安卓逆向环境检测--调试

已于 2023-09-20 15:12:31 修改
阅读量709 收藏 4
点赞数
分类专栏: 安卓逆向 文章标签: android
于 2023-06-26 15:12:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348983/article/details/131397814
版权

一、检测是否打开了全局可调试开关

UNEXPORT bool AntiDebugger::check_ro_debuggable() {
    char tmp[8] = {0};
    File::read_property("ro.debuggable", reinterpret_cast<char *>(&tmp));
    LOGI("check_debuggable -> %s", tmp);
    if (Str::strcmp("1", tmp) == 0) {   // ro.debuggable=1 代表可调式
        LOGI("debuggable = 1");
        return true; //true 表示有 root 风险
    }
    return false;
}

二、检测/proc/self/status 文件,获取TracerPid字段值,若调试则为调试进程的pid,未调试为0


UNEXPORT bool AntiDebugger::check_status_tracePid() {
    string status = Syscall::readFile("/proc/self/status");
    if (status == "null"){
        return false; // false  TracerPid:0 未调试
    }
    size_t pos = status.find("\n");
    while (pos != status.npos)
    {
        string temp = status.substr(0, pos);
        if (Str::strstr(const_cast<char *>(temp.c_str()), (char*)"TracerPid:") != nullptr){
            LOGI("check_status_tracePid -> %s", temp.c_str());

            //方法一:TracerPid为调试应用的PID
//            int traceid = atoi(&temp.c_str()[10]);
//            if (traceid != 0){
//                char name[32];
//                sprintf(name, "/proc/%d/cmdline", traceid);
//                string cmdline = Syscall::readFile(name);
//                size_t cmdpos = cmdline.find("\n");
//                while (cmdpos != cmdline.npos){
//                    string cmdtmp = cmdline.substr(0, pos);
//                    if (Str::strstr(const_cast<char *>(cmdtmp.c_str()), (char*)"android_server:") != nullptr){ //IDA调试文件
//                        // TODO
//                        //pthread_kill(pid, 9);
//                        return true;
//                    }
//                    cmdline = cmdline.substr(pos + 1, cmdline.size());
//                    pos = cmdline.find("\n");
//                }
//            }

            //方法二:TracerPid固定为1
//            if (Str::strstr(const_cast<char *>(temp.c_str()), (char*)"1") != nullptr){
//                LOGI("check_status_tracePid -> find debug:%s", temp.c_str());
//                //TODO
//                return true; // true  TracerPid:1 正在调试
//            }
            return false;
        }
        //去掉已分割的字符串,在剩下的字符串中进行分割
        status = status.substr(pos + 1, status.size());
        pos = status.find("\n");
    }
    return false;
}

三、遍历进程,查找类似android_server,gdbserver,gdb等调试器进程


UNEXPORT bool AntiDebugger::check_server() {
    vector<char*> ret;
    if (Shell::run_shell("ps -A", ret) != -1) {
        for (int i = 0; i < ret.size(); i++){
            char* tmp = ret[i];
            LOGI("check_server -> %s", tmp);
            if (Str::strstr(tmp, "android_server") != nullptr ||
                Str::strstr(tmp, "gdbserver") != nullptr ||
                Str::strstr(tmp, "gdb") != nullptr){
                LOGI("check_server -> find server");
                return true;
            }
            free(ret[i]);
        }
    }
    return false;
}

四、检查23946端口是否能连接上

UNEXPORT bool AntiDebugger::check_port() {
    int sock;
    struct sockaddr_in sa;
    bzero(&sa,sizeof(sa));
    sa.sin_family = AF_INET;
    inet_aton("127.0.0.1", &(sa.sin_addr));
    if( inet_pton(AF_INET, "127.0.0.1", &sa.sin_addr) < 0){    //set ip address
        LOGE(" %s - %d  error:%s", __FILE__, __LINE__, strerror(errno));
        return false;
    }
    char res[7];
    sock = socket(AF_INET, SOCK_STREAM, 0);
    if (sock == -1){
        LOGI("test socket fail:%s", strerror(errno));
    }
    sa.sin_port = htons(23946);
    if ( connect(sock, (struct sockaddr *) &sa, sizeof(sa)) >= 0) {
        LOGI("check_port connect 127.0.0.1:23946");
        return true;
    }
    LOGI("check_port connect 127.0.0.1:23946 error");
    close(sock);
    return false;
}

