so中函数断点的的反调试检测

最新推荐文章于 2024-09-19 06:48:34 发布
原创 最新推荐文章于 2024-09-19 06:48:34 发布 · 757 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #java

本文介绍了如何通过计算函数指令的hash值校验和搜索bkpt指令来检测apk应用中的函数是否被修改或设置了软件断点。在函数体中,如果检测到bkpt指令,说明可能被下断点。代码示例展示了针对ARM和Thumb模式的检查方法。

反调试简介

在apk应用的so文件中函数的指令都是固定,但是如果被下了软件断点,指令就会发生改变(断点地址被改写为bkpt断点指令),可以计算内存中一段指令的hash值进行校验,检测函数是否被修改或被下断点。

实现原理

当我们程序中的函数被下软件断点,则断点地址会被改写为bkpt指令, 可以在函数体中搜索bkpt指令来检测软件断电。

代码实现



/*参数1:函数首地址 
参数2:函数size
*/

typedef uint8_t u8;
typedef uint32_t u32;

int checkFuncbkpt(u8* addr,u32 size)
{


u32 uRet=0;

// 定义的断点指令
// u8 armBkpt[4]={0xf0,0x01,0xf0,0xe7};
// u8 thumbBkpt[2]={0x10,0xde};

u8 armBkpt[4]={0};
armBkpt[0]=0xf0;
armBkpt[1]=0x01;
armBkpt[2]=0xf0;
armBkpt[3]=0xe7;

u8 thumbBkpt[2]={0};

thumbBkpt[0]=0x10;

thumbBkpt[1]=0xde;

// 判断模式
int mode=(u32)addr%2;
if(1==mode) 
{

LOGA("checkbkpt:(thumb mode)该地址为thumb模式\n");

u8* start=(u8*)((u32)addr-1);
u8* end=(u8*)((u32)start+size);

// 循环遍历对比
while(1)

{

if(start >= end) {

uRet=0;
LOGA("checkbkpt:(no find bkpt)没有发现断点.\n");
break;

}

if( 0==memcmp(start,thumbBkpt,2) )
{
uRet=1;
LOGA("checkbkpt:(find it)发现断点.\n");

break;

}

start=start+2;

}//while

}//if

else
{

LOGA("checkbkpt:(arm mode)该地址为arm模式\n");

u8* start=(u8*)addr;

u8* end=(u8*)((u32)start+size);

// 遍历对比

while(1){

if (start >= end) {

uRet = 0;

LOGA("checkbkpt:(no find)没有发现断点.\n");

break;

}

if (0 == memcmp(start,armBkpt , 4)){

uRet = 1;

LOGA("checkbkpt:(find it)发现断点.\n");

break;

}

start = start + 4;

}//while

}//else

return 1;

