so中函数断点的的反调试检测

最新推荐文章于 2025-06-19 17:19:32 发布
最新推荐文章于 2025-06-19 17:19:32 发布
阅读量727 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 安全 java' 安卓逆向 文章标签: android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c_kongfei/article/details/119417668
本文介绍了如何通过计算函数指令的hash值校验和搜索bkpt指令来检测apk应用中的函数是否被修改或设置了软件断点。在函数体中,如果检测到bkpt指令,说明可能被下断点。代码示例展示了针对ARM和Thumb模式的检查方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

反调试简介

在apk应用的so文件中函数的指令都是固定,但是如果被下了软件断点,指令就会发生改变(断点地址被改写为bkpt断点指令),可以计算内存中一段指令的hash值进行校验,检测函数是否被修改或被下断点。

实现原理

当我们程序中的函数被下软件断点,则断点地址会被改写为bkpt指令, 可以在函数体中搜索bkpt指令来检测软件断电。

代码实现



/*参数1:函数首地址 
参数2:函数size
*/

typedef uint8_t u8;
typedef uint32_t u32;

int checkFuncbkpt(u8* addr,u32 size)
{


u32 uRet=0;

// 定义的断点指令
// u8 armBkpt[4]={0xf0,0x01,0xf0,0xe7};
// u8 thumbBkpt[2]={0x10,0xde};

u8 armBkpt[4]={0};
armBkpt[0]=0xf0;
armBkpt[1]=0x01;
armBkpt[2]=0xf0;
armBkpt[3]=0xe7;

u8 thumbBkpt[2]={0};

thumbBkpt[0]=0x10;

thumbBkpt[1]=0xde;

// 判断模式
int mode=(u32)addr%2;
if(1==mode) 
{

LOGA("checkbkpt:(thumb mode)该地址为thumb模式\n");

u8* start=(u8*)((u32)addr-1);
u8* end=(u8*)((u32)start+size);

// 循环遍历对比
while(1)

{

if(start >= end) {

uRet=0;
LOGA("checkbkpt:(no find bkpt)没有发现断点.\n");
break;

}

if( 0==memcmp(start,thumbBkpt,2) )
{
uRet=1;
LOGA("checkbkpt:(find it)发现断点.\n");

break;

}

start=start+2;

}//while

}//if

else
{

LOGA("checkbkpt:(arm mode)该地址为arm模式\n");

u8* start=(u8*)addr;

u8* end=(u8*)((u32)start+size);

// 遍历对比

while(1){

if (start >= end) {

uRet = 0;

LOGA("checkbkpt:(no find)没有发现断点.\n");

break;

}

if (0 == memcmp(start,armBkpt , 4)){

uRet = 1;

LOGA("checkbkpt:(find it)发现断点.\n");

break;

}

start = start + 4;

}//while

}//else

return 1;