五、正常apk进程一般会有十几个线程在运行,比如会有jdwp线程,自己写可执行文件加载so一般只有一个线程

UNEXPORT bool AntiDebugger::check_thread_num() {
    char* str="/proc/self/task";
    // 打开目录:
    DIR* pdir = opendir(str);
    if (!pdir){
        LOGE("check_thread_num opendir(%s) fail", str);
        return false;
    }
// 查看目录下文件个数:
    struct dirent* pde=NULL;
    int Count=0;
    while ((pde = readdir(pdir))){
        // 字符过滤
        if ((pde->d_name[0] <= '9') && (pde->d_name[0] >= '0')){
            ++Count;
            LOGI("%d 线程ID:%s\n",Count,pde->d_name);
        }
    }
    LOGI("线程个数为:%d",Count);
    if(2 >= Count){
        // 此处判定为调试状态.
        LOGE("当前调试状态!\n");
        return true;
    }
    return false;
}

六、/proc/pid/stat 和 /proc/pid/task/pid/stat:调试状态下,括号后面的第一个字母应该为t,如:1234 (com.tencant.mm) t

UNEXPORT bool AntiDebugger::check_stat() {
    string status = Syscall::readFile("/proc/self/stat");
    if (status == "null"){
        return false;
    }
    LOGI("check_stat -> %s", status.c_str());
    pid_t pid;
    char pName[36] = {0};
    char flag;
    sscanf(status.c_str(), "%d %s %c", &pid, pName, &flag);
    LOGI("check_stat pid -> %d", pid);
    LOGI("check_stat pName -> %s", pName);
    LOGI("check_stat flag -> %c", flag);
    if (flag == 't'){
        LOGI("check_stat -> debugging");
        return true;
    }
    return false;
}

七、/proc/pid/wchan 和 /proc/pid/task/pid/wchan:调试状态下,里面内容为 ptrace_stop

UNEXPORT bool AntiDebugger::check_wchan() {
    string status = Syscall::readFile("/proc/self/wchan");
    if (status == "null"){
        return false;
    }
    LOGI("check_wchan -> %s", status.c_str());
    if (Str::strstr(const_cast<char *>(status.c_str()), "ptrace_stop") != nullptr){
        LOGI("check_wchan -> debugging");
        return true;
    }
    return false;
}

八、创建子进程trace父进程,如果能被trace,则未被调试

UNEXPORT void AntiDebugger::ptrace_multi_process() {
    pid_t child;
    pid_t parent;

    /**设置进程结束信号接受处理回调函数,不然子进程exit后会变成僵尸进程*/
    /***显示忽略SIGCHLD信号****/
    if (signal(SIGCHLD, SIG_IGN) == SIG_ERR) {
        LOGE(" %s - %d  error:%s", __FILE__, __LINE__, strerror(errno));
        return;
    }

    // 创建子进程
    child = fork();
    if (child){ //父进程
        LOGI("in parent process wait");
    }else{  //子进程
        // 获取父进程的pid
        parent = getppid();
        LOGI("child:%d  parent:%d", getpid(), parent);
        // ptrace附加父进程
        if (ptrace(PTRACE_ATTACH, parent, 0, 0) < 0){  //附加后父进程会挂起
            LOGI("ptrace error:%s", strerror(errno));
            //TODO 附加父进程失败,说明当前父进程可能被调试
        }else{
            usleep(100);
            LOGI("PTRACE_ATTACH success:%d", parent);
        }
        // 释放附加的进程
        ptrace(PTRACE_DETACH, parent, 0, 0);
        // 结束当前进程,此时会产生一个僵尸进程,需由signal来处理僵尸进程
        exit(0);
    }
}

九、即使进行ida调试了 程序的大部分功能依然没有运行 所以fd文件较正常偏少

UNEXPORT void AntiDebugger::check_fd_num() {
    DIR *dir = NULL;
    struct dirent *entry;
    char link_name[100];
    char buf[100];
    int count = 0;
    if ((dir = opendir("/proc/self/fd/")) == NULL) {
        LOGE(" %s - %d  error:%s", __FILE__, __LINE__, strerror(errno));
    } else {
        entry = readdir(dir);
        while (entry) {
            switch (entry->d_type) {
                case DT_LNK:
                    ++count;
                    break;
                default:
                    break;
            }
            entry = readdir(dir);
        }
    }
    closedir(dir);

