Android 反调试攻防实战:多重检测手段解析与内核级绕过方案

原创 于 2025-09-16 15:10:18 发布 · 1.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #逆向 #安卓逆向 #移动安全 #c++ #c语言

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

常见的反调试手段

在 Android 安全对抗中,反调试 几乎是 App 的标配。开发者往往会在关键逻辑中加入各种检测手段,只要发现进程被调试,就立即崩溃或退出,从而大幅增加逆向人员分析的难度。

常见的反调试手段包括:

  • TracerPid 检测通过读取 /proc/self/status,如果 TracerPid 不为 0,就说明当前进程正被调试器(如 gdb、lldb、IDA Pro)附加。这是最常见的调试检测方式之一。

  • stat 检测通过 /proc/self/stat 可以获取进程的运行状态,如果发现状态异常(如被调试中),就会触发保护逻辑。

  • wchan 检测读取 /proc/self/wchan,检查线程当前在内核中的等待状态。如果检测到线程因调试而阻塞,就会触发异常处理。

1. TrackerId

首先,通过 IDA Pro 的调试器附加到当前 app 进程

word/media/image1.png

相关文章:静态分析根本不够!IDA Pro 动态调试 Android 应用的完整实战

使用 top 命令查看进程状态

top | grep com.cyrus.example

17305 u0_a137      10 -10 4.8G 104M  42M t  0.0   1.8   0:02.02 com.cyrus.example

在输出中,S 表示进程状态,17305 是 PID。

通过head /proc/[pid]/status 可以查看详细的进程状态。

head -n 6 /proc/17305/status

Name:   m.cyrus.example
State:  S (sleeping)
Tgid:   17305
Pid:    17305
PPid:   728
TracerPid:      16208

TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。

2. stat

这时我们断点调试 app

word/media/image2.png

再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。

head -n 6 /proc/17305/status

Name:   m.cyrus.example
State:  t (tracing stop)
Tgid:   17305
Pid:    17305
PPid:   728
TracerPid:      16208

在输出中,t (tracing stop) 表示 app 停止(被调试或其他暂停)

3. wchan

使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。

cat /proc/17305/wchan

ptrace_stop

在输出中,ptrace_stop 表示进程 17305 当前正在被调试器暂停,等待调试器发出的命令。

Android 中实现反调试检测

Android App 中如何实现这些反调试检测的?

实际上,绝大多数方法都离不开 /proc 文件系统

  • /proc/self/status 提供了 TracerPid 字段,用于判断进程是否被调试;

  • /proc/self/stat 记录了进程的详细运行状态;

