解决多进程ptrace反调试保护的一种方法

最新推荐文章于 2024-05-12 17:04:11 发布
最新推荐文章于 2024-05-12 17:04:11 发布
阅读量8.7k 收藏 2
点赞数
分类专栏: Android加固

转:http://bbs.pediy.com/showthread.php?p=1436691#post1436691


前言:我们经常看到很多加固都采用多进程ptrace的方式来反调试,这里想到一个小技巧绕过这种保护,测试目标是一款娜迦加固的APK,效果如下:
点击图片以查看大图图片名称: multi.png查看次数: 1文件大小: 7.1 KB文件 ID : 105761

原理:多进程都是通过fork出来的,因此我们修改/bionic/libc/bionic/fork.c里面的fork函数来使得目标进程fork失败,代码如下:
点击图片以查看大图图片名称: source.png查看次数: 2文件大小: 24.5 KB文件 ID : 105759

结果:修改fork函数后,目标APK只剩下一个进程了,使用gdb attach正常,效果如下:
点击图片以查看大图图片名称: single.png查看次数: 0文件大小: 7.5 KB文件 ID : 105760

结束语:有兴趣的同学可以试试其他的加固系统。 

注:
这个get_target2函数就是作为过滤条件用的。
可以考虑结合注入+HOOK 


双刃剑客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
玩转Android10源码开发定制(七)修改ptrace绕过调试
xiaomaNo01的专栏
12-31 989
一、安卓10中ptrace介绍 1.源码位置追踪 在Android10中,ptrace函数定义文件路径为: bionic/libc/include/sys/ptrace.h 函数原型定义如下: long ptrace(int __request, ...); ptrace函数实现文件路径为: bionic/libc/bionic/ptrace.cpp 函数实现代码如下: long ptrace(int ...
一次删注册表的经历
qq_37326058的博客
12-03 2919
出于好奇,安装了tia软件和step-micro/win,但是想完全卸载,简直就是个坑啊,你可以去注册表搜索,在删除完成之后,依然至少几千条的记录存在注册表里面,我深刻怀疑会稍微影响计算机系统的运行速度。 先去注册表查找 1,win + R快捷键,输入regedit,按enter键,进入注册表 2,点击 编辑 》查找,选择项,值,数据,点击查找下一个,可以找到相关信息。 但对于TIA软件,至少有几千条注册表信息,这么查找,太慢。 既然太慢,那可以在cmd命令行下 用命令去查找,并将结果输出到文档,然后
易语言编程-手把手教你解除游戏保护-让CE可搜索读写游戏进程内存数据
hzw320的博客
04-19 4277
3. 如何解除游戏进程保护,从而CE工具 以及 自己写的代码可以 正常读写内存数据?解除一些有保护的游戏 64位系统上的内存保护机制,因为它无法让CE工具搜索内存的保护,编写代码实现 读写进程数据 正常 ,以及CE工具可以搜索读写内存数据等操作。1. 游戏进程为什么无法读写内存数据,CE工具为何不能搜索数据?就读写有保护的游戏内存数据,就非常方便开发有保护的游戏内存辅助了,game-ec USB模块里的驱动强制读写。只用于逆向技术交流,切勿用于其它!答案:因为被保护起来了。答案:因为被保护起来了。
linux或者android样本ptrace调试绕过
kernweak的博客
06-16 1358
linux linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(调试程序) #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> void a() { if (ptra
调试 - ptrace占坑
dafan0的博客
05-12 386
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
android绕过调试方法,安卓|使用ptrace绕过ptrace调试(二)
weixin_39898011的博客
05-26 848
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
Android中的调试代码
05-29
例如,`SIGTRAP`信号通常用于触发断点,因此检测该信号的出现也能作为调试一种方式。 **调试策略二:混淆和加密** 1. **混淆代码**:使用混淆工具(如ProGuard或R8)对代码进行混淆,使攻击者难以理解原始...
ios-antidebugging:iOS调试技术集合
05-11
开发者往往会采取各种措施来保护自己的代码不被恶意篡改或分析,其中一种策略就是调试技术。本文将深入探讨iOS调试技术,尤其是针对Objective-C编程语言的实践方法。"ios-antidebugging:iOS调试技术集合"是一...
汇编程序:借助capstone和ptrace的简单实验性汇编程序
02-22
