Android内存数据读取与修改/内存代码注入/内存dump

最新推荐文章于 2025-07-04 00:51:19 发布
原创 最新推荐文章于 2025-07-04 00:51:19 发布 · 2.5w 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Android逆向分析中常见的内存操作,包括内存数据读取与修改、内存代码注入和内存dump。通过实例展示了如何在IDA中进行内存修改、寄存器值的调整、NOP函数以及改变执行流程。同时,提到了内存注入的ptrace流程,并讨论了使用IDC脚本进行动态调试时dump内存的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Android的逆向时,对内存数据的操作主要有三种:内存数据读取与修改,内存代码注入,内存dump。之前对这三种操作的概念比较模糊,因此找了些资料整理如下,加深自己的理解。



修改数据

修改内存数据

修改内存数据需要在十六进制窗口中进行编辑,可先将反汇编窗口与十六进制窗口同步。如下图所示,在反汇编窗口中点击鼠标右键弹出菜单,选中Synchronize with选项,在子菜单中可以选择反汇编窗口同步的窗口或寄存器,这里选择同步Hex View-1窗口,即与十六进制窗口同步。窗口同步后在反汇编窗口中跳转到指定地址十六进制窗口也会跟随着跳转到指定地址,方便我们对内存数据进行查看和编辑。

右键菜单同步窗口选项

在需要修改内存数据时,可以在十六进制窗口中跳转到需要修改的内存地址处,点击鼠标右键,如下图所示,在弹出的菜单中点击Edit选项,即可以直接在十六进制窗口中进行编辑。

