修改系统内核 绕过反调试 TracerPid为0

最新推荐文章于 2021-07-20 08:06:42 发布
最新推荐文章于 2021-07-20 08:06:42 发布
阅读量4.9k 收藏 5
点赞数 3
CC 4.0 BY-SA版权
分类专栏: java 逆向技术 文章标签: android 反调试 boot.img TracerPid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012889434/article/details/52174736
本文详细介绍了如何在Nexus 5设备上提取并修改Android 4.4系统的内核文件zImage,包括获取root权限、提取boot.img、解包与重建内核文件等步骤。

原文 http://bbs.pediy.com/showthread.php?t=207538

感谢作者整理,亲测可用 坐着用的mac 现在改成windows下操作

设备nexus5 系统android 4.4

如果 设备与上不符 按照以下方法获取boot.img

一、  提取ker内核文件
在提取zImage前,必须确保自己拥有root权限。adb root 获取root权限
输入命令:

adb shell
ls -l /dev/block/platform/msm_sdcc.1(具体设备具体定)/by-name,
找到boot这一项,记下路径

 

将boot导出为boot.img
dd if=/dev/block/mmcblk0p19 of=/data/local/boot.img
adb pull /data/local/boot.img boot.img

如果设备和系统的和给出符话直接 使用源码的boot.img更好

 

二.使用 bootimg.exe工具,解开boot.img

 

Bootimg boot.img文件放到同一目录


执行bootimg --unpack-bootimg  该命令会解包出内核:kernelramdisk.gz.

kernel就是内合文件 和zImage相同

 

kernel文件复制为文件名为z.gz的文件,并使用010editor查找十六进制1f 8b 08 00,找到后把前面的数据全删掉,使z.gz文件变成标准的gzip压缩文件,这样子就可以使用gunzip解压了。
命令:gunzip.exe z.gz 

 

生成文件z就是祼二进制文件zImage。
二、  提位、修改关键代码
zImage文件可以直接使用IDA去打开,但需要设置参数。

在上图,设置处理器类型为ARM Little-endian,点【ok】后,弹下图



在ROM start address和Loading address填0xc0008000,点【ok】,IDA显示效果如下图所示,没有函数名,不方便定位代码。

先回到root下的adb shell,输入命令:
echo 0 > /proc/sys/kernel/kptr_restrict
关闭符号屏蔽
再输入以下命令查看这两函数的地址

回到IDA,按g跳转到c01b083c(__task_pid_nr_ns)地址处,在光标放在在该函数处:

然后按x,弹出引用搜索框

在搜索框里,找到sub_c02b9ff8(proc_pid_status)地址对应的函数,双击它,如果IDA没有分析出该函数,就进行以下操作:
按shift+f12,搜索TracerPid,找到以下项

双击它,看到

再双击【DATA XREF: sub_c02b9ff8+190】,IDA就能分析出sub_c02b9ff8函数了,然后重新搜索sub_c01b083c的引用。找到后,双击它,得以下图:

经本人分析得到的修改方法是把MOVEQ R10, R0替换为MOV R10, #0,机器码 00 A0 A0 01 替换为 00 A0 A0 E3  

指令的文件偏移为(C02BA568-C0008000=2B2568) (使用010editor修改)

及把BL sub_C01B083C替换为MOV R0, #0,机器码 AF DB FB EB 为00 00 A0 E3,

指令的文件偏移为(C02BA578-C0008000=2B2578)|(原文中错误的地方)

三、  刷回手机
刷回前需要先打包boot.img文件
使用命令压缩成z.gz:gzip -n -f -9 z

三、使用010editor将z.gz的二进制数据覆盖到原kernel文件的1F 8B 08 00处的位置(新的z.gz文件必须比原z.gz文件小,并且回写回去时不能改变原kernel文件的大小及修改原kernel文件后面的内容,否则会很麻烦),这时得到了kernel文件。

注:这个地方可以新建一个用010editor 新建hex文件  把 原kernel文件1F 8B 08 00处一起的数据复制到 新文件里 然后把 z.gz的数据添加复制到 新文件里 ,这时候 比对 原kernel和新文件

