Android 反调试、so文件注入

最新推荐文章于 2025-06-20 21:34:02 发布
原创 最新推荐文章于 2025-06-20 21:34:02 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一段用于检测应用程序是否处于被调试或跟踪状态的代码。通过创建一个名为SafeGuardThread的线程并周期性检查Debug.isDebuggerConnected()和进程状态文件中的TracerPid字段来实现这一目标。如果检测到调试器或跟踪器,则终止程序。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关键代码:

 Thread t=new Thread(new Runnable() {
       @Override
        public void run() {
            while (true){
                try {
                    Thread.sleep(100);
                    if(Debug.isDebuggerConnected()){
                        System.exit(0);
                    }

                    if(isUnderTraced()){
                        System.exit(0);
                    }
                } catch (InterruptedException e) {
                    e.printStackTrace();
                }
            }
        }
    },"SafeGuardThread");
    t.start();

 private boolean isUnderTraced() {
        String processStatusFilePath = String.format(Locale.US,  "/proc/%d/status", android.os.Process.myPid());
        File procInfoFile = new File(processStatusFilePath);
        try {
            BufferedReader b = new BufferedReader(new FileReader(procInfoFile));
            String readLine;
            while ((readLine = b.readLine()) != null) {
                if(readLine.contains("TracerPid")) {
                    String[] arrays = readLine.split(":");
                    if(arrays.length == 2) {
                        int tracerPid = Integer.parseInt(arrays[1].trim());
                        if(tracerPid != 0) {
                            return true;
                        }
                    }
                }
            }

            b.close();
        } catch (Exception e) {
            e.printStackTrace();
        }