    if (count < 20){
        // TODO 小于20认为是在被调试(本应用正常情况下fd > 30)
    }
}

十、IDA总是先于我们的应用程序截获信号

UNEXPORT int AntiDebugger::debugger_signal = -1;
UNEXPORT void AntiDebugger::signal_handler(int signum){
    debugger_signal = 0;
    signal(SIGTRAP, SIG_IGN);  // SIGTRAP->调试信号  SIG_IGN->忽视信号
}
/**
    IDA总是先于我们的应用程序截获信号
    signal(SIGTRAP, myhandler);   SIGTRAP:调试信号  myhandler:信号处理函数(自己实现的)
    信号处理函数 可以设置一个全局变量
    终止进程方式可以kill进程 或者 sleep()
    先给程序设置signal 并实现信号处理函数
    在关键函数里或者开一个线程 隔时 发送信号 即 raise()
    若信号未收到 则程序被调试
    信号 消息机制 被捕获就会消失 一次性
 */
UNEXPORT void AntiDebugger::check_signal() {
    if (-1 == debugger_signal) {
        debugger_signal = 1;
        signal(SIGTRAP, AntiDebugger::signal_handler);
        raise(SIGTRAP);
    }
}

/**
 *
 * @return : 0  表示未被调试
 * @return : 1  表示被调试
 * @return : -1 表示检测函数被patch
 */
UNEXPORT int AntiDebugger::get_signal() { //返回值不为0,则表示被IDA调试
    return debugger_signal;
}

