进程名称检测

最新推荐文章于 2023-03-23 23:44:10 发布
最新推荐文章于 2023-03-23 23:44:10 发布
阅读量387 收藏
点赞数
分类专栏: Android逆向从入门到进阶 Android逆向 文章标签: 安卓逆向 Android 反调试 名称检测 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjjyxm/article/details/110389386
版权

往期推荐

调试端口检测

调试与反调试–关键文件检测

模拟器检测

文件检测

一:分析进程名称检测的C代码

1.来到main函数,从main函数的coursecheck()开始分析,如下图所示。

在这里插入图片描述

2.直接查看调用的函数coursecheck(),如下图所示。

在这里插入图片描述

3.分析该函数,首先它定义几个char型的数组,如下图所示。

在这里插入图片描述

4.获取当前的pid,然后使用sprintf函数把pid写入/proc/%d/status字符串中,再放入filename所指地址的数组中,使用fopen函数打开filename表示的文件名,也就是执行指令/proc/%d/status,如下图所示。

在这里插入图片描述

5.执行命令打开文件成功后,使用fgets函数获取字符串,如下图所示。

在这里插入图片描述

6.如果得到的字符串是tracepid,并且把数组里面的第11个元素转化为整型放到statue变量,如下图所示。

在这里插入图片描述

7.执行proc/pid/cmdline命令,cmdline包含进程名称的完整信息,如下图所示。

在这里插入图片描述

8.对进程的完整信息进行遍历,如果存在字符串android_server,直接kill当前进程,如下图所示。

在这里插入图片描述

二:演示进程名称检测的效果

1.将文件BubbleSort push到手机目录的data/local/tmp位置,如下图所示。

在这里插入图片描述

2.给chmod 777权限后,运行,如下图所示。

在这里插入图片描述

3.程序运行后,执行命令ps | grep BubbleSort,检查文件的进程,如下图所示。

在这里插入图片描述

4.继续执行命令cat /proc/29518/status ,查看进程信息,发现TracePid为0,此时程序没有被调试,可以正常运行,如下图所示。

在这里插入图片描述

5.演示程序效果,一个简单的排序,如下图所示。

在这里插入图片描述

6.运行as,开始调试(别忘记端口转发),如下图所示。

在这里插入图片描述

7.打开IDA,选择Debugger,选择Run,选择Remote ARMLinux/Android debugger选项,如下图所示。

在这里插入图片描述

8.选择一系列参数,只填写以下这几项,如下图所示。
Application:运行程序的路径+文件名(文件所在手机路径)
Directory:程序所在路径
Hostname和Port和之前动态调试apk程序一样,

