Ida动态修改android程序的内存数据和寄存器数值,绕过so文件的判断语句

最新推荐文章于 2024-03-28 18:35:53 发布
转载 最新推荐文章于 2024-03-28 18:35:53 发布 · 304 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/joey-hua/p/4702827.html
文章标签:

#移动开发 #java

本文详细解析了如何通过IDA Pro动态调试工具,修改内存数据和寄存器值,来绕过自毁程序密码检测,具体包括修改TracerPid值和动态修改R6寄存器,实现程序跳转控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们继续分析自毁程序密码这个app,我们发现该程序会用fopen ()打开/proc/[pid]/status这个文件,随后会用fgets()和strstr()来获取,于是我们在strstr()处下个断点,然后让hex view的数据与R0同步。每次点击继续,我们都会看到strstr传入的参数。当传入的参数变为TracerPid:XXXX的时候我们停一下。因为在正常情况下,TracerPid的值应该是0。但是当被调试的时候就会变成调试器的pid。

enter image description here

enter image description here

为了防止程序发现我们在调试,在这里我们需要把值改回0。我们在hex view的2那里点击右键,然后选择edit。随后我们输入30和00,再点击”apply changes”。就可以把TracerPid改为0了。然后就可以bypass这一次的反调试的检测。

enter image description here

但这个程序检测TracerPid的次数非常频繁,我们要不断的修改TracerPid的值才行,这种方法实在有点治标不治本,所以我们会在下一节介绍patch so文件的方法来解决这个问题。

另外在ida动态调试过程中,除了内存中的数据可以修改,寄存器的数据也是可以动态修改的。比如说程序执行到CMP R6, #0。本来R6的值是0,经过比较后,程序会跳转到4082A3FC这个地址。

enter image description here

但是如果我们在PC执行到4082A1F8这条语句的时候,将R6的值动态修改为0。程序就不会进行跳转了。

enter image description here

enter image description here

你甚至可以修改PC寄存器的值来控制程序跳转到任何想要跳转到的位置,简直和ROP的原理一样。但记得要注意栈平衡等问题。

enter image description here

 

