安卓逆向环境检测--unidbg&unicorn

已于 2023-09-20 14:57:40 修改
阅读量1.2k 收藏 2
点赞数
分类专栏: 安卓逆向 文章标签: android
于 2023-06-27 13:54:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348983/article/details/131400244
版权

一、methodid检测

// 通过获取一个不存在的方法的methodid来判断当前是否在unidbg中,因为unidbg会模拟环境,所以一定会模拟一个jmethodid出来


UNEXPORT void AntiUnidbg::check_GetStaticMethodID(JNIEnv *env) {
    jmethodID id = getStaticMethodID(env, "com.yooha.antisdk.MainActivity", "getSig", "()Ljava/lang/String;");
    if (id != nullptr){
        // TODO 当前方法被模拟,说明存在于unidbg环境中
        LOGE("check_GetStaticMethodID -------------------> find unidbg");
    }
}

UNEXPORT jmethodID AntiUnidbg::getStaticMethodID(JNIEnv *env, const char *clsName, const char *methodName,
                                        const char *sig) {
    jclass cls = env->FindClass(clsName);
    if (env->ExceptionCheck()) {
        env->ExceptionDescribe();
        env->ExceptionClear();
        LOGE("getStaticMethodID FindClass %s Error", clsName);
        return nullptr;
    }

    jmethodID  method = env->GetStaticMethodID(cls, methodName, sig);
    if (env->ExceptionCheck()) {
        env->ExceptionDescribe(); //调试阶段打开此开关
        env->ExceptionClear();
        LOGE("getStaticMethodID  name:%s sig:%s Error", methodName, sig);
        return nullptr;
    }
    return method;
}

二、uname检测

UNEXPORT void AntiUnidbg::check_uname() {
    struct utsname sysinfo;

    if( uname( &sysinfo ) == -1 ) {
        LOGE("[%s %s %d] -> check_uname  error:%s", __FILE__, __FUNCTION__, __LINE__, strerror(errno));
        return;
    }

    if (Str::strstr(sysinfo.sysname, "Unidbg") != nullptr){
        // TODO Unidbg的uname系统调用表明了自己是Unidbg
        LOGE("check_uname -------------------> find unidbg");
    }