        return false;
    }
ida动态调试之so反调试入门篇
zsd747289639的博客
04-21 4129
前期准备 第一步 准备好一部root过的安卓手机 第二步  将android_server push到  /data/local/tmp下 adb push android_server /data/loacal/tmp 然后给android_server赋权,chmod 755 /data/local/tmp/android_server 正式开始动态调试 第一步 先以静态方式启
【移动安全】so动态调试对抗反编译及反调试
Walter的专栏
11-09 9605
环境配置 1、设置JDK环境变量后需要修改JEB的配置脚本jeb_wincon.bat rem Prefer a JDK over a JRE, which allows support for JEB native Java plugins if defined JAVA_HOME (set base=”d:\Program Files\Java\jdk1.8.0_65\bin”) else
Android so反调试
厚积薄发,持之以恒
08-28 1144
原理 在Android系统中,如果进程处于调试状态,/proc/进程pid/status (等同于/proc/self/status)文件中的tracePid不为0,所以只要在加载so的时候,读取status文件,若tracePid不为0,则说明进程处于调试状态。 status文件分析 Name: sh State: R (running) Tgid: 23809 Pid: 23809 PPid: 195 TracerPid: 0 Uid: 0 0
SO文件注入方法(外挂注入
最新发布
qq_47964024的博客
06-20 522
外挂插入,SO注入
安卓反调试实现
深耕安全技术研究
01-27 3086
不多说了,直接上源码,8种反调试方法。 1.//ptrace自己,使得android_server附加不上 void anti_debug01() { ptrace(PTRACE_TRACEME, 0, 0, 0); } 2.//检测Tracepid的值 void anti_debug02() { try { const int bufsize = 1024; char filename[bufsize]; char line[bufsize]; int pid = getpid(); sprintf(fi
android反调试方法,Android 中的反调试技术
weixin_35259353的博客
05-26 320
比较简单的有下面这两种调试端口检测, 23946(0x5D8A)Demo:void CheckPort23946ByTcp(){FILE* pfile=NULL;char buf[0x1000]={0};// 执行命令char* strCatTcp= "cat /proc/net/tcp |grep :5D8A";//char* strNetstat="netstat |grep :23946";...
IDA so 反调试
九天
10-21 2276
http://blog.youkuaiyun.com/jltxgcy/article/details/50598670
Android .so注入相关问题及解决方法
skylinelulu的博客
02-14 1283
最近在做Android 的.so注入以及函数hook,遇到一些问题,想记录下来。 1. so文件注入到远程进程之后,远程进程会崩、重启,提示Segmentation fault。 原因:虽然手机已经被root了,可是SELINUX还是处于开启状态,为保护手机安全,SELINUX会组织进程加载来自SD卡中的.so文件 解决方法:关闭SELINUX  使用getenfo
so反调试方法以及部分反反调试的方法
YenKoc的博客
11-26 155
1.检测ida远程调试所占的常用端口23946,是否被占用 //检测idaserver是否占用了23946端口 void CheckPort23946ByTcp() { FILE* pfile=NULL; char buf[0x1000]={0}; //执行命令 char* strCatTcp="cat /proc/net/tcp | grep :5D8A"; ...
so中函数断点的的反调试检测
深耕安全技术研究
08-05 731
反调试简介 在apk应用的so文件中函数的指令都是固定,但是如果被下了软件断点,指令就会发生改变(断点地址被改写为bkpt断点指令),可以计算内存中一段指令的hash值进行校验,检测函数是否被修改或被下断点。 实现原理 当我们程序中的函数被下软件断点,则断点地址会被改写为bkpt指令, 可以在函数体中搜索bkpt指令来检测软件断电。 代码实现 /*参数1:函数首地址 参数2:函数size */ typedef uint8_t u8; typedef uint32_t u32; int checkF
SO逆向之IDA过CrackMe反调试
onejane
10-16 1258
篇幅有限 完整内容及源码关注公众号:ReverseCode,发送 冲 样本 来自阿里聚安全的Crackme,自毁程序密码_1.0原版.apk 随机输入密码后报错验证码校验失败,通过jadx-1.2.0搜索后发现调用了校验逻辑在SO层的securityCheck中 SO分析 解压该apk后IDA打开自毁程序密码_1.0原版\lib\armeabi\libcrackme.so,搜索java找到securityCheck导出函数 通过F5将汇编转成伪C代码,分析大致逻辑后点击v3通过JNIEnv*还原指令
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
Android平台so注入进程
01-03
该资源包含了一个android平台使用so注入进程的demo,运行在4.4模拟器。
android 注入so代码
10-13
资源有两部分代码1. 注入so 测试文件代码 2. 将so 文件注入的代码
APP逆向】动态调试so
ssrf
11-25 1823
文章目录一、IDA server安装1、把本地IDA server文件推送进手机目录2、进入手机shell3、修改权限运行server二、了解反调试策略三、反调试处理方法1、给app加上可调式权限2、检查flags中是否有应许debug项3、以调试模式启动APP APP此时会挂住4、以调试模式启动APP APP此时会挂住 一、IDA server安装 1、把本地IDA server文件推送进手机目录 adb push android_server(cpu型号要对应 模拟器是x86) /data/loc
Androidso注入
zuitamin2508的博客
04-20 3011
在防so注入时是怎么做的,是在JNI_OnLoad中调用Ptrace(PTRACE_TRACEME)呢还是把ptrace单独编译成一个elf格式的可执行文件,然后在java层通过su 调用?
APK的安全(二)--如何防御
NoClay's Home
09-18 2577
如何防御1.代码混淆原理:“用不能直接猜出含义的通用变量名和函数名a,b,c等”替换编译后程序包中“具有明显语义信息的变量名和函数名”。这样,通过逆向工程得到的只是 难以理解 的代码。从混淆的原理可以得出以下两点信息: 重命名变量名可能会导致程序异常。因为程序是需要跟平台交互的,平台只会以固定类名来调用我们的app,这就涉及到需要屏蔽不能重命名的函数及类 proguard.cfg文件就是起这个作用的
android注入so和dex
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
06-20 2872
arm64-v8a架构可以兼容armeabi-v7a指令代码,测试机器是Huawei Nexus 6P Android 6.0,已经root。本程序分为32位和64位。32位和64位代码几乎相同,因此仅以32位为例说明so注入的过程。注入代码网上的资料很多,此处不再赘述,具体细节看代码。可见被注入so已经执行了。
android注入so,有代码有命令
09-06 7333
android注入so的研究相对比较少,大名鼎鼎的LBE使用的就是ptrace注入so,至于后面的API hook我目前还没有开始分析。网上有不少大牛对LBE的逆向。 其实android下的so注入与linux的思路类似,我们所有的操作都是在Native C层实现的。它也是先ptrace目标进程,搜索符号表,在这里搜索符号表也并非完全是搜索内存,而是由一个计算公式,在下文大牛的代码里有。然后采
动手打造Android7.0以上的注入工具
非虫的专栏
09-03 7198
动手打造Android7.0以上的注入工具 在不使用Xposed的一些场景下,想要Hook进入目标APK的方法,最直接有效的方法是注入代码到目标APK,进而完成Hook操作。 面临的挑战 编写注入工具的原理是借助安卓系统的ptrace接口,操纵目标进程的内存,修改进程空间的数据与代码,然后调用dlopen()、dlsym()等接口加载与使用动态库,完成达到注入so的目的。 ptrace接口...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值