修改系统内核 绕过反调试 TracerPid为0

最新推荐文章于 2021-07-20 08:06:42 发布
原创 最新推荐文章于 2021-07-20 08:06:42 发布 · 4.9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #反调试 #boot.img #TracerPid

本文详细介绍了如何在Nexus 5设备上提取并修改Android 4.4系统的内核文件zImage,包括获取root权限、提取boot.img、解包与重建内核文件等步骤。

原文 http://bbs.pediy.com/showthread.php?t=207538

感谢作者整理,亲测可用 坐着用的mac 现在改成windows下操作

设备nexus5 系统android 4.4

如果 设备与上不符 按照以下方法获取boot.img

一、  提取ker内核文件
在提取zImage前,必须确保自己拥有root权限。adb root 获取root权限
输入命令:

adb shell
ls -l /dev/block/platform/msm_sdcc.1(具体设备具体定)/by-name,
找到boot这一项,记下路径

 

将boot导出为boot.img
dd if=/dev/block/mmcblk0p19 of=/data/local/boot.img
adb pull /data/local/boot.img boot.img

如果设备和系统的和给出符话直接 使用源码的boot.img更好

 

二.使用 bootimg.exe工具,解开boot.img

 

Bootimg boot.img文件放到同一目录


执行bootimg --unpack-bootimg  该命令会解包出内核:kernelramdisk.gz.

kernel就是内合文件 和zImage相同

 

kernel文件复制为文件名为z.gz的文件,并使用010editor查找十六进制1f 8b 08 00,找到后把前面的数据全删掉,使z.gz文件变成标准的gzip压缩文件,这样子就可以使用gunzip解压了。
命令:gunzip.exe z.gz 

 

生成文件z就是祼二进制文件zImage。
二、  提位、修改关键代码
zImage文件可以直接使用IDA去打开,但需要设置参数。

在上图,设置处理器类型为ARM Little-endian,点【ok】后,弹下图



在ROM start address和Loading address填0xc0008000,点【ok】,IDA显示效果如下图所示,没有函数名,不方便定位代码。

先回到root下的adb shell,输入命令:
echo 0 > /proc/sys/kernel/kptr_restrict
关闭符号屏蔽
再输入以下命令查看这两函数的地址

回到IDA,按g跳转到c01b083c(__task_pid_nr_ns)地址处,在光标放在在该函数处:

然后按x,弹出引用搜索框

在搜索框里,找到sub_c02b9ff8(proc_pid_status)地址对应的函数,双击它,如果IDA没有分析出该函数,就进行以下操作:
按shift+f12,搜索TracerPid,找到以下项

双击它,看到

再双击【DATA XREF: sub_c02b9ff8+190】,IDA就能分析出sub_c02b9ff8函数了,然后重新搜索sub_c01b083c的引用。找到后,双击它,得以下图:

经本人分析得到的修改方法是把MOVEQ R10, R0替换为MOV R10, #0,机器码 00 A0 A0 01 替换为 00 A0 A0 E3  

指令的文件偏移为(C02BA568-C0008000=2B2568) (使用010editor修改)

及把BL sub_C01B083C替换为MOV R0, #0,机器码 AF DB FB EB 为00 00 A0 E3,

指令的文件偏移为(C02BA578-C0008000=2B2578)|(原文中错误的地方)

三、  刷回手机
刷回前需要先打包boot.img文件
使用命令压缩成z.gz:gzip -n -f -9 z

三、使用010editor将z.gz的二进制数据覆盖到原kernel文件的1F 8B 08 00处的位置(新的z.gz文件必须比原z.gz文件小,并且回写回去时不能改变原kernel文件的大小及修改原kernel文件后面的内容,否则会很麻烦),这时得到了kernel文件。

注:这个地方可以新建一个用010editor 新建hex文件  把 原kernel文件1F 8B 08 00处一起的数据复制到 新文件里 然后把 z.gz的数据添加复制到 新文件里 ,这时候 比对 原kernel和新文件