}
在JNI_onload函数处下断点避开针对IDA的反调试
武天旭的博客
10-03 1327
一、在JNI_onload函数处下断点避开针对IDA的反调试 为了防止apk中的so文件被动态调试,开发者往往会使用一些反调试手段来干扰黑客的动态调试。其中最常见的就是在so文件检测TracerPid值。通过在JNI_onload下断点即可避开反调试。 二、反调试原理 1、ptrace:是系统调用的一个方法
ANDROID调试检测技术汇编
抚琴
02-06 1416
ANDROID调试检测技术汇编 1 调试器调试端口 2 调试器进程名 3 父进程名检测 4 自身进程名检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 14 利用IDA解析缺陷反调试 15 五种代码执行时间检测 16 三种种进程信息结构检测 17 Inotify事件监控dump 1. IDA调试端口检测 原理: 调试器远程调试时
从ELF文件格式到软件断点检测反调试技术
siphre
11-08 995
前言 网上看到16年unlimit安全小组的反调试文章,写得非常详细还公布了源代码,遂研读了一下。为了看懂断点扫描反调试的那一节,我也把之前一直没弄明白的ELF文件格式弄明白了些。 软件断点检测原理 先说断点检测反调试的原理——“软件断点通过改写目标地址的头几字节为breakpoint指令,只需要遍历so中可执行segment,查找是否出现breakpoint指令“,如果出现breakpoi...
反调试检测函数是否被下断点检测 CC 断点
VI___
05-05 1055
以简单的 MessageBoxA 来举例: FARPORC Uaddr; BYTE Mark = 0; (FARPORC&)Uaddr = GetProcAddress( LoadLibrary("user32.dll"), "MessageBoxA"); Mark = *((BYTE*)Uaddr); if (Mark == 0xCC) { ...
libmsaoaidsec.so检测
2503_90751938的博客
06-19 652
还有种可能,是对/proc/self/task/tid/status 中的Name有检测,可能会有线程名有问题,所以我有打印出了每个task的Name ,没有任何发现,里面的名字没有什么问题,和正常情况下的名字差不多,没有frida 和其他异常的名称。开始我是想看看程序是在哪里退出的,通过strace,发现app对/proc/self/status 和 /proc/self/task/<tid>/status 、/proc/self/map 等都有检测。经过指令和IDA中的对应方法对比,在IDA中有存在。
Android so反调试
厚积薄发,持之以恒
08-28 1138
原理 在Android系统中,如果进程处于调试状态,/proc/进程pid/status (等同于/proc/self/status)文件中的tracePid不为0,所以只要在加载so的时候,读取status文件,若tracePid不为0,则说明进程处于调试状态。 status文件分析 Name: sh State: R (running) Tgid: 23809 Pid: 23809 PPid: 195 TracerPid: 0 Uid: 0 0
动态调试SO之在.init_array段下断点
随笔日志
03-12 5155
动态调试SO之在.init_array段下断点                                                                                                                                                                                
so反调试方法以及部分反反调试的方法
YenKoc的博客
11-26 153
1.检测ida远程调试所占的常用端口23946,是否被占用 //检测idaserver是否占用了23946端口 void CheckPort23946ByTcp() { FILE* pfile=NULL; char buf[0x1000]={0}; //执行命令 char* strCatTcp="cat /proc/net/tcp | grep :5D8A"; ...
Android安卓安全加固反调试检测手段(java层+native层)(附代码实现).pdf
11-25
### Android安卓安全加固反调试检测手段 #### 1. Java层保护 ##### 1.1 代码混淆 在Android应用开发中,java层的代码如果被逆向分析,将变得一览无遗。为了保护代码不被轻易分析,可以使用代码混淆技术。Android...
安卓逆向_20 --- 模拟器检测反调试检测、ELF动态调试、__libc_init 下断
墨鱼菜鸡
07-11 1587
From(模拟器检测实战分析 ):https://www.bilibili.com/video/BV1UE411A7rW?p=65 怎样过 app 的模拟器检测:https://bbs.pediy.com/thread-249759.htm Android 模拟器如何不被检测思路:https://bbs.pediy.com/thread-22705...
iOS应用反调试技术之静态反调试检测
本文将从iOS应用调试与反调试的基础知识入手,讨论静态反调试检测作为一种重要的防护手段,并着重介绍静态反调试检测的原理、实际应用、改进与优化,最终探讨iOS应用反调试技术的未来发展方向。 在介绍各个章节的...
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
Android 反调试so文件注入
lishihong
09-11 1595
关键代码: Thread t=new Thread(new Runnable() { @Override public void run() { while (true){ try { Thread.sleep(100); i...
IDA 逆向分析so有什么快速下断点,定位到核心功能的技巧
kikilos的博客
05-06 1571
在 IDA Pro 中,使用“字符串窗口”搜索所需的字符串。可以在字符串窗口中使用过滤器来限制搜索范围,例如只搜索包含特定关键字的字符串。查找到所需的字符串后,可以查看引用并跟踪代码流程,以找到相关的功能代码。如果在代码中发现了一个结构体,但不知道它的字段用途,可以使用结构体视图来查看和编辑结构体,以便更好地理解代码意图。在调试模式下,可以逐步执行代码,查看寄存器和内存中的值,并下断点来捕获关键代码执行。在 IDA Pro 中,使用“交叉引用窗口”查找函数被哪些地方调用,以快速找到关键功能。
动态调试so中init段下断点问题
专属酱油~~的专栏
07-16 2575
