Android下反调试与反反调试

最新推荐文章于 2024-10-18 23:03:13 发布
原创 最新推荐文章于 2024-10-18 23:03:13 发布 · 2.1k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #逆向 #移动安全 #反调试 #内核修改

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

反调试检测

反调试检测的几种方式。

1. TrackerId

首先,通过 IDA Pro 的调试器附加到当前 app 进程
image.png
关于IDA Pro调试android app的详细教程可以参考这篇文章【使用IDA Pro动态调试Android APP

使用 top 命令查看进程状态

top | grep com.cyrus.example

17305 u0_a137      10 -10 4.8G 104M  42M t  0.0   1.8   0:02.02 com.cyrus.example

在输出中,S 表示进程状态,17305 是 PID。

通过head /proc/[pid]/status 可以查看详细的进程状态。

head -n 6 /proc/17305/status

Name:   m.cyrus.example
State:  S (sleeping)
Tgid:   17305
Pid:    17305
PPid:   728
TracerPid:      16208

TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。

2. stat

这时我们断点调试 app
image.png

再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。

head -n 6 /proc/17305/status

Name:   m.cyrus.example
State:  t (tracing stop)
Tgid:   17305
Pid:    17305
PPid:   728
TracerPid:      16208

在输出中,t (tracing stop) 表示 app 停止(被调试或其他暂停)