把原kernel文件中 多的数据 一个字节不少的赋值到新的文件中,这样就组成新的 kernel 文件 新文件和原kernel一样大。把原kernel文件删除 把新文件重命名为kernel

执行命令bootimg --repack-bootimg base cmdline page_size padding_size

其中上述命令中的黑体部分为包命令的输出值。得到boot.img文件。
手机重启进入刷机模式,然后,执行命令fastboot flash boot boot.img。
完成刷机后,重新开机,就大功告成了。


四、  还原砖头
刷内核,不免会有刷成砖头的情况。
使用步骤1中提取到的原版boot.img,解包后会被命名为 bootold.img 在刷机模式下,执行fastboot flash boot bootold.img就还原系统了。


所以工具下载地址 http://pan.baidu.com/s/1bo8RUmN


玩转Android10源码开发定制(六)修改内核源码绕过反调试检测
xiaomaNo01的专栏
12-30 1467
一、Android反调试 反调试在代码保护中扮演着非常重要的角色,虽然不能完全阻止攻击者,但是能加大攻击者的分析时间成本。目前绝大多数Android app都加固了,为了防止App被调试分析,加固功能中添加了各种反调试功能,比如:自己ptrace自己、检查函数执行时间、读取/proc/$pid/wchan或者/proc/$pid/task/$pid/wchan文件信息判断调试状态、读取/proc/$pid/stat或者/proc/$pid/task/$pid/stat文件信息判断调试状态、读取/...
反调试】去除各种反调试
热门推荐
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
如何绕过反调试技术——学习回顾(2)
weixin_43742894的博客
04-09 921
之前总结了一些常见的反调试技术,反调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解反调试的方法,就是“反反调试”。 记录学习过程,以待后来温习。 反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690 主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调...
26种对付反调试的方法
weixin_34235371的博客
05-15 4681
2019独角兽企业重金招聘Python工程师标准>>> ...
绕过TracerPid检测
yusakul的博客
04-24 871
在调试状态下,Linux内核会向一些文件写入进程状态信息,比如/proc/[pid]/status ,/proc/[pid]/task/[pid]/status文件的TracerPid字段写入调试器进程pid,state字段写入t(tracing stop),在动态调试时常常会遇到循环检测,手动过反调试非常费力,但是可以修改安卓内核从根源上处理这些文件,比如将/proc/[pid]/status...
模拟器修改内核绕过ptracepid检测
inquisiter
12-17 7959
模拟器修改内核绕过ptracepid检测我看了下很多检测反调试的应用都会调用这个功能个,修改内核做个系统还是很重要的。不够我自己嫌修改真机的内核太麻烦,现在模拟器上练个手,虽然网上没有如何修改具体的教程,不过真机修改内核还是有很多。我这里自己类推下:模拟器文件结构分析 我们先要找到内核文件的位置,如果是真机的话,需要找到boot.img。模拟器要简单很多,如上图,内核文件就是kernel-qem
安卓系统修改系统内核绕过TracerPid检测--反防调试
weixin_40418457的博客
07-19 997
作者子炎 背景: 得到一个Android的CrackMe来考察逆向知识,分析后发现其关键函数位于native so库中,并且在函数开始时启动了线程进行TracerPid检测的反调试,当发现程序被调试时会直接杀死应用。虽然题目最后卡在了native 逆向与反调试绕过这里,下去后我学习了下如何绕过这个反调试。主要是两种:(1)patch so,直接修改关键值来绕过;(2)修改系统内核文件来将TracerPid写死为0。刚好我手头有一个之前做实验已root的红米 note 4,便决定采用修改系统内核的方式,一劳永
高通android逆向分析,逆向修改内核绕过TracerPID反调试
weixin_36480423的博客
05-25 817
前言上次DDCTF结束后,和BinCrack师傅交流,他提到用了自己编译的安卓内核,直接修改源码更改了TracerPID,之后在国赛也遇到了对status的检测,虽然可以修改内存绕过(ref 4),但是还是想试一试把内核patch掉。查阅了很多资料后,大概有三种方法:1.修改源码,重新编译内核 (ref 2)2.逆向修改内核文件,patch二进制文件3.hook fopen 函数,检测/proc/...
