一文带你实现获取检测apk的父进程

已于 2024-01-19 10:22:23 修改
阅读量126 收藏
点赞数
文章标签: java 开发语言
于 2023-02-16 13:04:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53058639/article/details/129059259
版权

简介

每个App的用于程序都是通过父进程zygote进行fork出来的子进程,所以zygote也是所有app的父进程。 那么对于zygote进程可以用于检测判断app应该是否处于被调试状态。

检测父进程原理

有的时候不使用apk附加调试的方法进行逆向,而是写一个.out可执行文件直接加载so进行 调试,这样程序的父进程名和正常启动apk的父进程名是不一样的。

实验测试

1、正常启动的apk程序:父进程是zygote2、调试启动的apk程序:在AS中用LLDB调试发现父进程还是zygote3、附加调试的apk程序:父进程是zygote4、vs远程调试 用可执行文件加载so:父进程名为gdbserver

实验结论:父进程名非zygote的,判定为调试状态

代码实现

 int CheckApkParents()
 { 
​
// 设置buf 
 char strPpidCmdline[0x100]={0};
 snprintf(strPpidCmdline, sizeof(strPpidCmdline), "/proc/%d/cmdl ine", getppid()); 
 // 调用系统的open函数进行打开文件 
 int file=open(strPpidCmdline,O_RDONLY); if(file<0) 
 {  //打开失败, LOGA("CheckApkParents open错误!\n"); return -1;
 }
 
 // 文件内容读入内存
 memset(strPpidCmdline,0,sizeof(strPpidCmdline)); 
 //调用系统read函数进行读内存操作
 ssize_t ret=read(file,strPpidCmdline,sizeof(strPpidCmdline));
 if(-1==ret) 
 { 
 //读取内存数据失败 LOGA("CheckApkParents read错误!\n"); return -1; 
 }
 // 没找到返回0
 char sRet=strstr(strPpidCmdline,"zygote"); 
 if(NULL==sRet)
 { 
 
 // 执行到这里,判定为调试状态  LOGA("父进程cmdline没有zygote子串!\n"); return 0; 
 }
​
 return 1;
 }

网络安全入门学习路线

其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图 学到http和https抓包后能读懂它在说什么就行。

2.网络基础和编程语言

3.入手Web安全

web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。

最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。

等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。

这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。

学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。

其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。

4.安全体系

不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。

所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

尾言

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合优快云整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦!