3. wchan

使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。

cat /proc/17305/wchan

ptrace_stop

在输出中,ptrace_stop 表示进程 17305 当前正在被调试器暂停,等待调试器发出的命令。

4. android app 反调试检测

在 Android app 中实现反调试检测

package com.cyrus.example.antidebug

import android.os.Bundle
import android.os.Debug
import android.util.Log
import android.widget.TextView
import androidx.appcompat.app.AppCompatActivity
import com.cyrus.example.R
import kotlinx.coroutines.CoroutineScope
import kotlinx.coroutines.Dispat
最低0.47元/天 解锁文章
CYRUS STUDIO
关注
Android 反调试攻防实战:多重检测手段解析内核级绕过方案
09-16 1445
TracerPid 检测通过读取 /proc/self/status,如果 TracerPid 不为 0,就说明当前进程正被调试器(如 gdb、lldb、IDA Pro)附加。stat 检测通过 /proc/self/stat 可以获取进程的运行状态,如果发现状态异常(如被调试中),就会触发保护逻辑。对 /proc/self/stat、/proc/self/wchan 的检测,同样可以在内核源码中找到对应实现,定制输出结果;在输出中,t (tracing stop) 表示 app 停止(被调试或其他暂停)
绕过反调试之_TracerPid
qq_34108752的博客
09-18 973
一:先操作下 手机端运行 EncryptDemo.apk 开启动态调试 adb push d:\as /data/local/tmp/as adb shell su chmod 777 /data/local/tmp/as /data/local/tmp/as //这里成功的话 cmd最后会显示 Listening on port #23946 adb forward tcp:23946 tcp...
安卓反调试-解决方案一
06-22
安卓反调试代码,通过定时检测程序是否被Trace,是则退出。主要学习“尼古拉斯.赵四”大师的博客,推荐一下:http://www.520monkey.com/
Android中的反调试代码
05-29
Android反调试案例Android反调试案例Android反调试案例Android反调试案例
安卓反调试实现
深耕安全技术研究
01-27 3143
不多说了,直接上源码,8种反调试方法。 1.//ptrace自己,使得android_server附加不上 void anti_debug01() { ptrace(PTRACE_TRACEME, 0, 0, 0); } 2.//检测Tracepid的值 void anti_debug02() { try { const int bufsize = 1024; char filename[bufsize]; char line[bufsize]; int pid = getpid(); sprintf(fi
Android反调试方法总结以及源码实现之检测篇(一)
热门推荐
雪一梦的博客
03-09 2万+
好久没有更新博客了,主要是忙项目的事,今日总结一下在Android中常遇到的反调试方法,一来帮助需要之人,二来加深自己的理解。 反调试在代码保护中扮演着很重要的角色,虽然不能完全阻止攻击者,但是还是能加大攻击者的时间成本,一般加壳结合使用,核心还是加壳部分。 反调试可以分为两类:一类是检测,另一类是攻击,前者是去想各种办法去检测程序是否在被调试,如果正在被调试的话做出一些“反”的举措,比
9种android安卓反调试手段代码实现(附详细代码).pdf
11-26
9种方法实现Android反调试并有详细的代码实现。包括动态和静态反调试。对于不同的方法给出了优缺点,可以选择合适的自己的反调试手段 只有知道反调试是怎么实现的才能更好的过反调试Android逆向必备
Android安卓安全加固反调试检测手段(java层+native层)(附代码实现).pdf
11-25
本文档详细介绍了在Android平台下,如何通过Java层和native层的多种手段来进行反调试检测。这些技术可以帮助开发者保护自己的应用不被轻易分析和破解,对于Android安卓逆向安全研究者来说具有很高的借鉴意义。通过...
Android 下通过触发 SIGTRAP 信号实现反调试
最新发布
10-18 1331
此外,Linux 还支持实时信号(Real-Time Signals),编号从 32 开始,通常是用于用户自定义的信号,应用程序可根据需要使用这些信号。首先,我们在 C 代码中编写反调试逻辑,核心是通过 raise(SIGTRAP) 触发 SIGTRAP 信号,并判断信号是否被捕获。如果一个程序主动触发 SIGTRAP 信号,并且信号处理函数被成功调用,则意味着没有调试器存在,因为信号并未被拦截。反之,如果信号处理函数没有被调用,则意味着调试器捕获并处理了该信号,从而可以推测出程序正处于被调试状态。
Android代码保护反调试方案
IT从业者,生活精致一点,工作认真一点!
12-21 1420
Android代码保护反调试方案
android反调试方法,Android 中的反调试技术
weixin_28358083的博客
05-26 289
比较简单的有下面这两种调试端口检测, 23946(0x5D8A)Demo:void CheckPort23946ByTcp(){FILE* pfile=NULL;char buf[0x1000]={0};// 执行命令char* strCatTcp= "cat /proc/net/tcp |grep :5D8A";//char* strNetstat="netstat |grep :23946";...
Android 反动态调试
05-07
Android 检查动态调试 最近项目中,三方安全报告中一直存在动态调试检测的高危漏洞。经过多次探索研究,参考了网上不少示例,集大家所成,研究在Android studio 3.0以上,可以使用的示例代码。
Android逆向-基础实践 (六) 反调试
shuwangyong的专栏
06-23 763
反制手段1.算法助手、对话框取消等插件一键hook2.分析具体的检测代码3.利用IO重定向使文件不可读4.修改Andoird源码,去除常见指纹定义了一个和。方法检查设备的build tags是否包含test-keys。这通常是用于测试的设备,因此如果检测到这个标记,则可以认为设备已被 root。方法检查设备是否存在一些特定的文件,这些文件通常被用于执行 root 操作。如果检测到这些文件,则可以认为设备已被 root。方法使用方法来执行which su命令,然后检查命令的输出是否不为空。
android逆向之-反调试
u013346208的博客
02-14 1895
一.检测特定文件 通过文件监测方式,检测android_server文件 问题:文件名可以更改 二.监测调试端口 1.通过adb shell->su>cat /proc/net/tcp 2.默认端口23946转换成16进制,查看上一步结果是否包含对应的16进制 问题:端口号可以更改 三.进程信息监测 类似文件名检测 四.TraceerPid监测 1.proc/%d/status,传入pid,读取到进程 2.进行TraceerPid,TraceerPid长度进行比较 五.防附加检测 原理:IDA调
Android反调试检测
re_psyche的博客
09-07 2918
java层保护 1 代码混淆 apk应用在被逆向分析时,java层代码就像被扒光一样,而native代码分析难度大,但是需要扎实的c/c++基础。这个时候大家就可以考虑一下代码混淆技术稍作保护(毕竟看着好多abc也挺烦的)。Android开发中提供了Proguard这一工具来进行代码混淆。 这里只做简单介绍,Proguard是一个开源项目,他能够对Java类中的代码进行压缩(Shrink),优化(...
Android反调试总结
u010725842的专栏
05-01 1628
反调试可以分两类:一类是检测,另一类是攻击。 前者:是去想各种办法去检测程序是否在被调试,如果正在被调试的话做出一些”返”的举措,比如退出(这里的退出不是一个万全之策,因为容易暴露反调试的位置点,更好的是想办法不让攻击者发现,并且跳到另一个位置,让攻击者懵逼)等等; 后者:是采用攻击的方法,就是想办法让调试器不能正常工作或者是让调试器崩溃,从而阻止它。 1.一种进程最多只能被一个进程pt...
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
180716 安卓-防护基本策略(反调试
whklhhhh的博客
07-18 386
java层 Dalvik虚拟机没有提供反调试的方法,但是可以通过反射方法来使得方法的调用变得扑朔迷离 动态获取类是更进阶的方法,通过一些解密计算等操作来得到类,可以使得动态调试较为困难 native层 Native层实质上就是Linux程序,因此反调试手段也跟Linux下的反调试基本相同 主要还是alarm, ptraceme, tracepid等常见手段 具体描述在前几天的Lin...
Android 中的反调试技术
weixin_30892987的博客
07-15 337
比较简单的有下面这两种 调试端口检测, 23946(0x5D8A) Demo: void CheckPort23946ByTcp() { FILE* pfile=NULL; char buf[0x1000]={0}; // 执行命令 char* strCatTcp= "cat /proc/net/tcp |grep :5D8A"; //char* ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值