YoooHaaa
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 7795
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Android环境检测与绕过对抗
songbai220
06-03 4386
近几年,各个厂商安全意识提高了~这本来是件好事....可是吧...总感觉方向错了....一直孜孜不倦的加强客户端的代码保护、环境检测....PC 端各种客户端加壳、虚拟机检测等保护早就证明了一个道理:客户端安全永远比不上服务端安全。提示此处的环境以 Lsposed(Zygisk 版)+Magisk(Zygisk 模式)为例。
安卓逆向初期调试APP时遇到的问题及解决方法
qq_42746827的博客
11-09 873
安卓逆向遇到的问题手记 安卓实体机调试的问题 #作为初入Android 逆向小菜鸟的我遇到的一系列问题的解决方法 Andriod studio调试APP时问题的出现和解决 一开始是想调试某正在使用中的APP,但是在调试连接中出现了许多问题。 首先,网络上调试APP的方法可自行查询,方法都有,下面说一下我遇到的问题 一、将APP 反编译成smail文件,设置andriod debuggable=“t...
安卓逆向环境检测
weixin_44348983的博客
06-26 821
安卓、逆向、环境检测检测、逆向分析、对抗、安卓对抗
2024最新版Android逆向教程——第4天:真机环境的配置
Amo Xiang的博客
11-08 7493
工欲善其事必先利其器,本文详细讲解如何进行真机环境的配置
Android逆向助手-v2.2.zip
07-14
在移动应用开发领域,Android逆向工程是一种重要的技术手段,用于分析应用程序的工作原理、检测安全漏洞或优化性能。Android逆向助手v2.2作为一款专为Android逆向分析设计的工具,它的出现极大地便利了开发者和安全...
Android逆向之动态调试技术
01-19
总之,Android逆向工程的动态调试技术是深入了解应用行为、检测安全漏洞或优化性能的有效手段。通过掌握这些技巧,开发者可以更高效地分析和修改Android应用的内部逻辑。在学习过程中,参考书籍、在线资源和实践经验...
零基础入门Android(安卓)逆向-rar
11-26
31.常用调试检测方法与过检测方法 * G( L. J' P1 \+ }: N; r 32.Android源码定制添加反反调试机制 ' v/ q6 K1 {6 ] 33.Android dvm 脱壳2 34.Android dvm 脱壳3 H2 X- A# M4 s+ A6 K- b 35.Dalvik dex处理分析 ) x+...
安卓反调试-解决方案一
06-22
本文将深入探讨“安卓反调试-解决方案一”,这个主题主要关注如何通过定时检测应用程序是否处于调试状态,如果检测到被调试,则退出程序。我们将基于描述中提到的“尼古拉斯.赵四”大师的博客内容进行解析,虽然具体...
smalidea Android逆向调试插件
06-19
**smalidea Android逆向调试插件** smalidea是一款专为Android开发者和逆向工程师设计的高效工具,它能够极大地提升对APK应用的逆向分析和调试能力。这款插件是针对IntelliJ IDEA集成开发环境的扩展,允许用户在...
GDB之调试系统接口syscall(九)
Android系统攻城狮
09-15 278
本篇目的:GDB之调试系统接口。
Android逆向-环境准备
shuwangyong的专栏
11-09 595
一、系统环境考虑到逆向过程会有很多文件及配置,避免Mac主机垃圾文件堆积,所以推荐用虚拟机环境,因为我主机是2015年的比较久了,系统的配置也只有16G,有些软件比如Android Studio 在虚拟机里使用不太方便,所以我采用的是主机和虚拟机结合的方式。左下角找到 Fusion 13 Pro for macOS 12+ 选择 DOWNLOAD NOW文件下载完成后按照默认设置安装(安装过程网上都可以找到,这里就不赘述了)
安卓逆向环境搭建
Pansy的博客
04-24 917
5.修改bash文件,nano .bashrc,histsize,histfilesize加3个0,reboot重启,source .bashrc。11.安装 pip install frida,pip install frida-tools,pip install objection。注释最后的socks4,添加socks5 xxx(虚拟机ip),注释proxy_dns。14.安装idapro,由于linux只有32位版本,所以要安装32位库。4.回退到bash,chsh -s /bin/bash。
基于Android的城市环境监测系统
a1060916181的博客
09-01 1608
添加要跳转的页面java名。建一个要跳转的页面的java文件写一个与之对应的layout主文件中先写入触发绑定的事件,如按到什么键。此程序是按到相应的菜单后跳转,随后输入代码Intent进行绑定,Baojing换成你要跳转的页面。跳转页面的java文件写入该代码。
安卓逆向分析中常用动态调试方法总结
Denny_Chen_的博客
06-01 1万+
安卓逆向之----常用动态调试方法 一. 前言 逆向分析中常用的分析方法有:静态分析、动态调试、HOOK等。动态调试的好处是:1)可以在调试的过程中知道参数或者局部变量的值以及变化过程,2)可以快速履清代码运行的先后顺序,验证自己的想法是否正确。安卓中需要调试的代码有dex中代码和so中代码,对于dex层java代码调试,本人常用的是JEB调试和IDEA + Smalidea调试,so层代码是用I...
Android逆向系列--动态调试
热门推荐
Tasfa的博客
06-04 1万+
Android逆向系列之动态调试(七)–IDA调试so文件(下) 《Android逆向系列之动态调试(零)–入门篇》 《Android逆向系列之动态调试(一)–Smali注入》 《Android逆向系列之动态调试(二)–Eclipse调试apk》 《Android逆向系列之动态调试(三)–IDA调试dex》 《Android逆向系列之动态调试(四)–代码注入(JDB调试)
安卓逆向_1 --- 逆向环境配置、APK 文件结构、APK 打包流程
墨鱼菜鸡
07-11 2056
哔哩哔哩:https://www.bilibili.com/video/BV1UE411A7rW?p=1 Android 逆向工程师系统培训‹第九期›( 课程目录 ):https://ke.yijincc.com/course-21.htm 安卓逆向工程师:https://ke.yijincc.com/profession/1.htm 打造年轻人的...
android运行环境检测,Android应用运行环境检测方法及其装置与流程
weixin_42469083的博客
05-28 1668
技术特征:1.一种android应用运行环境检测方法,其特征在于,包括下述步骤:获取步骤,获取android组件启动时的调用栈;以及匹配步骤,将所述获取步骤获取的调用栈与预先设置的检测模板进行匹配,若匹配失败,则判断为虚拟运行环境,若匹配成功则判断为android运行环境。2.如权利要求1所述的android应用运行环境检测方法,其特征在于,预先采集android不同版本的调用栈信息作为所述检测模...
软件逆向测试实例,测试小故事一则,逆向思考真的很重要。
weixin_42691065的博客
07-29 1525
场景:新用户注册界面。需要填写手机号,图形验证码,短信验证码,然后有个立即注册的按钮。我在设计测试用例的时候,只是考虑了一些常规的功能场景,比如数据长度、类型,是否可以执行 sql 注入类语句,以及绕过前端直接通过接口访问,一些可能的并发等,不细讲了。我还特意考虑了恶意用户通过脚本大量刷我们的短信验证码请求,造成短信成本提高的可能。本来我以为这就够了,然而安全测试的同学一眼就看出了问题。在这个拉新...
Radare2逆向分析.pdf
最新发布
04-22
在移动安全领域,对安卓和iOS应用进行逆向分析是常见的实践,以确保应用的安全性和隐私保护。 在使用Radare2时,首先要从GitHub克隆项目库,更新到最新版本,并运行安装脚本。这可以通过以下命令完成: ```bash ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值