转载于:https://www.cnblogs.com/joey-hua/p/4702827.html

使用反汇编工具IDA查看动态库中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序底层C++库崩溃问题
dvlinker的技术专栏
01-09 2万+
本文详细介绍如何使用IDA反汇编工具去查看二进制文件中的汇编代码上下文,结合安卓系统生成的Tombstone文件,排查安卓app程序遇到的底层库崩溃问题。
Relocations for this machine are not implemented,IDA版本过低导致打开二进制文件时生成汇编代码失败
dvlinker的技术专栏
12-19 1万+
本文详细讲述IDA版本过低导致生成汇编代码失败问题的排查过程,并以一个具体的安卓app崩溃的案例阐述如何使用IDA查看汇编代码去快速定位C++源码中的问题。
CE 内存修改工具 手机app版
04-27
手机CE APP 内存搜索工具
ida调试技巧-通过修改zf寄存器的值绕过简单反调试
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
03-28 1111
不想看也没关系,蒟蒻博主概述一下,总之,在机器执行汇编指令时,标志(flag)寄存器中的一个zf (Zero Flag) 零标志位用来存放指令判断,他的值将决定程序的分支走向,比方说zf=1如果走if逻辑,那么zf=0就走else逻辑了。不想看还是没关系(哈哈),概述下来就是JZ命令通过ZF标志位判断是否跳转,当执行到JZ指令时,如果ZF=1则跳转,如果ZF=0,不跳转,反正无非就是一个if...else的逻辑。既然ZF=0时程序下一步往左边的线路走,那直接手动把ZF的值改成1。
Android 逆向】修改运行中的 Android 进程的内存数据 ( Android 系统中调试器进程内存流程 | 编译内存调试动态库以及调试程序 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-31 2399
一、Android 系统中调试器进程内存流程、 二、编译内存调试动态库以及调试程序、 三、博客资源、
ida动态调试.so文件(附:动态调试中常见问题及解析)
云瀚的自习室
10-16 8239
安卓开发交流群:651325026,感兴趣的可以加群。 介绍IDA动态调试.so之前先说几个在调试过程中可能遇到的坑相应的解决方法。 问题一:IDA在使用过程中,F5插件翻译C/C++代码,汇编时报 please position the cursor within a function。 解决方法:1.右键 create func;2.在该函数内点F5即可翻译。 问题二:在使用adb ...
IDA附加调试android动态库.so文件帮助小程序源码
06-26
IDA调试动态库.so时,经常需要用jdb启动挂起进程,IDA附加进程, 映射端口到进程pid,这里的pid每次都是变化的,需要手工输入,很麻烦,所以写了一个小程序,只需要敲一行命令 nadb 进程名,很爽......
idapro so文件查看神器
10-06
idapro so文件查看神器,idapro so文件查看神器,idapro so文件查看神器
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,快速定位安卓app程序底层C++库的崩溃问题
热门推荐
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题。
使用IDA修改arm64的so,实现微信log输出
Ritter Liu的专栏
02-07 1826
1. adb pull 出来/data/data/com.tencent.mm/tinker/patch-c87a69a6/lib/lib/arm64-v8a/libwechatxlog.so 2. 分析xlog的开源代码,找到关键字 3. 用IDA打开libwechatxlog.so,搜索关键字,从而定位函数。 4. 根据汇编指令的跳转逻辑,修改汇编指令,使其执行logcat输出。使用在...
Android逆向:IDA改写so
小龙在线
12-04 2605
解压APK APKTool解压app-debug.apk : apktool d app-debug.apk armeabiv-v7a: 第7代及以上的 ARM 处理器。2011年15月以后的生产的大部分Android设备都使用。 arm64-v8a: 第8代、64位ARM处理器,很少设备,三星 Galaxy S6是其中之一。 armeabi: 第5代、第6代的ARM处理器,早期的手机用的比较多。 x86: 平板、模拟器用得比较多。 x86_64: 64位的平板。 修改字符串 在\app-debug\l
ida查看so代码,并修改的方法
xiuzhentianting的博客
10-29 2万+
1、用ida打开so文件,选项里面是:    elf for arm      下面是 metaPC 2、在左边找到要修改的函数,双击打开,F5可以看C的伪代码 3、从函数开始到ida注释的 End of function ... 就是函数代码部分。指令地址就是文件开始地址,可以用winhex编辑文件来改动指令,1个指令1般是从ida指定的地址开始,占用2个或4个字节。 4、如果要清空函数
so层检测frida绕过
Codeoooo 博客
06-26 1754
我们思路是可以frida加载那个so, 然后打印出检测线程的偏移;如果是在so层里开一个线程检测frida;然后干掉这个线程,完成!
stm32f407关于通用定时器各种函数——PWM(二)
XINLO1223158429的博客
06-24 6403
其实我们可以直接对TIM_TypeDef *Instance参数进行各种参数配置,就可以对定时器完成各种初始化,但是这样会比较麻烦,所以在TIM_HandleTypeDef还有其他的参数来进行参数配置。
so中函数断点的的反调试检测
深耕安全技术研究
08-05 730
反调试简介 在apk应用的so文件中函数的指令都是固定,但是如果被下了软件断点,指令就会发生改变(断点地址被改写为bkpt断点指令),可以计算内存中一段指令的hash值进行校验,检测函数是否被修改或被下断点。 实现原理 当我们程序中的函数被下软件断点,则断点地址会被改写为bkpt指令, 可以在函数体中搜索bkpt指令来检测软件断电。 代码实现 /*参数1:函数首地址 参数2:函数size */ typedef uint8_t u8; typedef uint32_t u32; int checkF
IDA PRO 05 - 动态调试基础03
a5right的博客
12-07 1614
本文主要讨论内存数据修改
ida 工具常用操作
08-05 965
导航条: 蓝色 表示常规的指令函数 黑色 节与节之间的间隙 银白色 数据内容 粉色 表示外部导入符号 暗黄色 表示ida未识别的内容 IDA主界面: IDA View三种反汇编视图:文本视图、图表视图、路径视图 Hex View 十六进制窗口 Imports 导入函数窗口 Struceures 结构体窗口 Exports 导出函数窗口 Enums 枚举窗口 Strings 字符串窗口 ...
Android逆向分析AliCrackMe
我的博客
06-15 1742
反编译、静态分析、动态调试注册机 本人接触Android不久,但Android开发不是我的主要目的,工作上需要用到逆向,现本文尝试分析注册机程序,我相信在逆向方面会有一些基础了解。本次调试过程,希望可以帮助到您,本人水平有限,若您发现有错误之处,恳请指正。 0、准备工作 电脑:Window10 手机:AndroidPhone(Version >=5.0)本人使用Redmi note 4x 环境:Java 1.8.0_121 调试:JEB V2.2.7 0.1 将apk...
如何使用IDA Pro进行基本的程序逆向分析,包括CPU寄存器的识别数据传输指令的理解?
最新发布
10-30
在逆向工程领域,IDA Pro是一个强大的工具,它可以让我们深入分析程序的工作原理。为了更好地理解IDA Pro的功能,你可以参考《IDA逆向分析教程:从零开始》这份教程。它从基础概念讲起,帮助初学者逐步掌握逆向分析的技巧。 参考资源链接:[IDA逆向分析教程:从零开始](https://wenku.youkuaiyun.com/doc/2sw7fpy0uj) 首先,打开IDA Pro并加载你想要分析的程序。软件将自动生成程序的反汇编代码。此时,你需要识别各种CPU寄存器,它们在IDA中通常以特定的名称标记,如EAX、EBX等。了解这些寄存器对于理解程序如何处理数据至关重要。 接下来,查看程序中的数据传输指令。在IDA中,这些指令通常以MOV、LEA等关键词出现。数据传输指令的作用是将数据从一个位置移动到另一个位置,或者是计算内存地址。例如,MOV指令会将源操作数的值复制到目标操作数,而LEA指令则用于加载内存地址到寄存器中。 通过分析这些指令,你可以追踪程序数据的流动路径,理解其数值系统数据处理方式。为了更深入地了解CPU寄存器的作用以及数据传输指令的具体应用,可以参考教程中的“CPU寄存器数据传输指令”部分,那里会有详细的解释实例。 最后,利用IDA的调试器功能可以对程序进行动态分析。在调试过程中,你可以观察寄存器值的变化,以及数据如何在不同存储位置间传输。这有助于你更准确地理解程序的运行流程逻辑。 掌握了IDA Pro的基本操作CPU寄存器的功能后,你可以利用这些知识对更复杂的程序进行逆向分析。为了进一步扩展你的逆向工程技能,建议持续阅读《IDA逆向分析教程:从零开始》中的后续章节,这将有助于你在逆向工程的道路上稳步前行。 参考资源链接:[IDA逆向分析教程:从零开始](https://wenku.youkuaiyun.com/doc/2sw7fpy0uj)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值