把原kernel文件中 多的数据 一个字节不少的赋值到新的文件中,这样就组成新的 kernel 文件 新文件和原kernel一样大。把原kernel文件删除 把新文件重命名为kernel

执行命令bootimg --repack-bootimg base cmdline page_size padding_size

其中上述命令中的黑体部分为包命令的输出值。得到boot.img文件。
手机重启进入刷机模式,然后,执行命令fastboot flash boot boot.img。
完成刷机后,重新开机,就大功告成了。


四、  还原砖头
刷内核,不免会有刷成砖头的情况。
使用步骤1中提取到的原版boot.img,解包后会被命名为 bootold.img 在刷机模式下,执行fastboot flash boot bootold.img就还原系统了。


所以工具下载地址 http://pan.baidu.com/s/1bo8RUmN


玩转Android10源码开发定制(六)修改内核源码绕过反调试检测
xiaomaNo01的专栏
12-30 1466
一、Android反调试 反调试在代码保护中扮演着非常重要的角色,虽然不能完全阻止攻击者,但是能加大攻击者的分析时间成本。目前绝大多数Android app都加固了,为了防止App被调试分析,加固功能中添加了各种反调试功能,比如:自己ptrace自己、检查函数执行时间、读取/proc/$pid/wchan或者/proc/$pid/task/$pid/wchan文件信息判断调试状态、读取/proc/$pid/stat或者/proc/$pid/task/$pid/stat文件信息判断调试状态、读取/...
反调试】去除各种反调试
热门推荐
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
如何绕过反调试技术——学习回顾(2)
weixin_43742894的博客
04-09 920
之前总结了一些常见的反调试技术,反调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解反调试的方法,就是“反反调试”。 记录学习过程,以待后来温习。 反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690 主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调...
如何绕过反调试技术——学习回顾(1)
weixin_43742894的博客
04-09 4039
之前总结了一些常见的反调试技术,反调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解反调试的方法,就是“反反调试”。 记录初次学习,以待后来温习。 反调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690 主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过反调...
绕过TracerPid检测
yusakul的博客
04-24 870
在调试状态下,Linux内核会向一些文件写入进程状态信息,比如/proc/[pid]/status ,/proc/[pid]/task/[pid]/status文件的TracerPid字段写入调试器进程pid,state字段写入t(tracing stop),在动态调试时常常会遇到循环检测,手动过反调试非常费力,但是可以修改安卓内核从根源上处理这些文件,比如将/proc/[pid]/status...
模拟器修改内核绕过ptracepid检测
inquisiter
12-17 7957
模拟器修改内核绕过ptracepid检测我看了下很多检测反调试的应用都会调用这个功能个,修改内核做个系统还是很重要的。不够我自己嫌修改真机的内核太麻烦,现在模拟器上练个手,虽然网上没有如何修改具体的教程,不过真机修改内核还是有很多。我这里自己类推下:模拟器文件结构分析 我们先要找到内核文件的位置,如果是真机的话,需要找到boot.img。模拟器要简单很多,如上图,内核文件就是kernel-qem
安卓系统修改系统内核绕过TracerPid检测--反防调试
weixin_40418457的博客
07-19 997
作者子炎 背景: 得到一个Android的CrackMe来考察逆向知识,分析后发现其关键函数位于native so库中,并且在函数开始时启动了线程进行TracerPid检测的反调试,当发现程序被调试时会直接杀死应用。虽然题目最后卡在了native 逆向与反调试绕过这里,下去后我学习了下如何绕过这个反调试。主要是两种:(1)patch so,直接修改关键值来绕过;(2)修改系统内核文件来将TracerPid写死为0。刚好我手头有一个之前做实验已root的红米 note 4,便决定采用修改系统内核的方式,一劳永
高通android逆向分析,逆向修改内核绕过TracerPID反调试
weixin_36480423的博客
05-25 814
前言上次DDCTF结束后,和BinCrack师傅交流,他提到用了自己编译的安卓内核,直接修改源码更改了TracerPID,之后在国赛也遇到了对status的检测,虽然可以修改内存绕过(ref 4),但是还是想试一试把内核patch掉。查阅了很多资料后,大概有三种方法:1.修改源码,重新编译内核 (ref 2)2.逆向修改内核文件,patch二进制文件3.hook fopen 函数,检测/proc/...
逆向修改android内核反调试,逆向修改手机内核绕过反调试
weixin_39636176的博客
06-01 1045