原文标题是:浅谈被加壳ELF的调试 http://ju.outofmemory.cn/entry/162541 原文标题:动态调试so在init_array处下断点 http://0nly3nd.sinaapp.com/?p=649 在ELF的调试中详细讲解调试过程,动态调试那个算是一个补充吧 0x00 ELF格式简介: 注:本文只讨论如
安卓的断点调试
TOMKUN的博客
03-21 5460
直销银行在更新了OCR的so库后出现了问题,OCR出现了闪退的情况,对于安卓我还是一知半解,外包方叫我加断点调试,我才发现连Andriod Studio的断点调试都不清楚,上网百度了些资料,此处下方资料来源于@DRPrincess1.在怀疑的代码上加上断点:2.点击debug调试3.程序执行到断点出就可以调试了4.断点按钮组选择直接执行到下一行代码,还是到方法里面一步步执行,我这里选择进入方法,是...
so库二进制兼容性检测
路人甲
10-18 2024
http://stackoverflow.com/questions/1970296/how-to-test-binary-compatibility-automatically v ABI Compliance Checker — a tool for checking backward API/ABI compatibility of a C/C++ lib
【移动安全】so动态调试对抗反编译及反调试
Walter的专栏
11-09 9595
环境配置 1、设置JDK环境变量后需要修改JEB的配置脚本jeb_wincon.bat rem Prefer a JDK over a JRE, which allows support for JEB native Java plugins if defined JAVA_HOME (set base=”d:\Program Files\Java\jdk1.8.0_65\bin”) else
ida android so 断点,IDA调试 Android so文件的10个技巧
weixin_36221923的博客
05-25 1038
Android调试过程中,经常会遇到一些小问题以及解决的方法分享给大家,抛砖引玉。1、使用模拟器调试可能经常遇到异常,然后就进行不下去了,最好换成手机。2、即使用手机时,也可能会遇到异常造成单步或RUN卡死在一条指令上的问题。这样可以手动的执行这条指令,然后将PC指针设置成为下一条指令位置,开始执行。3、IDA多线程调试方法在IDA中如果已经启动了多个线程,并且设置在多个线程设置断点后,此时单步...
linux反调试
最新发布
07-10
在Linux系统中,实现反调试技术通常涉及利用操作系统提供的机制来检测或阻止调试器的附加。以下是一些常见的反调试技术及其具体实现方法: ### 1. 使用 `ptrace` 检测调试器 `ptrace` 是 Linux 提供的一个系统调用,用于进程跟踪和调试。程序可以通过调用 `ptrace(PTRACE_TRACEME, ...)` 来检查是否已经被调试器附加。如果返回值为 `-1` 并且 `errno` 设置为 `EPERM`,则表示当前进程已经被调试器附加。 ```c #include <sys/ptrace.h> #include <stdio.h> #include <errno.h> int is_debugger_present() { if (ptrace(PTRACE_TRACEME, 0, NULL, 0) == -1) { if (errno == EPERM) { printf("Debugger detected!\n"); return 1; } else { printf("Not being debugged.\n"); return 0; } } ptrace(PTRACE_DETACH, 0, NULL, 0); return 0; } ``` 此方法可以有效防止简单的调试行为[^1]。 --- ### 2. 利用 `/proc/self/status` 文件检测调试状态 每个进程的状态信息都可以在 `/proc/self/status` 文件中找到,其中包含 `TracerPid` 字段。如果该字段的值不为零,则表示当前进程正在被调试器附加。 ```bash cat /proc/self/status | grep TracerPid ``` 通过读取该文件并解析 `TracerPid` 的值,可以判断当前进程是否处于调试状态。例如: ```python def check_tracer_pid(): with open("/proc/self/status") as f: for line in f: if "TracerPid:" in line: tracer_pid = int(line.strip().split()[1]) if tracer_pid != 0: print(f"Debugger detected! TracerPid: {tracer_pid}") return True else: print("No debugger detected.") return False return False ``` 这种方法适用于不需要修改代码的情况下进行快速检测[^2]。 --- ### 3. 监控 `/proc/pid/maps` 和 `/proc/pid/mem` 文件 某些调试工具(如 `gdb`)会通过读取 `/proc/pid/maps` 或写入 `/proc/pid/mem` 来访问目标进程的内存。可以通过监控这些文件的操作来实现反调试功能。 #### 使用 `inotify` 实现文件监控 `inotify` 是 Linux 内核提供的一种文件系统事件通知机制,可用于监控特定文件的变化。以下是一个使用 `inotify` 监控 `/proc/pid/maps` 文件的示例: ```c #include <sys/inotify.h> #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <fcntl.h> #include <string.h> #define EVENT_SIZE (sizeof(struct inotify_event)) #define BUF_LEN (1024 * (EVENT_SIZE + 16)) int main() { int fd, wd; char buffer[BUF_LEN]; fd = inotify_init(); if (fd < 0) { perror("inotify_init"); exit(EXIT_FAILURE); } // 假设要监控的进程 PID 为 1234 char path[256]; snprintf(path, sizeof(path), "/proc/1234/maps"); wd = inotify_add_watch(fd, path, IN_ACCESS | IN_MODIFY); if (wd < 0) { perror("inotify_add_watch"); exit(EXIT_FAILURE); } while (1) { int length = read(fd, buffer, BUF_LEN); if (length < 0) { perror("read"); exit(EXIT_FAILURE); } struct inotify_event *event = (struct inotify_event *)buffer; for (int i = 0; i < length; ) { event = (struct inotify_event *)((char *)buffer + i); if (event->mask & IN_ACCESS) { printf("File %s was accessed.