}

YoooHaaa
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Unidbg环境实战第一篇:补环境入门
ALLEN'Blog
02-15 4627
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
APT威胁检测-unicorn数据集
01-18
APT威胁检测-unicorn数据集
unidbg安装运行
最新发布
Ben_boba的博客
06-27 362
Anti及检测(移动安全篇)
Codeoooo 博客
06-27 1495
【代码】Anti及检测(移动安全篇)
unidbg:允许您模拟Android ARM32和/或ARM64本机库以及实验性iOS模拟
01-31
unidbg 允许您模拟Android ARM32和/或ARM64本机库以及实验性iOS ARM32模拟。 这是一个教育性项目,旨在了解有关ELF文件格式和ARM汇编的更多信息。 需要您自担风险使用它 ! 执照 unidbg使用来自软件库。 unidbg开发人员Idea企业许可证受支持。 可用于编辑unidbg源。 src / test目录下的简单测试 更多测试 产品特点 JNI调用API的仿真,因此可以调用JNI_OnLoad。 支持JavaVM,JNIEnv。 仿真系统调用指令。 支持ARM32和ARM64。 内联钩子,感谢 。 Android导入挂钩,这要感谢 。 iOS,底物和钩。 支持简单的控制台调试器,gdb存根,实验性IDA android调试器服务器,指令跟踪,内存读/写跟踪。 支持iOS objc和Swift运行时。 支持后端。 支持Apple M1虚拟机管理程序后端。 谢谢
逆向利器Unicorn——一款很酷的指令模拟器
weixin_43767456的博客
11-16 1597
Unicorn是一种基于QEMU的轻量级多架构CPU模拟器,可以模拟在不同的CPU架构上执行二进制代码。它提供了统一的接口,使得在不同的CPU架构上运行代码变得简单和高效。Unicorn的设计目标是提供一个轻量级、高效且可扩展的模拟器,以便在安全研究、调试和分析等领域中使用。轻量级:Unicorn模拟器在运行时占用的内存和CPU资源都非常少,可以轻松地嵌入到其他应用程序中。多架构:Unicorn支持多种不同的CPU架构,包括x86、ARM、MIPS等,可以轻松地模拟在不同的架构上执行二进制代码。
一个Unidbg使用中遇到的奇怪问题
lilac的博客
06-24 2615
一、问题提出 在《SO逆向入门实战教程七:main》我们讨论了一个样本,一位读者朋友给我提出了问题:有另一个同系的应用,也使用了样本SO,但是在其初始化函数中,流程略有不同,并会最终导致Unidbg在一个函数中死循环。 样本和代码详见百度网盘 二、问题解决 我花了数个小时分析样本,依然找不到问题根源,但在无意的一次测试中发现,当使用HookZz对死循环发生的函数中某些位置inline hook时(无需修改任何内容),死循环就不复存在并恢复到正常执行流,并能顺利模拟执行。 样本对Unidbg检测吗?我认为概
app安全之安卓native层安全分析(二):unidbg+ida使用+过签名校验
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-21 2276
SO入门实战教程二:calculateS_so _白龙~的博客-CSDN博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。1.ida,按y修改JNIEnv,IDA 7.5之前,JNIEnv需要导入jni.h,7.5之后不需要导入jni.h文件2.ida,按g 输入地址跳转3.ida,按x,查看交叉引用4.ida,optional->generel,把这个改成4,可以查看架构模式,arm架构是固定4位,thumb架构是混合的。
unidbg-补签名环境MethodID问题
Codeoooo 博客
06-25 1480
methodID 可以通过log4j开启debug模式,循环去找;
逆向利器Unicorn-一款很酷的指令模拟器
11-16
Unicode 32位dll和lib
基于Unicorn-Engine的开源Windows可执行文件沙盒实现解析.pdf
08-08
目 录 1.虚拟化软件的比较以及各自的特点. 2.unicorn-engine介绍. 3.Hack unicorn-engine. 4.wxemu的设计不实现. 5.wxemu 的功能 6.Demo. 7.目前存在缺点不计划.
js-mythical-creatures:摩卡&柴:high_voltage:
02-18
测试单元测试是否正常:在终端中运行命令npm test exercises/1/unicorn.test.js 您应该看到类似以下内容: > mythical-creatures@1.0.0 test /Users/Sandro/Code/Simplon/mythical-creatures > mocha " exercises...
Unicorn-Hat-HD-Arduino:使用Arduino控制Unicorn Hat HD的库
04-28
独角兽-帽子-高清-Arduino 该库的目标是允许对Unicorn Hat HD进行控制,就好像它是16x16 NeoPixel或DotStar LED(或者好像是256 LED灯串)一样。 Pixel 0位于Unicorn Hat HD丝印下方的右上角。 像素255位于右下角。 ...
Unidbg杂谈
lilac的博客
09-14 5312
Unidbg的功能可以分成两大块 模拟执行 辅助算法还原 模拟执行的所有任务,一言以蔽之,就是补环境,补环境并不是一件容易的事,我总结一下常见情况。 首先是JNI这个桥梁相关的补环境问题 1.样本存在初始化函数,研究者没有意识到这个问题就会出大问题(好吧我是废话大王),参考资料: 《csdn 样本七》 https://blog.csdn.net/qq_38851536/article/details/118000259 知识星球 《Unidbg初始化》目前的五节视频 2.MethodID问题
探索技术边界:Unidbg - 跨平台的Android动态调试工具
gitblog_00041的博客
03-22 870
探索技术边界:Unidbg - 跨平台的Android动态调试工具 unidbgAllows you to emulate an Android native library, and an experimental iOS emulation项目地址:https://gitcode.com/gh_mirrors/un/unidbg 项目简介 是一个由zhkl0228开发的开源项目,它是一个强...
unidbg入门笔记
q2919761440的博客
05-24 1206
unidbg 是凯神 在 2019 年初开源的一个轻量级模拟器,一个基于Java的跨平台解密引擎,专门用于动态分析和逆向工程应用程序。它可以模拟不同CPU架构、操作系统和指令集,从而使用户能够在一个统一的环境中分析各种不同类型的二进制文件。unidbg的主要功能包括模拟执行、内存访问、指令跟踪、函数调用跟踪等。unidbg 是建立在Unicorn引擎之上的,Unicorn引擎是一个强大的开源CPU模拟器框架,支持多种架构,包括x86、ARM、MIPS等,因此unidbg也能够模拟这些不同的CPU架构。
unidbg或者java层解密方法IDEA中打包成jar包供python调用方法
云霄IT的博客
07-08 1845
【代码】unidbg或者java层解密方法打包成jar包供python调用方法。
unicorn-ui
11-10
Unicorn-UI-Kit是一个全栈Unicorns的UI套件,旨在为现代网络设计提供功能齐全的用户界面套件。它的目标是通过使用案例来添加功能,而不是复制不可靠的CSS片段。与其他UI框架不同,Unicorn-UI-Kit不会重新实现已经做好的事情,例如Slick、Owl等。它是一个非常实用的UI工具包,可以帮助开发人员快速构建现代化的Web应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值