最低0.47元/天 解锁文章

200万优质内容无限畅学
[车联网安全自学篇] Android安全之APK内存敏感信息泄露挖掘「动态分析」
橙留香Park的博客
08-30 1088
静态分析可以帮助我们在代码中发现问题,但它不能提供关于数据内存中实时暴露了多长时间的统计信息和泄露的具体敏感信息内容以及识别闭源依赖关系中的问题,这就需要我们使用动态分析APK应用程序来解决这个问题通过调试器/动态仪器进行实时分析分析一个或多个内存转储注:因为前者(通过调试器/动态仪器进行实时分析)更多的是一种通用的调试方法,所以我们将集中讨论后者(分析一个或多个内存转储)那么在检测APK应用程序时,内存搜索分析可让我们更加了解APK应用程序进程内存内存中都做了什么?以及它是否会暴露什么?.......
android dump内存办法大全
KingDigGrave的博客
01-03 7058
1.ida运行脚本 autoi,fp,begin,end; fp=fopen("D:\\xx.so","wb"); begin=0xAC338000; end=0xAC393000; for(i=begin;i { fputs(Byte(i),fp); }   2.gdb dump dump binary memoryC:\Users\DW\Desktop\baidu_jia
android 内存读取,Android内存读取数据
weixin_35319943的博客
05-27 584
Android内存读取数据package com.itheima.rwinrom;import java.io.BufferedReader;import java.io.File;import java.io.FileInputStream;import java.io.FileNotFoundException;import java.io.FileOutputStream;import ...
一款内存修改工具,你能够通过它来修改内存中的数据
最新发布
2501_92222661的博客
07-04 751
《CE修改器》是一款功能强大的免费内存修改工具,可帮助用户修改游戏中的数值(如金钱、属性等)。支持精确扫描和自定义数值修改,操作简单,适用于各类游戏。软件提供中文汉化设置教程,并详细说明修改金钱等数据的步骤。使用前需解压安装,通过进程选择目标游戏,扫描并修改数值后保存生效。注意关闭前保存修改数据,否则数值会恢复原状。
Android 内存修改一键修改
热门推荐
beibai12345的专栏
05-01 1万+
内存修改使用trace对进程和内存实施
Android读取内存信息
JiezhiG的专栏
06-01 1557
在adb shell的情况下执行命令: shell@maguro:/ $ cat /proc//meminfo MemTotal: 710960 kB MemFree: 136148 kB Buffers: 3400 kB Cached: 228768 kB SwapCached: 0 kB Act
Android 逆向】修改运行中的 Android 进程的内存数据 ( Android 命令行中获取要调试的应用进程的 PID | 进程注入调试进程内存的 so 库 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-31 1727
一、Android 命令行中获取要调试的应用进程的 PID、 二、进程注入调试进程内存的 so 库
sun.security.ssl.SSLSocketImpl 内存泄漏问题_吐血整理!究极深入Android内存优化(二)...
weixin_39744554的博客
10-21 1597
四、内存抖动当 内存频繁分配和回收 导致内存 不稳定,就会出现内存抖动,它通常表现为 频繁GC、内存曲线呈锯齿状。并且,它的危害也很严重,通常会导致 页面卡顿,甚至造成 OOM。1、那么,为什么内存抖动会导致 OOM?主要原因有如下两点:1)、频繁创建对象,导致内存不足及碎片(不连续)。2)、不连续的内存片无法被分配,导致OOM。2、内存抖动解决实战这里我们假设有这样一个场景:点击按钮使用 han...
Android键盘开发实战】:解决内存泄漏数据保护的终极方案
[【Android键盘开发实战】:解决内存泄漏数据保护的终极方案](https://opengraph.githubassets.com/3ebd9bac7c6c105c54b06a11c18f367c46ca5c1facbada06ecdb217f79625f7c/Dataiotics-ai/Android-Permission-UI) ...
cpp-一个工具用于检查转储修改搜索和注入库至Android进程
08-16
它能够帮助开发者查看和操纵运行中的Android进程,包括读取和写入内存,查找特定的代码数据,以及注入自定义的库,从而实现对程序行为的深度控制。 2. 功能详解: - 检查进程:cpp工具可以列出系统中所有正在...
Android内存读取数据
bug程序猿的博客
12-15 1609
Android内存读取数据package com.itheima.rwinrom; import java.io.BufferedReader; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputSt
android 内存 文件读写操作
07-09
android 通过Environment环境 获取手机根目录 读写 文件操作。
android-dump-memory:Android内存转储工具
05-17
自述文件 这是一个从android进程中转储内存内容的简单工具。 它需要植根设备。 该工具基于。 我添加了几个功能,例如“转储”,“搜索”,“显示”。 搜索对于搜索内存中的敏感信息(密码等)很有用。 包括示例二进制文件。 用法 android_dump_memory <dump> <pid> <start> <total> [search string] dump:将内存内容转储到文件中。 文件名将采用./dump_startaddress_endaddress格式。 show:在控制台中打印内存内容。 search:搜索ASCII / UNICODE字符串。 start_address,total_bytes应该以“ 0x”开头,因为sscanf希望它存在。
手机内存读取
05-01
将内容从设备传输到PC机One 常见的操作程序完成的是WPD内容从连接的设备传送到PC机。 内容传输使用以下表中描述的接口来完成。
Android 内存数据
安卓学习乐园
11-17 1248
Android数据库通常以文件的形式存储在磁盘中,而内存数据库是将数据驻留在内存中,因此可以作为一种缓存技术方案。 那么在android如何使用sqlite的内存数据库呢? 看SQLiteDatabase的源码: [java] view plain copy /**       * Create a memory backed S
通过 dump 虚拟机线程方法栈和堆内存来分析 Android 卡顿和 OOM 问题
1
11-10 2241
除了线程方法栈的dump,其他的方式都不适合线上分析。不要以为学会了方法栈的dump和虚拟机堆内存dump就能够彻底解决这些问题,他们只是帮你发现这些问题,要彻底解决这些问题还需要很多其他方面的知识。
android dump内存,android dump内存办法大全
weixin_34509784的博客
05-27 2131