作者:lcweik 看雪学院Android 应用反调试里最常用的一种反调试方法是查看/proc/self/status的信息,如果 TracerPid 不为 0,就判断为正在被调试。如果自己拥有内核源码,就可以自己编译生成 zImage 去替换内核就能正常运行了,但可惜的是,很多手机的内核都不开源,为此只能自己去逆向修改。一、提取 zImage 内核文件在提取zImage 前,必须确保自己拥有...
修改Android手机内核绕过反调试
墨鱼菜鸡
02-26 465
本文博客链接:http://blog.csdn.net/qq1084283172/article/details/57086486 0x1.手机设备环境 Model number: Nexus 5 OS Version: Android 4.4.4 KTU84P Kernel Version: 3.4.0...
boot.img内核防止反调试TracerPId的轮询
10-24
1、学习如何提取内核 2、如何修改TracerPID跳过反调试 3、提供了需要用到的工具和源码
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核反调试插件
03-08
AA调试 内核反调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess DbgkpQueueMessage KiDispatchException DebugActiveProcess DbgUixxx 等函数绕过调试对象(Process-> DebugObject)以及其他关键位置实现反反调试效果 目前已实现 目前已实施 内核绕过DebugPort 内核bypss DebugPort 应用层绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsReserved [1]) R3绕过DbgUiDebugObjectHandle(NtCurrentTeb()-> DbgSsRese
安卓逆向|菜鸟的FRIDA学习笔记:如何让TracerPid恒为0?
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-20 2810
本文内容及代码来源于网络,如有侵权请告知删除,谢谢!周末在肉丝姐群里白嫖了个frida脚本,据说可以让TracerPid恒为0,代码如下:varanti_fgets=functio...
源码编译绕过反调试
weixin_30485799的博客
11-28 196
参考师弟的贴子修改的, 基本我一次就弄好了, 没有遇到啥问题, 下面我主要是补充下他的帖子http://bbs.pediy.com/showthread.php?t=213481 一. 环境搭建(1). 环境介绍:手机:nexus 5ubuntu版本:15.10android版本:4.4.4android源码官网(这里有很多相关的资料,基本上按照官网的来就可以编译想编译的任何版本了)http://...
Linux笔记-Linux中的TracerPid
IT1995的博客
07-20 755
在每个进程都在/proc中有对应的文件夹,其中有个status文件: [root@VM-0-2-centos 15173]# ls attr cmdline environ io mem ns pagemap sched stack task autogroup comm exe limits mountinfo numa_maps
android 反调试(TracePid 不断轮询检查 JAVA )
Viewz的博客
05-28 1523
android 中,在调试状态下,linux会向/proc/"进程PID"/status 中写入状态信息。其中TracePid 就是调试该进程的进程的的Pid,所以反调试的方法之一就是通过不断轮询检查TracePid的值,假如为0的话,说明该进程没有被调试,假如不为0的话,就说明当前该进程正在被调试,程序执行exit(0)操作。 我直接用一个类来包装我的adb shell: 先通过get...
android 反调试 方案,android反调试tracerPid检测
weixin_32120857的博客
05-26 528
#include #include #include #include #include #define TRACERPID "TracerPid:"#define TRACERPID_LEN (sizeof(TRACERPID) - 1)void loop(){while(true){sleep(60);}}bool check_debugger(pid_t pid){const int pat...
TracerPid反调试实现与逆向
明风的博客
11-01 7106
经常会在一些脱壳文章里面看到TracerPid,ptrace什么的,那这些都是什么意思呢? 我们来查看本程序的/proc/{PID}/status文件 C:\Users\wangz>adb shell root@jflte:/ # ps |grep "wnagzihxain" u0_a123 29139 281 960944 31468 ffffffff 4005a8e0 S com.
libexec.so反调试绕过
最新发布
05-04
好的,用户想绕过libexec.so的反调试机制。首先,我需要回想一下之前提到的反调试方法。根据引用[1],libexec.so可能使用fopen和fgets读取/proc/self/status文件来检测调试状态,比如检查TracerPid字段。所以绕过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值