汇编程序是一种工具,它将机器语言代码转换为可读性更强的汇编语言,这对于软件调试、逆向工程和恶意软件分析等任务至关重要。本文将深入探讨如何利用Capstone框架和Ptrace系统调用来构建一个简单的实验性汇编...
Android_Anti_Debug,android调试的一个例子。.zip
09-25
2. 调试调试技术则是应用程序采取的一种自我保护机制,用来检测并可能阻止调试器的运行,防止恶意攻击者利用调试器分析和篡改应用逻辑。 二、Android_Anti_Debug项目详解 1. 检测调试器:项目主要通过检查...
gdb 调试gdb 调试gdb 调试gdb 调试gdb 调试
最新发布
07-19
本文全面介绍了gdb的使用方法和技巧,包括基本信息操作、函数管理、断点管理、打印与显示、多进程/线程调试、核心转储与程序状态、汇编级调试、程序状态修改、信号处理、共享库管理、脚本配置、命令行选项、预处理器...
最近很火的调试,你知道它是什么吗?
chuyouyinghe的专栏
09-07 188
我们日常开发中,永远离不开debug调试,断点技术一直是我们排查bug的有力手段之一!随着网络安全意识的逐步提高,对app安全的要求就越来越高,(有朋友不太了解这个概念,这里我解释一下,就是通过调试技术,比如我们可以编译某个apk,即使apk是release包,同样也可以进行编译后调试,比如最新版本的jadx)的技术也渐渐深入我们开发者的眼帘,那么我们来具体看看,android中,同时也是linux内核中,是怎么处理调试程序的!
移动安全面试题—调试&调试
Andy0214的专栏
08-12 4910
对抗方法:使用内核模块或 Xposed 插件拦截对 /proc/self/status 的读取,将 TracerPid 字段设置为 0。对抗方法:使用内核模块或 Xposed 插件拦截对 /proc/self/maps 的读取,移除与调试器相关的内存映射信息。检测 /proc/self/status 中的 TracerPid 字段:如果该字段的值不为 0,则表示有调试器附加。修改 /proc/self/status 中的 TracerPid 字段,伪装成无调试器附加的状态。可能需要结合静态和动态分析工具。
【CTF特训营】 Reverse篇 2.Reverse分析
ll14856lk的博客
12-28 2051
关键代码定位 1)API断点法 2)字符串检索法 快捷键 说明 Ctrl+F IDA中查找字符串 Alt+E 在Olldbg中查找主模块 3)辅助工具定位 常见加密算法识别 对数据进行变换的时候经常会使用一些加密算法,CTF逆向中常出现的加密算法包括base64,TEA,AES,RC4,MD5等 1)base64 2)TEA 3)AES(最常见,多次出现在CTF中) AES加密过程设计4种操作:字节替代(通过S盒完一个映射),行位移,列混淆,和密钥轮加。 ...
Linux ptrace 原理,安卓|使用ptrace绕过ptrace调试(一)
weixin_28883589的博客
05-15 566
一、LD_PRELOAD(一)原理LD_PRELOAD是linux系统的一个环境变量,它可以影响程序运行时装载的动态链接库。装载动态链接库,一般情况下按照以下顺序进行:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib这里通过编译一个包含ptrace()的动态链接库,并将其设为LD_PRELOAD环境变量,从而...
尝试绕过ptrace保护 不知道算不算成功
lixiangminghate的专栏
11-04 7104
源码如下 #include int main() {     int i=0;     if(ptrace(PTRACE_TRACEME,0,0,0)     {         printf("failed\n");         return 0;     }     printf("succ\n");     i=1;     return 0; } gcc
一种绕过PTRACE调试的办法
weixin_30914981的博客
10-28 1320
Linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(调试程序): #include <stdio.h> #include <stdlib.h>...
模拟器修改内核绕过ptracepid检测
inquisiter
12-17 7479
模拟器修改内核绕过ptracepid检测我看了下很多检测调试的应用都会调用这个功能个,修改个内核做个系统还是很重要的。不够我自己嫌修改真机的内核太麻烦,现在模拟器上练个手,虽然网上没有如何修改具体的教程,不过真机修改内核还是有很多。我这里自己类推下:模拟器文件结构分析 我们先要找到内核文件的位置,如果是真机的话,需要找到boot.img。模拟器要简单很多,如上图,内核文件就是kernel-qem
ptrace 作弊
09-09
在操作系统层面,ptrace 可以让一个进程监视另一个进程的状态和行为,提供了强大的调试和追踪功能。 在作弊中,ptrace 可以用来检测和防止一些常见的作弊行为。例如,通过 ptrace,可以监视一个游戏进程的内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值