1.ida运行脚本autoi,fp,begin,end;fp=fopen("D:\\xx.so","wb");begin=0xAC338000;end=0xAC393000;for(i=begin;i{fputs(Byte(i),fp);}2.gdb dumpdump binary memoryC:\Users\DW\Desktop\baidu_jiagu\so\baidu 0xa8878000 ...
adb Dump 安卓内存的方法,适配最新安卓系统
yunyou186的博客
03-08 1850
有时候有些so的文件的被加固软件隐藏了,我们要获取到原来的so文件就需要获取到最新的so文件,安卓有些加固软件会把真实的so隐藏起来,这里我们通过dump内存的方法获取到真实的so文件。这时候就需要我们通过dump获取到送文件,通过。用来分析加固和混淆,以及基本的脱壳分析。有利于我们分析安卓软件的真实逻辑。查看文件的内存起始位置和结束位置。原文件和dump出来的文件对比。
内存修改android,Android 内存修改
weixin_34079177的博客
05-27 2121
Android在内部机制上并不提供进程间的越界数据访问,所以通过Java完全无法实现越界数据的访问和修改,我们只能使用Linux上提供的ptrace()函数实现越界访问,其中还要用到waitpid()函数等待进程连接。具体使用方式如下:#include//Forptrace()#include//Forwaitpid()intmain(){intpid=1337...
Android gdb coredump
01-11
### 如何在Android上使用GDB生成和分析coredump文件 #### 配置环境准备 为了能够在Android设备上利用GDB进行core dump的生成分析,需先确保已安装适当版本的Android NDK以及设置好开发环境。对于C++开发的应用而言,这一步骤尤为关键[^2]。 #### 启用Core Dump功能 针对较新版本的Android系统(如P及以上),核心转储(coredump)支持已被集成到操作系统内部。要激活此特性并允许应用崩溃时创建core dump文件,可以通过修改`/proc/sys/kernel/core_pattern`来指定core文件存储路径及其命名模式[^3]。 例如,在具有root权限的情况下执行如下命令可将core dumps放置于特定目录: ```bash echo "/data/local/tmp/core-%e.%p" > /proc/sys/kernel/core_pattern ``` 此处`%e`代表执行文件名而`%p`表示进程ID。 #### 编译带有调试信息的应用程序 当通过NDK构建项目时,应启用编译选项以保留完整的调试符号表。这样做的目的是为了让后续借助gdb工具读取core dump变得更为容易。具体来说可以在`Application.mk`中加入以下配置项: ```makefile APP_CFLAGS += -g -O0 ``` 上述指令告知编译器尽可能多地嵌入源码级别的元数据,并关闭优化措施以便更精确地映射机器指令回原始代码片段。 #### 使用ADB启动目标app并远程GDB连接 一旦应用程序部署完毕并且处于等待状态,就可以采用adb shell方式进入终端界面进而触发一次预期中的crash事件从而获取相应的core dump样本;之后再运用预先设定好的脚本来加载该二进制镜像连同其关联的核心转储一起送至本地计算机上的GNU Debugger实例里做进一步剖析工作[^1]。 下面给出一段Python脚本作为示范,用于自动化处理以上流程: ```python import os,subprocess,time,json,re def get_device_info(): result=subprocess.run(['adb','devices'],stdout=subprocess.PIPE).stdout.decode('utf-8') devices=[line.split('\t')[0]for line in result.strip().splitlines()[1:]if 'device' in line] return json.dumps({'devices':devices}) def setup_gdbserver(app_package_name,port=5039): subprocess.call(f'adb shell am force-stop {app_package_name}',shell=True) time.sleep(2)# wait for app to stop completely pid_output=subprocess.check_output( f'adb shell pgrep -f {re.escape(app_package_name)}',stderr=subprocess.STDOUT, universal_newlines=True) pids=re.findall(r'\d+',pid_output) if not pids: raise Exception("Failed to find PID of the application.") main_pid=pids[-1] gdb_server_command=f"gdbserver :{port} --attach {main_pid}" print(f'Setting up GDB server with command:{gdb_server_command}') adb_shell_process=subprocess.Popen( ['adb','-s',json.loads(get_device_info())['devices'][0],'shell'], stdin=subprocess.PIPE, stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL ) adb_shell_process.stdin.write(gdb_server_command.encode()) adb_shell_process.stdin.close() adb_shell_process.wait() setup_gdbserver('com.example.yourapplication') ``` 这段代码实现了自动停止给定包名的目标App、查询其正在运行的服务进程号(PID),并通过ADB Shell向远端注入一条命令开启监听模式下的gdbserver服务,最后绑定选定端口等待来自PC侧发起的会话请求。 #### 加载core dump至本地GDB 完成前面几步操作后,现在可以回到电脑这边打开一个命令提示符窗口输入类似这样的语句把之前收集起来的数据导入进来查看问题所在了: ```bash $ arm-linux-androideabi-gdb ./obj/local/arm64-v8a/libyourlib.so ... (gdb) target remote tcp::5039 Remote debugging using tcp::5039 ... (gdb) core-file /path/to/the.core ... ``` 这里假设读者已经下载好了匹配架构类型的交叉编译版GDB客户端软件包,并且知道怎样定位到待检视库文件的确切地址。按照指示逐步建立起双向通信链路直至成功附加到远程进程中去,紧接着便是调用`core-file`命令传参指向先前所提到过的那部分内存快照资料来进行最终阶段的故障排查作业了。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值