}
so检测frida绕过
Codeoooo 博客
06-26 1830
我们思路是可以frida加载那个so, 然后打印出检测线程的偏移;如果是在so层里开一个线程检测frida;然后干掉这个线程,完成!
android frida检测绕过
热门推荐
PwnGuo的博客
06-08 1万+
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
反调试检测函数是否被下断点检测 CC 断点
VI___
05-05 1093
以简单的 MessageBoxA 来举例: FARPORC Uaddr; BYTE Mark = 0; (FARPORC&)Uaddr = GetProcAddress( LoadLibrary("user32.dll"), "MessageBoxA"); Mark = *((BYTE*)Uaddr); if (Mark == 0xCC) { ...
Android so反调试
厚积薄发,持之以恒
08-28 1217
原理 在Android系统中,如果进程处于调试状态,/proc/进程pid/status (等同于/proc/self/status)文件中的tracePid不为0,所以只要在加载so的时候,读取status文件,若tracePid不为0,则说明进程处于调试状态。 status文件分析 Name: sh State: R (running) Tgid: 23809 Pid: 23809 PPid: 195 TracerPid: 0 Uid: 0 0
Android安卓安全加固反调试检测手段(java层+native层)(附代码实现).pdf
11-25
### Android安卓安全加固反调试检测手段 #### 1. Java层保护 ##### 1.1 代码混淆 在Android应用开发中,java层的代码如果被逆向分析,将变得一览无遗。为了保护代码不被轻易分析,可以使用代码混淆技术。Android...
Android反调试与反反调试
09-19 2193
TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。在输出中,ptrace_stop 表示进程 17305 当前正在被调试器暂停,等待调试器发出的命令。通过head /proc/[pid]/status 可以查看详细的进程状态。
在JNI_onload函数处下断点避开针对IDA的反调试
武天旭的博客
10-03 1481
一、在JNI_onload函数处下断点避开针对IDA的反调试 为了防止apk中的so文件被动态调试,开发者往往会使用一些反调试手段来干扰黑客的动态调试。其中最常见的就是在so文件中检测TracerPid值。通过在JNI_onload下断点即可避开反调试。 二、反调试原理 1、ptrace:是系统调用的一个方法
ANDROID调试检测技术汇编
抚琴
02-06 1492
ANDROID调试检测技术汇编 1 调试器调试端口 2 调试器进程名 3 父进程名检测 4 自身进程名检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 14 利用IDA解析缺陷反调试 15 五种代码执行时间检测 16 三种种进程信息结构检测 17 Inotify事件监控dump 1. IDA调试端口检测 原理: 调试器远程调试时
【APP逆向】动态调试so
ssrf
11-25 1959
文章目录一、IDA server安装1、把本地IDA server文件推送进手机目录2、进入手机shell3、修改权限运行server二、了解反调试策略三、反调试处理方法1、给app加上可调式权限2、检查flags中是否有应许debug项3、以调试模式启动APP APP此时会挂住4、以调试模式启动APP APP此时会挂住 一、IDA server安装 1、把本地IDA server文件推送进手机目录 adb push android_server(cpu型号要对应 模拟器是x86) /data/loc
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
从ELF文件格式到软件断点检测反调试技术
siphre
11-08 1027
前言 网上看到16年unlimit安全小组的反调试文章,写得非常详细还公布了源代码,遂研读了一下。为了看懂断点扫描反调试的那一节,我也把之前一直没弄明白的ELF文件格式弄明白了些。 软件断点检测原理 先说断点检测反调试的原理——“软件断点通过改写目标地址的头几字节为breakpoint指令,只需要遍历so中可执行segment,查找是否出现breakpoint指令“,如果出现breakpoi...
动态调试SO之在.init_array段下断点
随笔日志
03-12 5186
动态调试SO之在.init_array段下断点                                                                                                                                                                                
so反调试方法以及部分反反调试的方法
YenKoc的博客
11-26 194
1.检测ida远程调试所占的常用端口23946,是否被占用 //检测idaserver是否占用了23946端口 void CheckPort23946ByTcp() { FILE* pfile=NULL; char buf[0x1000]={0}; //执行命令 char* strCatTcp="cat /proc/net/tcp | grep :5D8A"; ...
Android 反调试so文件注入
lishihong
09-11 1624
关键代码: Thread t=new Thread(new Runnable() { @Override public void run() { while (true){ try { Thread.sleep(100); i...
IDA 逆向分析so有什么快速下断点,定位到核心功能的技巧
kikilos的博客
05-06 1651
在 IDA Pro 中,使用“字符串窗口”搜索所需的字符串。可以在字符串窗口中使用过滤器来限制搜索范围,例如只搜索包含特定关键字的字符串。查找到所需的字符串后,可以查看引用并跟踪代码流程,以找到相关的功能代码。如果在代码中发现了一个结构体,但不知道它的字段用途,可以使用结构体视图来查看和编辑结构体,以便更好地理解代码意图。在调试模式下,可以逐步执行代码,查看寄存器和内存中的值,并下断点来捕获关键代码执行。在 IDA Pro 中,使用“交叉引用窗口”查找函数被哪些地方调用,以快速找到关键功能。
动态调试so中init段下断点问题
专属酱油~~的专栏
07-16 2597
原文标题是:浅谈被加壳ELF的调试 http://ju.outofmemory.cn/entry/162541 原文标题:动态调试so在init_array处下断点 http://0nly3nd.sinaapp.com/?p=649 在ELF的调试中详细讲解调试过程,动态调试那个算是一个补充吧 0x00 ELF格式简介: 注:本文只讨论如
安卓的断点调试
TOMKUN的博客
03-21 5538