\n", event->name); } if (event->mask & IN_MODIFY) { printf("File %s was modified.\n", event->name); } i += EVENT_SIZE + event->len; } } inotify_rm_watch(fd, wd); close(fd); return 0; } ``` 通过这种方式,可以在检测到对关键文件的访问时采取相应的防护措施[^2]。 --- ### 4. 使用信号处理机制干扰调试器 调试器通常会拦截某些信号(如 `SIGTRAP`、`SIGINT` 等),因此可以通过自定义信号处理器来干扰调试器的行为。例如,可以注册一个 `SIGTRAP` 处理函数,并在其内部执行异常操作或终止程序。 ```c #include <signal.h> #include <stdio.h> #include <stdlib.h> void sigtrap_handler(int signum) { printf("SIGTRAP received. Exiting...\n"); exit(EXIT_FAILURE); } int main() { signal(SIGTRAP, sigtrap_handler); raise(SIGTRAP); // 触发 SIGTRAP 信号 return 0; } ``` 当调试器尝试设置断点时,可能会触发 `SIGTRAP` 信号,从而导致程序提前退出[^3]。 --- ### 5. 使用 `LD_PRELOAD` 技术劫持调试器相关函数 `LD_PRELOAD` 允许用户在运行时动态加载共享库,覆盖默认的库函数。可以利用这一特性劫持与调试相关的函数(如 `ptrace`),并在其中插入反调试逻辑。 例如,创建一个名为 `anti_debug.c` 的文件: ```c #define _GNU_SOURCE #include <dlfcn.h> #include <sys/ptrace.h> #include <stdio.h> int ptrace(int request, pid_t pid, void *addr, void *data) { static int (*real_ptrace)(int, pid_t, void *, void *) = NULL; if (!real_ptrace) { real_ptrace = dlsym(RTLD_NEXT, "ptrace"); } if (request == PTRACE_TRACEME) { printf("Anti-debug: Blocking PTRACE_TRACEME\n"); return -1; // 阻止调试器附加 } return real_ptrace(request, pid, addr, data); } ``` 编译并运行该库: ```bash gcc -shared -fPIC -o libanti_debug.so anti_debug.c -ldl LD_PRELOAD=./libanti_debug.so ./your_program ``` 通过这种方式,可以有效地阻止调试器对 `ptrace` 的调用[^3]。 --- ### 6. 使用 `seccomp` 过滤系统调用 `seccomp` 是 Linux 提供的一种安全机制,允许应用程序限制其能够使用的系统调用。可以通过配置 `seccomp` 规则来禁止 `ptrace` 调用,从而防止调试器附加。 ```c #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <sys/prctl.h> #include <sys/syscall.h> #include <unistd.h> #include <stdio.h> int main() { struct sock_filter filter[] = { // Load architecture BPF_STMT(BPF_LD | BPF_W | BPF_ABS, offsetof(struct seccomp_data, arch)), BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, AUDIT_ARCH_X86_64, 0, 7), // Load syscall number BPF_STMT(BPF_LD | BPF_W | BPF_ABS, offsetof(struct seccomp_data, syscall)), // Allow all syscalls except ptrace BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, SYS_ptrace, 0, 1), BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ERRNO | (EPERM << 16)), // Block ptrace BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW), // Allow others // Default action: kill the process BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_KILL) }; struct sock_fprog prog = { .len = (unsigned short)(sizeof(filter) / sizeof(filter[0])), .filter = filter, }; prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog); printf("Seccomp filter applied. Try to attach a debugger...\n"); sleep(10); // 给调试器时间附加 return 0; } ``` 此方法可以有效阻止调试器通过 `ptrace` 附加到目标进程[^3]。 --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值