  • /proc

最低0.47元/天 解锁文章
CYRUS STUDIO
关注
反爬虫攻防实战:IP代理池+请求指纹伪装突破知乎封禁
专注于Python爬虫开发,分享爬虫技巧、项目实战与反爬经验,使用Scrapy、BeautifulSoup等工具,解决数据抓取难题。
07-23 1854
本文介绍了突破知乎反爬虫机制的几种关键技术,包括IP代理池和请求指纹伪装。通过分析知乎的IP限制、请求识别、验证码等防护手段,提出使用随机代理IP、更换User-Agent、伪造Referer和Cookie等方法来模拟正常用户请求。文章还提供了Python代码示例,展示如何结合代理池和请求头伪装实现数据抓取,并建议通过控制请求频率和验证码识别来进一步提高成功率。这些技术组合可以有效绕过知乎的反爬虫系统,实现稳定可靠的数据采集。
一个android反调试的学习
trap0D的专栏
05-13 3054
前言初学android逆向调试,用阿里上次的比赛练练手,第二题就是一个包含android反调试机制的题目,于是仔细调试分析了一下其反调试的原理,记录下来。 调试方法这个apk核心功能在so文件中实现,于是试图动态调试so文件,在关键函数下断点之后,attach,F9,程序直接就退出了,经过一番搜索,找到一种调试方法。启动android中的程序 adb shell am start -D -n com
解密所有APP运行过程中的内部逻辑(转)
weixin_30702887的博客
12-19 402
转贴地址:http://www.freebuf.com/tools/54562.html 0×01前言 这年头,apk 全都是加密啊,加壳啊,反调试啊,小伙伴们表示已经不能愉快的玩耍了。静态分析越来越不靠谱了,apktool、ApkIDE、jd GUI、dex2jar等已经无法满足大家的需求了。那么问题就来了,小伙伴们真正需要的是什么?好的,大家一起呐喊出你...
静态分析反调试apk
本人随手记录,内容只是个人看懂程度,对内容有任何疑问请勿打扰
01-31 631
在进入本节课之前我先问你一个问题 什么是反调试? 答:反调试技术是为了保护自己程序的代码不被逆向。增加逆向分析的难度 防止程序被破解, 针对动态分析。 要么学!要么不学!学和不学之间没有中间值 不学就放弃,学就要去认真的学! --致选择 分析环境:JEB2.2.7+IDA7.0 测试手机:nexus IDA7.0下载链接 链接:https://pan.baidu.com/s/1xEtjnTVZFuLiMpHKwMOY2Q 密码:g3v9 前言 测试一:首先拿到反调试挑战.apk 安装后直接运行,这里
《教我兄弟学Android逆向10 静态分析反调试apk》
会飞的丑小鸭的博客
06-11 3189
上一篇《教我兄弟学Android逆向09 IDA动态破解登陆验证》我带你分析了黑宝宝.apk,并且用IDA动态调试破解了登陆验证 看上节课你学习的不错 这节课给你带来的是过反调试的教程在进入本节课之前我先问你一个问题什么是反调试?答:反调试技术是为了保护自己程序的代码。增加逆向分析的难度 防止程序被破解, 针对动态分析。要么学!要么不学!学和不学之间没有中间值 不学就放弃,学就要去认真的学!...
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
热门推荐
arr的博客
01-06 1万+
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Python爬虫攻防实战:异步并发AI反爬识别全解析
专注于Python爬虫开发,分享爬虫技巧、项目实战与反爬经验,使用Scrapy、BeautifulSoup等工具,解决数据抓取难题。
07-16 1531
然而,随着爬虫技术的普及,越来越多的网站和平台开始加强其反爬措施,以阻止爬虫程序从其网站获取数据。本文将深入剖析如何在 Python 中结合这两种技术,构建一个高效且具备反反爬能力的爬虫系统,带你一步步解密当前爬虫攻防战中的先进技巧。,我们不仅能够提高爬虫效率,还能增强其应对反爬措施的能力。随着技术的不断发展,未来的爬虫系统将更加智能、灵活,我们需要不断适应和创新,才能在复杂的爬虫攻防战中立于不败之地。爬虫反爬机制之间的攻防博弈日益复杂,传统的爬虫方法已经无法应对高频、动态、反爬严重的现代网页。
网络安全基于Ubuntu的网络钓鱼攻防演练方案设计:钓鱼邮件仿冒网站技术实现及绕过检测方法研究
最新发布
10-27
②研究钓鱼攻击全链条技术实现绕过手段;③提升对SPF绕过、宏病毒免杀、域名克隆等高级攻击的认知防御能力;; 阅读建议:此文档涉及真实攻击技术和敏感操作,应在合法授权范围内使用,严格按照合规流程执行,...
精选资源
Android安全攻防指南_硬件层的攻击_编程案例解析实例详解课程教程.pdf
05-05
Android安全攻防指南》一书中,硬件层的攻击部分主要探讨了在Android系统广泛应用的背景下,如何针对各种嵌入式设备的硬件进行攻击和逆向工程。Android因其可移植性、灵活性和开放性,成为了嵌入式设备操作系统中...
android逆向之-反调试