逆向修改android内核反调试,逆向修改手机内核绕过反调试
weixin_39636176的博客
06-01 1046
作者:lcweik 看雪学院Android 应用反调试里最常用的一种反调试方法是查看/proc/self/status的信息,如果 TracerPid 不为 0,就判断为正在被调试。如果自己拥有内核源码,就可以自己编译生成 zImage 去替换内核就能正常运行了,但可惜的是,很多手机的内核都不开源,为此只能自己去逆向修改。一、提取 zImage 内核文件在提取zImage 前,必须确保自己拥有...
修改Android手机内核绕过反调试
墨鱼菜鸡
02-26 466
本文博客链接:http://blog.csdn.net/qq1084283172/article/details/57086486 0x1.手机设备环境 Model number: Nexus 5 OS Version: Android 4.4.4 KTU84P Kernel Version: 3.4.0...
boot.img内核防止反调试TracerPId的轮询
10-24
1、学习如何提取内核 2、如何修改TracerPID跳过反调试 3、提供了需要用到的工具和源码
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核反调试插件
03-08
AA调试 内核反调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx 等函数绕过调试对象(Process-> DebugObject)以及其他关键位置实现反反调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsReserved [1]) R3绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsRese
安卓逆向|菜鸟的FRIDA学习笔记:如何让TracerPid恒为0?
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-20 2814
本文内容及代码来源于网络,如有侵权请告知删除,谢谢!周末在肉丝姐群里白嫖了个frida脚本,据说可以让TracerPid恒为0,代码如下:varanti_fgets=functio...
源码编译绕过反调试
weixin_30485799的博客
11-28 197
参考师弟的贴子修改的, 基本我一次就弄好了, 没有遇到啥问题, 下面我主要是补充下他的帖子http://bbs.pediy.com/showthread.php?t=213481 一. 环境搭建(1). 环境介绍:手机:nexus 5ubuntu版本:15.10android版本:4.4.4android源码官网(这里有很多相关的资料,基本上按照官网的来就可以编译想编译的任何版本了)http://...
Linux笔记-Linux中的TracerPid
IT1995的博客
07-20 756
在每个进程都在/proc中有对应的文件夹,其中有个status文件: [root@VM-0-2-centos 15173]# ls attr cmdline environ io mem ns pagemap sched stack task autogroup comm exe limits mountinfo numa_maps
android 反调试(TracePid 不断轮询检查 JAVA )
Viewz的博客
05-28 1526
android 中,在调试状态下,linux会向/proc/"进程PID"/status 中写入状态信息。其中TracePid 就是调试该进程的进程的的Pid,所以反调试的方法之一就是通过不断轮询检查TracePid的值,假如为0的话,说明该进程没有被调试,假如不为0的话,就说明当前该进程正在被调试,程序执行exit(0)操作。 我直接用一个类来包装我的adb shell: 先通过get...
android 反调试 方案,android反调试tracerPid检测
weixin_32120857的博客
05-26 528
#include #include #include #include #include #define TRACERPID "TracerPid:"#define TRACERPID_LEN (sizeof(TRACERPID) - 1)void loop(){while(true){sleep(60);}}bool check_debugger(pid_t pid){const int pat...
TracerPid反调试实现与逆向
明风的博客
11-01 7116
