在JNI_onload函数处下断点避开针对IDA的反调试

已于 2023-07-15 10:56:27 修改
阅读量1.1k 收藏 3
点赞数 5
分类专栏: 移动安全 文章标签: Android安全 应用逆向
于 2018-10-03 11:37:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/82930825
版权
这篇博客介绍了如何在JNI_onload函数处设置断点,以避开针对IDA的反调试手段。内容涉及反调试原理,如ptrace系统调用检测TracerPid,以及多种应对反调试的策略,包括调整IDA设置、利用am命令启动程序等。详细阐述了调试步骤,包括在JNI_OnLoad下断点、附加进程、修改代码以绕过加壳保护,为Android应用逆向分析提供了一种有效方法。
摘要由CSDN通过智能技术生成

本博客地址:https://security.blog.csdn.net/article/details/82930825

一、在JNI_onload函数处下断点避开针对IDA的反调试

为了防止apk中的so文件被动态调试,开发者往往会使用一些反调试手段来干扰黑客的动态调试。其中最常见的就是在so文件中检测TracerPid值。通过在JNI_onload下断点即可避开反调试。

二、反调试原理

1、ptrace:是系统调用的一个方法,该方法使一个程序(追踪者)可以观察和控制另外一个程序(被追踪者)的执行,并检查和改变被追踪者的内存及寄存器。主要用于实现断点调试和追踪系统调用。

2、Android中如果一个进程被另一个进程ptrace了之后,在它的status文件中有一个字段TracerPid可以标识它是被哪个进程ptrace了。可以使用命令查看:

adb shell
ps -ef | grep 包名                //查看对应的进程号
cat /proc/进程号/status       //查看TracePid值
ps | grep Trace值            //查看TracePid值对应哪个进程