如何检测Android应用是32位还是64位
u010194271的博客
04-14 6万+
目录 1、前言 2、检测App 3.应用是否包含 64 位库? 1、前言 从Android 4.4宣布支持64位系统以来,各终端方案厂商逐步推出了各自的64位soc解决方案。Google为了兼容之前32位系统的应用,在64位系统上也实现了对32位应用的支持。那么问题就来了,在一个64位系统的Android手机上如何检测应用是运行在32位还是64位环境? 2、检测App 任何一个Android手机用户对APK文件肯定不会陌生,它是一个Android应用资源的封装文件。当你下载安装一个Ap..
Android 获取app启动来源(是被谁启动的、被哪个第三方app启动?)
rhj的专栏
07-03 2498
Android 获取app启动来源(是被谁启动的、被哪个第三方app启动?)
父进程检测
qq_45806710的博客
11-15 1527
启动方式一般有3种: 1,Explrer.exe(资源管理器启动) 2.cmd.exe(命令行启动) 3.Sercices.exe(系统服务) 还要防止用调试器打开软件 VOID ParentsTest() { MyNtQueryInformationProcess pZwQueryInformationProcess; pZwQueryInformationProcess=(MyNtQueryInformationProcess)GetProcAddress(getModuleHan); PROCE
检查父进程是不是explorer
x
05-12 254
#include <iostream> #include <stdio.h> #include <stdlib.h> #include <Windows.h> #include <process.h> #include <Winternl.h> #include <Tlhelp32.h.> #include <tchar.h> using std::cout; using std::endl; DWO...
判断自己的父进程是不是由explorer启动
冷风
01-20 5107
直接把代码放上。 #include "stdafx.h" #include #include #include DWORD get_parent_processid(DWORD pid)//获取指定进程父进程ID { DWORD ParentProcessID=-1; PROCESSENTRY32 pe; HANDLE hkz; HMODULE hModule = LoadL
8.7 父进程检测反调试
热门推荐
优快云
09-27 1万+
首先这是一种比较奇特的反调试思路,通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由`Explorer.exe`这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是`Explorer.exe`的进程PID,而如果被调试则该进程父进程PID就会变成调试器的PID值,通过对父进程检测即可实现检测是否被调试的功能。
得到进程父进程的另一种办法
03-22 1274
次贴的防止loader的办法中使用了NT中的native API,所以无法在Win9x/ME中使用。利用Win32提供的ToolHelp API,也可以得到一个进程父进程的PID。Win9x/ME和Win2K/XP都支持ToolHelp API,但WinNT(3.51, 4.0)却不支持。  #include #include #include #include #pragm
Android性能优化(2):常见内存泄漏与优化(二)
老蒋也疯狂
11-07 2892
文章目录1. Android虚拟机:Dalvik和ART1.1 JVM与Dalvik区别1.2 Dalvik与ART区别1.3 Dalvik/ART的启动流程2. 常见内存分析工具2.1 Android Profiler2.1.1 Allocation Tracker2.1.2 Heap Dump2.2 MAT2.3 LeakCanary 在Android性能优化(1):常见内存泄漏与优化(一...
华为折叠屏适配技术攻略:一文精通多屏幕尺寸适配
[华为折叠屏适配技术攻略:一文精通多屏幕尺寸适配](https://media.geeksforgeeks.org/wp-content/cdn-uploads/20220203233320/Group-2-4.jpg) # 摘要 随着智能手机的屏幕形态不断创新,华为折叠屏技术作为其中的...
Android逆向(六) 找flag实例
最新发布
shuwangyong的专栏
08-12 1327
典型的 Crake me 应用,废话不多说,开整。
深入探索Android布局优化(上)
十年代码写十年
05-22 768
前言 成为一名优秀的Android开发,需要一份完备的知识体系,在这里,让我们一起成长为自己所想的那样~。 Android的绘制优化其实可以分为两个部分,即布局(UI)优化和卡顿优化,而布局优化的核心问题就是要解决因布局渲染性能不佳而导致应用卡顿的问题,所以它可以认为是卡顿优化的一个子集。对于Android开发来说,写布局可以说是一个比较简单的工作,但是如果想将写的每一个布局的渲染性能提升到比较好的程度,要付出的努力是要远远超过写布局所付出的。由于布局优化这一主题包含的内容太多,因此,笔者将它分为了上、
我的初学笔记
XinJiang_Terrorist的博客
05-02 6486
导览 1.Android UI a)Layout (CommonLayout,Adapter Layout) b)InputControls(Buttons,TextFileds,Bars) c)InputEvents(onClick,onKey,onTouch,onChecked) d)UI Components(Menu,ActionBar,Dialog,Notification,T
2014简单绕过某60父进程查杀
落笔飞花笑百生的博客
04-27 1893
 ;落笔飞花笑百生 ;2014.12.9 ;过360父进程一个弱弱的方法 ;过360启动项 .386 .model flat,stdcall option casemap:none include windows.inc includelib kernel32.lib include kernel32.inc include user32.inc include
关于自启动和进程检查相关命令
u010121652的博客
04-05 945
关于自启动和进程检查相关命令
网络靶场实战-免杀技术之虚假父进程
蛇矛实验室
12-14 2168
本篇文章涉及了几个重要的点,CreateProcessA ETW 父进程伪装。目前我们所做的免杀并非单个技术就可以完成的,我们要结合很多种免杀的手段或者动态改变的手段才能让自己的程序在对抗杀软的时候不落下风。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
父进程欺骗
yellow的博客
01-30 1327
如何实现父进程欺骗以及对应的检测方法。
Windows编程判断是否为该进程父进程
MusicMan
11-11 644
bool IsParentProcessId(DWORD process_id) { PROCESSENTRY32 pe32; pe32.dwSize = sizeof(PROCESSENTRY32); //获取进程快照 HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (hProc...
一文实现简易Web框架,掌握核心技术
本文档探讨了如何利用一个简单的文件实现迷你Web框架,旨在帮助读者理解和掌握Web框架核心技术,即使面对新框架也能快速适应。作者从实际应用场景出发,将复杂的Web开发过程比喻为课堂互动,强调了HTTP应用层在网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值