在这里插入图片描述

9.点击OK,进入界面后,勾选三项如下图所示。

在这里插入图片描述

10.点击OK,此时的程序就处于挂起状态,如下图所示。

在这里插入图片描述

11.运行adb命令ps | grep BubbleSort ,查看当前程序的进程名称,如下图所示。

在这里插入图片描述

12.执行adb 命令cat /proc/14942/status,查看进程信息,如下图所示。
在这里插入图片描述

13.此时TracePid的值发生明显变化,如下图所示。
在这里插入图片描述

14.TracePid的值不为零,就会执行相应源代码,直接kill程序,如下图所示。

在这里插入图片描述

三:如何过掉反调试

动态调试的的时候,直接修改返回值R0,将其改为0即可;或者把调用反调试的函数直接nop掉;还有一种方法就是刷机,修改系统内核,永久绕过反调试,如图3.23所示。

小结

分析了进程名称检测的源码,演示进程名称检测的效果 ,关注其中的执行命令以及过掉反调试的方法:
1.修改返回值R0为0;
2.刷机,修改系统内核,永久绕过反调试。

如果你也对安卓逆向感兴趣。可以加入下方的群,大家一起讨论问题,或者扫描下方二维码关注公众号,关注回复 “安卓逆向” 获取免费教程

安卓逆向交流学习 Q群:876526335
vx:yijin_LX

在这里插入图片描述

YJJYXM
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
改变程序执行流程
YJJYXM的博客
11-19 593
往期推荐 IDA调试修改内存数据 IDA调试界面介绍及快捷键 IDA调试环境搭建 IDA静态分析 一:分析程序执行流程 1.将IDA切换为视图模式,如下图所示。 2.在视图模式下,看到这里存在BLX 和CMP两个函数,如下图所示。 3.当BLX函数执行完毕后,会把返回值放到R0寄存器,然后执行cmp指令,就会将R0的值和0进行比较,不同的结果执行不同的分支,如下图所示。 4.此处如何跳转,完全取决于跳转指令BNE(不等于则跳转),如下图所示。 5.按空格切换回来,如下图所示。 如果R0和0不相等,
一文带你实现获取检测apk的父进程
m0_59598029的博客
02-28 55
每个App的用于程序都是通过父进程zygote进行fork出来的子进程,所以zygote也是所有app的父进程。那么对于zygote进程可以用于检测判断app应该是否处于被调试状态。
【程序的两种执行方式及特点】
Alkali!的博客
01-11 2450
介绍了程序的顺序执行和并行执行
一种授权检测程序的简单代码,C#实现程序检测
GoodCooking的博客
03-23 190
在unity中实现一种程序检测,当Unity启动后,判断另外一个程序是否启动,如果启动则不处理,未启动 则关闭unity,
网络安全之提权攻击
qq_51068285的博客
02-17 911
提权攻击的原理与防护
易语言检测指定进程CPU
08-21
易语言检测指定进程CPU源码系统结构:格式名称,UpdateValues,AddCounter,PdhCollectQueryData,PdhVbGetDoubleCounterValue,PdhOpenQuery,PdhVbAddCounter, ======窗口程序集1 || ||------__启动窗口_创建完毕 || ||--...
各关键进程名称及意义
03-27
一针见血的让你明白各关键进程的意义 mdm.exe is是微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。...jusched.exe是Sun Microsystem公司的Java2套装相关进程,用于检测Java的升级。
Qt编写守护进程
03-02
本篇文章提供一个软件实现守护进程的办法,原理就是udp通信,单独写个守护进程程序,专门负责检测主程序是否存在,不存在则启动。主程序只需要启动live类监听端口,收到hello就回复ok就行。 为了使得兼容任意程序,...
windows守护进程小工具
08-27
检测指定的程序是否有在运行,没有运行则,运行程序。 通过config.ini配置文件配置,需要守护进程的路径,以及程序名称
IDA动态调试破解AliCrackme与调试对抗
道阻且长,行则将至。
10-17 2272
文章目录前言APK破解(上)1.1 静态分析1.2 动态分析调试对抗2.1 Ptrace2.2 全局调试2.3 调试APK破解(下)3.1 重新编译3.2 动态调试总结 前言 在前面的文章中 IDA动态调试破解EXE文件与分析APK流程 介绍了 IDA 对 APK 进行动态调试分析的简单流程,然而实际上很多 APP 为了防止被动态调试分析,经常会做一些调试的防护措施。本文将通过 2014 年阿里安全挑战赛的第二题 AliCrackme_2(APK下载地址),来进一步学习 APK so 文件的动态调试
程序员必备技能:Windows使用bat脚本实现软件进程检测
7me
09-08 6412
>通常为例保证软件的正常进行,都会以监听的形式对目标程序进行存活检测,本文使用bat脚本以守护微信进程为例进行演示。
GDB使用技巧(5)——改变程序运行
Biao
03-31 1085
改变程序的执行 一旦使用GDB挂上被调试程序,当程序运行起来后,你可以根据自己的调试思路来动态地在GDB中更改当前被调试程序的运行线路或是其变量的值,这个强大的功能能够让你更好的调试你的程序,比如,你可以在程序的一次运行中走遍程序的所有分 一、修改变量值 修改被调试程序运行时的变量值,在GDB中很容易实现,使用GDB的print命令即可完成。如: (gdb) print x=.........
检测进程是否存在的小函数&&检测命令是否执行成功的小函数
Donny2007的专栏
12-14 573
需求为按指定用户执行些服务的启动命令,不能重服启动。 其实很简单只要把这些命令穿起来就行了,如果多,可以也可用循环。另外加了一个检测进程是否已经启动的功能,如果已启动退出。我这里用的是#ps aux|grep 的方法,如果是标准的服务用pgrep命令比较好,得到PID可以kill 掉它。我这里不是像HTTP 之类的标准的服务,所以在pgrep 后面跟参数不准确,用不了。这里只说这两个小函数。
[linux下进程行为检测] 3.strace工具、ptrace函数
H4ppyD0g的博客
01-14 915
本文为作者本科毕业设计相关内容的系列文章,记录从零基础到开发一个linux下软件行为检测程序(或者只是学习成果)的过程(详细笔记)。 前文连接 [linux下进程行为检测] 1.proc、sys文件系统 [linux下进程行为检测] 2.auditd、bpftrace工具了解 文章目录straceptrace strace strace可以用来监控用户空间进程和内核的交互,比如系统调用、信号传递、进程状态变更等。 strace 从内核接收信息,而且不需要以任何特殊的方式来构建内核。 lab.c #inc
内核级利用通用Hook函数方法检测进程
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
05-11 3721
内核级利用通用Hook函数方法检测进程作者: LionD8QQ: 10415468Email: [email protected]: http://blog.csdn.net/LionD8          http://liond8.126.com介绍通用Hook的一点思想: 在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问了大量的寄存器
判断指定的进程或程序是否存在方法
wl_soft专栏
06-27 6983
一、判断指定程序名的进程是否存在     BOOL EnumWindows( WNDENUMPROC lpEnumFunc, // pointer to callback function LPARAM lParam //   application-defined value);        The EnumWindows function enumerates all top-lev
通过进程名检查进程是否存在
weixin_44236725的博客
03-29 668
CreateToolhelp32Snapshot: 函数通过获取进程信息为指定的进程进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照.说到底,可以获取系统中正在运行的进程信息,线程信息。 HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, //用来指定“快照”中需要返回的对象,可以是TH32CS_SNAPPROCESS等 ...
批处理:根据进程名称查询进程,如果有进程就输出up没有就输出donw
weixin_33994429的博客
10-12 506
需求:windows系统上 根据进程名称查询进程,如果有进程就输出 up ,没有就输出 donw. ::Final interpretation is owned by chenglee ::@echo off<nul 3>nul @echo off&title Checking For SystemProcess, Thankyou... :2 color ...
windows隐藏进程检测
最新发布
05-24
有一些方法可以隐藏进程以防止被检测,但这些方法可能会被杀毒软件视为恶意行为。以下是其中一些方法: 1. 修改进程名称:通过修改进程名称,可以隐藏进程并防止其被检测到。但是这种方法很容易被杀毒软件识别为恶意行为。 2. 修改进程的PEB结构:通过修改进程的PEB结构,可以使进程在系统中不可见。这种方法需要一些专业知识,并且可能会被杀毒软件识别为恶意行为。 3. 使用Rootkit技术:Rootkit技术可以隐藏进程并防止其被检测到。但是这种方法非常复杂,需要一些专业知识,并且可能会被杀毒软件识别为恶意行为。 需要注意的是,使用这些方法来隐藏进程可能会违法律规定。此外,这些方法可能会导致系统不稳定,造成数据丢失或损坏。因此,建议仅在测试环境中使用这些方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值