云守护的专栏

转自：http://rk700.github.io/2017/03/15/virtualapp-basic/VirtualApp是一个开源的Android App虚拟化引擎，允许在其中创建虚拟空间，并在这个虚拟空间中运行其他应用。通过阅读源码及动态调试，基本了解了其运行原理，在此记录。本质Android应用隔离是基于Linux系统的多用户机制实现的，即每个应用在安装

转自：http://www.freebuf.com/articles/terminal/80996.html0×00、前言Android应用的加固和对抗不断升级，单纯的静态加固效果已无法满足需求，所以出现了隐藏方法加固，运行时动态恢复和反调试等方法来对抗，本文通过实例来分析有哪些对抗和反调试手段。0×01、对抗反编译首先使用apktool进行反编译，发现该应用使

0x00 前言Frida是一款基于python + javascript 的hook框架，通杀android\ios\linux\win\osx等各平台，由于是基于脚本的交互，因此相比xposed和substrace cydia更加便捷，本文重点介绍Frida在android下面的使用。Frida的官网为：http://www.frida.re/https://www.

Gdb调试注意：在Gcc编译选项中一定要加入 –ggcc -g -o debug debug.c1.启动调试前置条件：编译生成执行码时带上 -g，如果使用Makefile，通过给CFLAGS指定-g选项，否则调试时没有符号信息。gdb program //最常用的用gdb启动程序，开始调试的方式gdb program core //用gdb查看core dump

转自：http://www.oenhan.com/gdb-principlegdb主要功能的实现依赖于一个系统函数ptrace，通过man手册可以了解到，ptrace可以让父进程观察和控制其子进程的检查、执行，改变其寄存器和内存的内容，主要应用于打断点（也是gdb的主要功能）和打印系统调用轨迹。一、ptrace函数函数原型如下：

转自：https://my.oschina.net/cve2015/blog/7343811）代码执行时间检测通过取系统时间，检测关键代码执行耗时，检测单步调试，类似函数有：time,gettimeofday,clock_gettime.也可以直接使用汇编指令RDTSC读取，但测试ARM64有兼容问题。time_t t1, t2;time (&t1);/* Parts

转自：http://www.freebuf.com/sectool/83509.htmlELF(Executable and Linkable Format)是Unix及类Unix系统下可执行文件、共享库等二进制文件标准格式。为了提高动态分析的难度，我们往往需要对ELF文件增加反调试措施。本文便对相关技术进行了总结归纳。1.背景知识1.1 ELF文件布局ELF文

转自：http://bbs.pediy.com/thread-207538.htm逆向修改手机内核，绕过反调试Android应用反调试里最常用的一种反调试方法是查看/proc/self/status的信息，如果TracerPid不为0，就判断为正在被调试。如果自己拥有内核源码，就可以自己编译生成zImage去替换内核就能正常运行了，但可惜的是，很多手机的内核都不开源，为此只能自己去逆向