直销银行在更新了OCR的so库后出现了问题,OCR出现了闪退的情况,对于安卓我还是一知半解,外包方叫我加断点调试,我才发现连Andriod Studio的断点调试都不清楚,上网百度了些资料,此处下方资料来源于@DRPrincess1.在怀疑的代码上加上断点:2.点击debug调试3.程序执行到断点出就可以调试了4.断点按钮组选择直接执行到下一行代码,还是到方法里面一步步执行,我这里选择进入方法,是...
so库二进制兼容性检测
路人甲
10-18 2133
http://stackoverflow.com/questions/1970296/how-to-test-binary-compatibility-automatically v ABI Compliance Checker — a tool for checking backward API/ABI compatibility of a C/C++ lib
So 文件 反调试
最新发布
07-30
在Linux系统中,`.so`(共享对象)文件是动态链接库的一种形式,广泛用于程序运行时加载模块化代码。为了防止`.so`文件被逆向工程或调试,开发者通常会采用多种反调试技术。以下是一些常见的`.so`文件反调试技术及其原理和实现方式: ### 1. 检测`ptrace`调用 Linux下常用的调试器(如`gdb`)通过`ptrace`系统调用来实现对目标进程的控制。因此,检测是否已被调试的一种方式是尝试调用`ptrace(PTRACE_TRACEME, ...)`,如果返回错误,则说明进程已经被调试器附加。 ```c #include <sys/ptrace.h> if (ptrace(PTRACE_TRACEME, 0, 1, 0) == -1) { // 已被调试,执行反调试措施 exit(1); } ``` ### 2. 检查`/proc/self/status`中的`TracerPid` 在Linux中,如果一个进程被调试器附加,其`/proc/self/status`文件中的`TracerPid`字段将显示调试器进程的PID。通过读取并解析该文件可以检测是否被调试。 ```c #include <stdio.h> #include <stdlib.h> int is_debugger_present() { FILE *fp = fopen("/proc/self/status", "r"); if (!fp) return 0; char line[128]; while (fgets(line, sizeof(line), fp)) { if (strncmp(line, "TracerPid:", 10) == 0) { int pid = atoi(line + 10); fclose(fp); return pid != 0; } } fclose(fp); return 0; } ``` ### 3. 使用信号处理机制 某些调试器会拦截特定的信号(如`SIGTRAP`、`SIGSEGV`),导致程序行为异常。可以通过注册信号处理函数检测信号是否被异常处理。 ```c #include <signal.h> #include <stdio.h> #include <stdlib.h> void sigtrap_handler(int sig) { // 如果信号被正常处理,说明未被调试 printf("Signal %d received\n", sig); exit(0); } int main() { signal(SIGTRAP, sigtrap_handler); raise(SIGTRAP); // 触发陷阱 return 0; } ``` ### 4. 检测调试器符号 某些调试器会在内存中留下特定的符号或字符串,可以通过扫描内存来检测这些符号是否存在。例如,检查`/proc/self/maps`中是否包含`libgdb`、`gdb`等关键字。 ```c #include <stdio.h> #include <string.h> int detect_gdb() { FILE *fp = fopen("/proc/self/maps", "r"); if (!fp) return 0; char line[256]; while (fgets(line, sizeof(line), fp)) { if (strstr(line, "libgdb") || strstr(line, "gdb")) { fclose(fp); return 1; // 检测到GDB } } fclose(fp); return 0; } ``` ### 5. 检测调试器环境变量 某些调试器会在启动时设置特定的环境变量(如`LD_DEBUG`),可以通过检查这些环境变量是否存在来判断是否被调试。 ```c #include <stdlib.h> #include <stdio.h> int check_env_vars() { if (getenv("LD_DEBUG")) { return 1; // 可能被调试 } return 0; } ``` ### 6. 使用内联汇编检测调试器 通过内联汇编插入一些特殊指令(如`int3`),观察程序是否因断点异常而中断。如果程序未中断,则可能被调试器拦截。 ```c void check_debugger() { __asm__ volatile ( "int3\n\t" "jmp 1f\n\t" "1:\n\t" ); } ``` ### 7. 检测时间差异常 调试器通常会减慢程序执行速度,尤其是单步执行时。可以通过测量两个时间点之间的间隔来判断是否被调试。 ```c #include <time.h> #include <stdio.h> int detect_debugger_by_time() { clock_t start = clock(); // 执行一些简单操作 for (volatile int i = 0; i < 1000000; i++); clock_t end = clock(); double elapsed = (double)(end - start) / CLOCKS_PER_SEC; if (elapsed > 0.1) { return 1; // 超过预期时间,可能被调试 } return 0; } ``` ### 8. 检测调试器附加标志 某些系统提供了API来检测是否被调试。例如,在Android中,可以通过`isDebuggerConnected()`函数来判断调试器是否连接。 ```cpp static void Dalvik_dalvik_system_VMDebug_isDebuggerConnected(const u4* args, JValue* pResult) { UNUSED_PARAMETER(args); RETURN_BOOLEAN(dvmDbgIsDebuggerConnected()); } ``` ### 9. 修改ELF文件结构 通过对`.so`文件进行加密或混淆,使得调试器难以加载或解析其内容。可以在运行时解密并加载到内存中,避免静态分析。 ### 10. 使用反调试库 一些第三方库(如`libantidbg`)提供了完整的反调试功能,开发者可以直接集成到项目中,简化反调试逻辑的实现。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值