本文介绍了一种绕过百度加固中使用的调试检测方法。通过Hook VMDebug.isDebuggerConnected()函数,实现对调试状态的修改,使IDA等调试工具能够继续工作。
转:http://bbs.pediy.com/showthread.php?p=1427471#post1427471
if (!Debug.isDebuggerConnected())
这样对于ida使用者而言,网上的公开调试方式so的方式就不可以用了,怎么办呢?
闲来没事分析了一下,调用的是下面这个函数
public static boolean isDebuggerConnected(){
return VMDebug.isDebuggerConnected();
}
在libcore\dalvik\src\main\java\dalvik\system\VMDebug.java下:
public static native boolean isDebuggerConnected()
发现是一个native函数,那就hook它过调试检测。
下面给出脚本:
from idaapi import *
from idc import *
debug_addr = LocByName("_Z25dvmDbgIsDebuggerConnectedv")
end = FindFuncEnd(debug_addr) - 0x02
count = 0;
class DumpHook(DBG_Hooks):
def dbg_bpt(self,tid,ea):
global count
r0 = GetRegValue('r0')
if r0 == 1:
count = count + 1
if count == 2:
SetRegValue(0,"r0")
ResumeProcess()
return 0
AddBpt(end)
debug = DumpHook()
debug.hook()
print "hook"
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