3、在底层做一个循环检测这个字段值是不是0,如果不为0则代表自己的进程被别人Ptrace&#x

了解本专栏 订阅专栏 解锁全文 超级会员免费看
武天旭
关注
专栏目录
订阅专栏
ida导入jni头文件_IDA远程调试so库JNI_Onload函数
weixin_39997194的博客
12-24 561
JNI_OnLoad函数大概功能就是在程序加载so的时候,会执行JNI_OnLoad函数,做一系列的准备工作。很多时候,程序猿们会将一些重要信息放在此函数中,而不是通过某种事件来重复触发。包括说将调试函数放置在此函数中。因此,调试手段发生了改变,上述调试方法基本上被淘汰。1.静态分析,找到JNI_OnLoad函数的偏移2.执行android_server3.端口转发4.以调试模式启动程序adb...
Android so调试
厚积薄发,持之以恒
08-28 1017
原理 在Android系统中,如果进程处于调试状态,/proc/进程pid/status (等同于/proc/self/status)文件中的tracePid不为0,所以只要在加载so的时候,读取status文件,若tracePid不为0,则说明进程处于调试状态。 status文件分析 Name: sh State: R (running) Tgid: 23809 Pid: 23809 PPid: 195 TracerPid: 0 Uid: 0 0
ida调试技巧-通过修改zf寄存器的值绕过简单调试
最新发布
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
03-28 583
不想看也没关系,蒟蒻博主概述一下,总之,在机器执行汇编指令时,标志(flag)寄存器中的一个zf (Zero Flag) 零标志位用来存放指令判断,他的值将决定程序的分支走向,比方说zf=1如果走if逻辑,那么zf=0就走else逻辑了。不想看还是没关系(哈哈),概述下来就是JZ命令通过ZF标志位判断是否跳转,当执行到JZ指令时,如果ZF=1则跳转,如果ZF=0,不跳转,正无非就是一个if...else的逻辑。既然ZF=0时程序下一步往左边的线路走,那直接手动把ZF的值改成1。
JNI 调试介绍
u014715599的博客
07-26 956
Author: Crystal 0X01 jni 调试介绍 为了避免我们的so文件被动态分析,我们通常在so中加入一些调试代码,常见的Java native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0)。 2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如...
IDAPython脚本分享 - 自动在JNI_OnLoad断点
小蓝人敌法的专栏
10-22 2956
自动在JNI_OnLoad断点脚本背景 在Android逆向的过程中,一个很常见的场景就是我们需要分析So模块的JNI_OnLoad函数,每次我们使用IDA进行调试的时候,都要手动的找一次 libart.so(ART虚拟机)中调用JNI_OnLoad函数的位置,重复又麻烦,于是就用脚本把这个相对固定的过程用IDA Python脚本固化下来,提高效率,顺便跟大家分享一下。 脚本使用注意事项 IDA
java jni 文件 中断操作,停止调用JNI函数的Java线程
weixin_33334142的博客
02-17 309
Here I want to stop my thread or kill my thread which is created on Java layer, and this thread is calling JNI function. Sometimes as per my application requirement, I have to stop this JNI function e...
安卓逆向_21 --- Java层和so层的调试IDA 动态调试 JNI_OnLoad、init_array下断)
墨鱼菜鸡
07-11 1330
1. 安卓程序动态调试条件 安卓程序动态调试条件 ( 2个满足1个即可 ): 1. 在 AndroidMainfest.xml ---> application 标签下,设置或者添加属性android:debuggable="true" 2. 系统默认模式,在 build.prop(boot.img),ro.debuggable=1 And...
IDA远程调试so库JNI_Onload函数
weixin_33816300的博客
04-23 200
JNI_OnLoad函数大概功能就是在程序加载so的时候,会执行JNI_OnLoad函数,做一系列的准备工作。很多时候,程序猿们会将一些重要信息放在此函数中,而不是通过某种事件来重复触发。包括说将调试函数放置在此函数中。因此,调试手段发生了改变,上述调试方法基本上被淘汰。 1.静态分析,找到JNI_OnLoad函数的偏移 2.执行android_server ...
ida动态调试so,在init_array和JNI_ONLOAD处下断点
jltxgcy的专栏
01-28 6994
0x00    如何在JNI_ONLOAD断点,参考安卓逆向学习笔记(5) - 在JNI_Onload 函数处下断点避开针对IDA Pro的调试。最好使用模拟器调试,确保 Attach to process后,对应进程在DDMS中出现小红蜘蛛。    下面将如何在init_array下断点,首先要找到so的init_array端,把so拖入ida,然后按Crtl+s,会出现该so的所有段。如下
IDA动态调试
12-12
Android中使用IDA调试so来破解apk
Android IDA 动态调试so(过掉JNI_Onload调试检测)笔记-附件资源
03-02
Android IDA 动态调试so(过掉JNI_Onload调试检测)笔记-附件资源
安卓逆向_17 --- IDA 动态调试【 环境搭建、so库调试【动态普通、动态debug模式】、JNI_OnLoad调试分析、java_ 开头函数分析】...
墨鱼菜鸡
07-11 1698
哔哩哔哩视频:https://www.bilibili.com/video/BV1UE411A7rW?p=54 IDA Pro调试so,附加完毕,跳到目标so基址,但是内容都是DCB伪指令?:https://bbs.pediy.com/thread-222646.htm Android 中 adb shell ps 查看手机中进程信息:https:/...
So自加密解密(找不到JNI_Onload 跟 init_array)
qq_34108752的博客
09-30 3021
Shelldemo.apk 里 libdemo.so 看到 getString 这个函数 下面是一堆DCD 行 说明这个函数 被加密了 那么如何得到它真实的 函数样子了? 我们得知 在运行的时候 so被加载的时候 是要先被解密 然后加载进内存的 我们就想到 在 libdvm.so 系统so 里的 loadnative(是关键字不全)这个函数里 这个函数里 有去加载 apk的 so的 J...
IDA so 调试
九天
10-21 2220
http://blog.csdn.net/jltxgcy/article/details/50598670
IDA动态调试
qq9746的博客
11-13 679
一、检测调试代码 在应用的MainActivity.java的onCreate() 方法中加入 this.checkIDADebug(); 下面是检测调试的具体代码,可以把几个条件合在一个if里面,删除Log /** * 检测应用是否处于IDA动态调试下, 如果是,提示用户并退出 */ public void checkIDADebug(){ new Thread(new Runnable() { @Override public void
安卓逆向学习入门之过调试(一)
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
11-20 1605
前面有篇文章讲了 smail代码的简单修改,其实它有3个apk可以用来练手,今天来讲第二个apk,也是比较简单,大佬请飘过。样本地址:https://github.com/wyhuan/...
安卓逆向-IDA动态调试 | 自毁程序的调试
Samsam的博客
03-11 1531
IDA动态调试 配置: #把本地文件推送进手机目录 adb push android_x86_server(cpu型号要对应 模拟器是x86) /data/local/tmp/ #进入手机shell adb shell #真机要使用 su 命令 切换到root用户,模拟器不用 #进入手机tmp目录 cd /data/local/tmp/ #修改权限 chmod 777 android_server #运行 ./android_server #在本地执行adb 做端口转发 adb
【CTF-Reverse】IDA动态调试调试技术
WdIg-2023的博客
06-27 3096
在本专栏前两篇文章中,带领大家讲解了逆向加密算法,AES,TEA,RC4,Base64加密算法,并带领大家识别各种密码算法特征,这一篇文章来带领大家学习在逆向过程中的动态调试IDA动态调试调试技术。
深入理解JNI:加载.so与JNI_OnLoad函数解析
2. 撰写*.so的入口函数 —— JNI_OnLoad()与JNI_OnUnload() 当VM执行`System.loadLibrary()`时,会首先执行.so库中的`JNI_OnLoad()`函数。`JNI_OnLoad()`有两个主要作用:(1)通知VM此库使用的JNI版本。如果没有提供`...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值