本文博客链接:http://blog.csdn.net/qq1084283172/article/details/53613481
一、Android多进程反调试的原理代码
当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种反调试的手法,效果还是不错的。
/******************************************************
// 附加目标进程失败,说明目标进程已经被调试
if (ptrace(PTRACE_TRACEME, 0, 1, 0) < 0) {
printf("DEBUGGING... Bye\n");
return 1;
}
******************************************************/
// 多进程ptrace反调试
void anti_ptrace(void)
{
pid_t child;
// 创建子进程
child = fork();
if (child)
{
// 返回在父进程中
wait(NULL);
}
else
{
// 获取父进程的pid
pid_t parent = getppid();
// ptrace附加父进程
if (ptrace(PTRACE_ATTACH, parent, 0, 0) < 0)
{
while(1);
sleep(1);
}
// 释放附加的进程
ptrace(PTRACE_DETACH, parent, 0, 0);
// 结束当前进程
exit(0);
}
} 二、Android多进程反调试的解决方法整理
A.方法一
对于梆梆,之前有文章讨论可以attach到其binder线程上,通过gcore、dd来dump内存中的dex。
但对于其最新版本,当使用gdb attach到主进程的任一线程上时,要么permission denied,要么会退出。
对其实现机理进行一下分析:
1. 主进程fork子进程c1,c1 fork子进程c2;
2. c1会ptrace attach到主进程的主线程与GC线程(其也会操作memory,所以需要用ptrace方法保护),
这样当试图ptrace attach时,会有permission denied;
3. 主进程为了能让c1这个子进程跟踪,需要调用prctl,option为SET_DUMPABLE。但这个API比较危险,
其效果与AndroidManifest文件中debuggable选项设为true等价。如果不调用这个api,子进程是不能ptrace父进程的;
4. c1也会ptrace到c2进程,来对其进行保护;
5. 这个三个进程间彼此用pipe进行通信;
6. c1会向主进程内存空间注入大约52字节的数据,应为密钥;
7. 之后c1进入pipe读阻塞sleep;
8. c2使用inotify监控主进程的每个clone process的mem与pagemap,于是当gdb、dd试图dump内存时,mem的access事件被触发,
三个进程集体退出,导致内存dump不完整;这边漏了一个,同时c2会不断打开主进程的各个status文件,看其tracerpid是否为0,非0则被attach--退出;
9. c2并monitor主进程的task目录,来判断是否有新的clone process或现有的已消亡,来更新monitor的select loop的fd集合。
另外,梆梆还hook了write方法,来阻止在进程内部将header为dex的magic code的内容写入磁盘。
破解办法:
hook write那个好破解 ,字节流中转出来到其他进程就好了
或者写的时候,把dex,改成xxx就好啦。
上文中可以看出主进程的孙子进程是起到防gdb/gcore的关键,那么如何绕过它,依然使用gdb去dump出完整dex呢?
开始时,我是重新编译了一个rom,屏蔽与重定向了相关API,可以dump出来,显然这个方法相对烦躁一点。
下面介绍一种在目前梆梆的版本上,更为简单粗暴的方法:
1. 首先通过ps找出孙子进程的pid,记为pid3;
2. 查看/proc/<pid3>/task找出孙子进程所有的thread,通常是3个,并记录下他们的tid;
3. 使用kill -19 <tid> 将这些孙子线程挂起;
4. gdb 主进程,顺利gcore 。
kill命令的用法连接:
http://www.cnblogs.com/peida/archive/2012/12/20/2825837.html
http://fredrick8.blog.163.com/blog/static/11734560120126213347827/
提供Android多进程反调试的方法的大神eewolf的链接:
http://bbs.pediy.com/showthread.php?t=198778
http://bbs.pediy.com/showthread.php?t=198995
prctl函数的简单说明:
http://blog.chinaunix.net/uid-23145525-id-4026304.html
http://www.cppblog.com/beautykingdom/archive/2009/11/08/100419.aspx
B.方法二
原理:多进程都是通过fork出来的,因此我们修改/bionic/libc/bionic/fork.c里面的fork函数来使得目标进程fork失败,代码如下:
作者王正飞给出的思路是正确的,但是他给出的过滤代码是有问题的,本来是想编译Android源码试试的,时间比较急没来得及去测试代码了,正确的过滤代码我已经在下面给出了,其中"com.xxxx.yyy"为需要过滤的脱壳的apk的包名,后面我会测试一下,检查一下有没有问题再修改和补充:
// 修改Android系统的/bionic/libc/bionic/fork.c里面的fork函数,过反调试
#define BUF_LENTH 1024
// 进行脱壳apk进程的过滤
int is_target_apk_pid()
{
char szBuffer[BUF_LENTH] = {0};
char szCmd[BUF_LENTH] = {0};
// 格式化字符串得到/proc/pid/cmdline
sprintf(szCmd, "/proc/%d/cmdline", getpid());
// 获取当前pid进程的文件名称字符串(比较粗糙)
int fd = open(szCmd, O_RDONLY);
if (read(fd, szBuffer, BUF_LENTH))
{
//......
}
else
{
//......
}
close(fd);
// 判断当前pid进程是否是需要的过滤的脱壳apk进程
//memset(szCmd, 0, sizeof(szCmd));
//sprintf(szCmd,"/data/data/%s", szBuffer);
if (strstr(szBuffer, "com.xxxx.yyy"))
{
return 1;
}
return 0;
}
// 调用脱壳apk进程的过滤函数进行相应的处理
int fork(void)
{
int ret;
// 添加的代码
if (is_target_apk_pid())
{
return -1;
}
}
// 重新编译Android的fork函数所在的模块,定制ROM结果:修改fork函数后,目标APK只剩下一个进程了,使用gdb attach正常,效果如下:
思路扩展:
这个get_target2函数就是作为过滤条件用的,可以考虑结合注入+HOOK 。
作者王正飞的方法讨论链接:
http://bbs.pediy.com/showthread.php?t=211548
好了,可以睡觉了,晚安~