u013346208的博客
02-14 1895
一.检测特定文件 通过文件监测方式,检测android_server文件 问题:文件名可以更改 二.监测调试端口 1.通过adb shell->su>cat /proc/net/tcp 2.默认端口23946转换成16进制,查看上一步结果是否包含对应的16进制 问题:端口号可以更改 三.进程信息监测 类似文件名检测 四.TraceerPid监测 1.proc/%d/status,传入pid,读取到进程 2.进行TraceerPid,TraceerPid长度进行比较 五.防附加检测 原理:IDA调
安卓逆向反调试汇总
contrary_的博客
04-28 1566
给大家介绍一下反调试汇总的原理及实现方式,以及各种反调试的扩展 反调试汇总: 针对于一些大型apk 反调试不一定是让你不能调试 -> 让你得到一个错误的结果 逆向某一个算法 传参 中间会根据一些数据运算 如果检测反调试 计算错误 **1.IDA调试端口检测** 监测android_server文件端口信息 默认的23946(5D8A) 更改端口 31927 -> 过掉此反调试 **2.调试器进程名检测** 监测android_server gdbserver gdb等进程
Android逆向-基础实践 (六) 反调试
shuwangyong的专栏
06-23 763
反制手段1.算法助手、对话框取消等插件一键hook2.分析具体的检测代码3.利用IO重定向使文件不可读4.修改Andoird源码,去除常见指纹定义了一个和。方法检查设备的build tags是否包含test-keys。这通常是用于测试的设备,因此如果检测到这个标记,则可以认为设备已被 root。方法检查设备是否存在一些特定的文件,这些文件通常被用于执行 root 操作。如果检测到这些文件,则可以认为设备已被 root。方法使用方法来执行which su命令,然后检查命令的输出是否不为空。
[安卓逆向]常见调试和反调试及解决方案
杰孑的博客
04-09 4162
我们在逆向软件时难免会遇到一些反调试策略,这篇文章就来详细总结下,现阶段比较流行的几种反调试策略及解决方案
Android反调试反调试
09-19 2172
TracerPid: 16208 说明当前的进程正在被进程 16208 调试或跟踪,否则没有被调试值应该为0。使用 cat 命令查看 /proc/[pid]/wchan 文件,该文件显示进程当前正在等待的内核函数。再通过 head /proc/[pid]/status 可以查看详细的进程状态,包括是否被调试等信息。在输出中,ptrace_stop 表示进程 17305 当前正在调试器暂停,等待调试器发出的命令。通过head /proc/[pid]/status 可以查看详细的进程状态。
Linux服务器查看内存使用情况
爱琴孩的博客
09-28 1455
前言 在日常开发或者生产环境,我们经常需要查看linux服务的内存使用情况,所以能熟练敲出命令能便于我们快速定位问题,这里来和大家一起学习linux的常用查看内存命令。 free命令 free命令显示系统使用和空闲的内存情况,包括物理内存、交互区内存(swap)和内核缓冲区内存。 很清晰明白的显示出了总内存多少,已使用多少,还剩下多少。这里可以看到Swap的used已使用了811Mb,服务器上跑了一个下载音频的进程,物理内存已经不够用了,所以从磁盘中虚拟出一部分的内存。当然我们可以使用free.
一文实现通过系统底层对抗反调试检测
dzqxwzoe的博客
02-18 320
安卓的native下,是运用醉倒的反调试方案是通过读取进程的status或stat来检测tracepid,它主要原理是调试状态下的进程tracepid不为0。对于这种调试检测手段,因为android系统是开源的,所以最彻底的绕过方式就是修改系统源码后重新编译,让tracepid永远为0。对抗这种bypass手段,我们可以创建一个子进程,让子进程主动ptrace自身设为调试状态,此时正常情况下,子进程的tracepid应该不为0。此时我们检测子进程的tracepid是否为0,如果为0说明源码被修改了。
android 反编译、反调试方法总结
qq_34108752的博客
09-29 738
0x01 前言 最近在分析的很多应用都使用了XXX加固,研究半月未见成效,原因是对反调试的方法和原理不够熟悉,导致无法对程序进行进一步分析和调试,故整理收集现有调试和反调试方法以便加深理解。 ...
Android反调试笔记
zhangmiaoping23的专栏
08-22 2976
转:http://my.oschina.net/cve2015/blog/734381 1)代码执行时间检测 通过取系统时间,检测关键代码执行耗时,检测单步调试,类似函数有:time,gettimeofday,clock_gettime. 也可以直接使用汇编指令RDTSC读取,但测试ARM64有兼容问题。 time_t t1, t2; time (&t1); /* Parts of
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值