姿势学习记录的,由于内核pwn相对于用户态的pwn来说复杂很多,而网上记载入门的博客都比较简略,所以这篇博文我会尽可能详细地记录,有错误的点希望师傅们斧正。前置知识内核pwn应该怎么pwn与用户态的pwn不一样,内核pw...
android-----模拟器加载自己编译的内核(适用于驱动练习)
奔跑的蜗牛
08-11 1万+
1. 下载android 模拟器所用的内核源码, 代号为goldfish   2. 下载arm-linux交叉工具链 3. 编译内核文件 4. 让android模拟器运行在刚编译的内核上 5. 编译自己的hello内核模块 6 将hello.ko载入到内核中 1. 下载android 模拟器所用的内核源码, 代号为gold
Android 逆向】Android 进程代码注入原理 ( 注入本质 | 静态注入和动态注入 | 静态注入两种方式 | 修改动态库重打包 | 修改 /data/app/xx/libs 动态库 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-01 2270
一、注入本质、 二、静态注入和动态注入、 三、静态注入两种方式 ( 修改动态库重打包 | 修改 /data/app/packageName/libs/ 下的动态库 )
linux proc 堆栈_LINUX漏洞缓解机制介绍
weixin_39529914的博客
11-20 220
一.应用层安全防护1.ASLRASLR(Address space layout randomization,地址空间布局随机化)通过随机放置数据区域的地址空间来防止攻击者跳转到内存的特定位置。在windows上ASLR主要包括堆栈随机化、PEB与TEB随机化、映像随机化,windows系统上虽然xp时代就提出来了,但是从vista开始ASLR才真正发挥作用。在linux上ASLR主要包...
三、Android系统内核编译及刷机实战 (修改调试标志位)
热门推荐
七月冷雨
06-18 1万+
前言在 二、Android系统源码编译及刷机实战 一文中,我们成功编译了Android 4.4.4_r1源码并刷入系统了 Nexus 5 设备,下面是设置界面的信息。上面显示的内核版本信息是3.4.0-gd59db4e,内核的编译时间是Mon Mar 17 15:16:36 PDT 2014,也就是说内核之前就已经编译过了,我们编译系统源码的时候并没有编译内核源码!那么编译好的内核文件放在了哪里呢?
小马哥===教你修改内核boot.img来实现手机root权限
小马哥的专栏
11-29 1万+
在windows下 首先安装Java环境和配置环境变量 解包boot.img文件  在ramdisk文件夹下打开init.huawei.rc文件 在其中加入三行代码 service geno /sbin/geno class late_start oneshot 在打开cpiolist文件 加入 file /sbin/geno initrd\sbin\geno 0750
优化Android调试:IDE、工具与云端测试
本资源主要介绍了Android调试工具及其在系统和应用调试中的应用。 一、Android开发工作流 开发工作流程通常包括以下步骤: 1. **环境设置**:首先,你需要安装Android Studio,这是一个集成开发环境(IDE),...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值