经常会在一些脱壳文章里面看到TracerPid,ptrace什么的,那这些都是什么意思呢? 我们来查看本程序的/proc/{PID}/status文件 C:\Users\wangz>adb shell root@jflte:/ # ps |grep "wnagzihxain" u0_a123 29139 281 960944 31468 ffffffff 4005a8e0 S com.
libexec.so反调试绕过
最新发布
05-04
<think>好的,用户想绕过libexec.so的反调试机制。首先,我需要回想一下之前提到的反调试方法。根据引用[1],libexec.so可能使用fopen和fgets读取/proc/self/status文件来检测调试状态,比如检查TracerPid字段。所以绕过的话,可能需要拦截这些函数调用。 接下来,用户可能已经知道常规的反调试手段,比如检测调试器,所以需要更深入的方法。常见的绕过技术包括hook系统函数,比如使用LD_PRELOAD或者Frida来替换fopen、fgets,让它们返回修改后的内容,避免检测到调试器。比如,当程序尝试读取TracerPid时,hook后的函数可以返回0,表示没有调试器附加。 另外,还可以考虑修改/proc/self/status的内存映射,使用内存断点或者修改文件路径,让程序读取伪造的status文件。不过这可能涉及到更底层的操作,需要root权限或者内核模块的支持。 还有,用户可能需要了解如何动态调试,比如使用ptrace附加进程,但反调试可能检测ptrace的使用。这时候可以使用多进程注入,或者利用ptrace的竞争条件,比如fork一个子进程来执行调试,而父进程继续运行,避免被检测到。 还要注意,libexec.so可能还有其他反调试措施,比如检查进程名、端口或者时间差。这时候需要综合多种方法,比如重命名调试器进程,隐藏端口,或者调整时间检测的阈值。 最后,建议用户使用工具如Frida进行动态分析,编写脚本自动拦截和修改关键函数,或者使用Xposed模块在Android环境中进行hook。同时,参考现有的开源项目或社区资源,寻找针对libexec.so的具体绕过方法。</think>### 绕过 libexec.so 反调试机制的方法 #### 1. **函数 Hook 技术** - **原理**: 通过拦截系统调用或库函数(如`fopen`、`fgets`),修改其返回值或行为,使反调试检测失效[^1]。 - **实现方法**: - 使用 `LD_PRELOAD` 注入自定义动态库,重写目标函数: ```c FILE *fopen(const char *path, const char *mode) { if (strstr(path, "/status")) return NULL; // 阻止读取关键文件 return orig_fopen(path, mode); } ``` - 使用 Frida 动态 Hook 函数: ```javascript Interceptor.replace(Module.findExportByName("libc.so", "fopen"), new NativeCallback(function (path, mode) { if (path.readCString().includes("status")) return NULL; return orig_fopen(path, mode); }, "pointer", ["pointer", "pointer"])); ``` #### 2. **内存映射篡改** - **原理**: 修改 `/proc/self/status` 的内存映射,使其指向伪造文件。 - **步骤**: 1. 创建虚假的 `/fake_status` 文件,设置 `TracerPid: 0`。 2. 使用 `mount --bind` 将虚假文件绑定到 `/proc/self/status`(需 root 权限): ```bash mount --bind /fake_status /proc/self/status ``` #### 3. **调试器隐藏技术** - **Ptrace 竞争绕过**: 通过多进程分叉(`fork()`)让子进程调试父进程,利用时序差异避免检测。 - **信号干扰**: 捕获反调试的信号(如 `SIGTRAP`),阻止其触发检测逻辑。 #### 4. **二进制修补** - **原理**: 直接修改 `libexec.so` 的二进制代码,移除反调试逻辑。 - **工具**: 使用 Ghidra/IDA 定位反调试代码(如 `fopen` 调用),用 NOP 指令覆盖相关跳转。 #### 5. **环境隔离** - **容器化运行**: 在独立命名空间或容器(如 Docker)中运行程序,隔离 `/proc` 文件系统访问。 - **Seccomp 过滤**: 限制进程的系统调用权限,阻止 `open`/`read` 等关键操作。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值