解决Android加固多进程ptrace反调试的思路整理
阅读原文时间:2021年06月10日阅读:1

本文博客链接:http://blog.csdn.net/qq1084283172/article/details/53613481

一、Android多进程反调试的原理代码

当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种反调试的手法,效果还是不错的。

/******************************************************

// 附加目标进程失败,说明目标进程已经被调试
if (ptrace(PTRACE_TRACEME, 0, 1, 0) < 0) {
    printf("DEBUGGING... Bye\n");
    return 1;
}  

******************************************************/

// 多进程ptrace反调试
void anti_ptrace(void)
{
    pid_t child;  

    // 创建子进程
    child = fork();
    if (child)
    {
        // 返回在父进程中
        wait(NULL);
    }
    else
    {
        // 获取父进程的pid
        pid_t parent = getppid();
        // ptrace附加父进程
        if (ptrace(PTRACE_ATTACH, parent, 0, 0) < 0)
        {
        while(1);
        sleep(1);
        } 

        // 释放附加的进程
        ptrace(PTRACE_DETACH, parent, 0, 0);
        // 结束当前进程
        exit(0);
    }
}  

二、Android多进程反调试的解决方法整理

A.方法一

对于梆梆,之前有文章讨论可以attach到其binder线程上,通过gcore、dd来dump内存中的dex。

但对于其最新版本,当使用gdb attach到主进程的任一线程上时,要么permission denied,要么会退出。

对其实现机理进行一下分析

1.      主进程fork子进程c1,c1 fork子进程c2;

2.      c1会ptrace attach到主进程的主线程与GC线程(其也会操作memory,所以需要用ptrace方法保护),

这样当试图ptrace attach时,会有permission denied;

3.      主进程为了能让c1这个子进程跟踪,需要调用prctl,option为SET_DUMPABLE。但这个API比较危险,

其效果与AndroidManifest文件中debuggable选项设为true等价。如果不调用这个api,子进程是不能ptrace父进程的;

4.      c1也会ptrace到c2进程,来对其进行保护;

5.      这个三个进程间彼此用pipe进行通信;

6.      c1会向主进程内存空间注入大约52字节的数据,应为密钥;

7.      之后c1进入pipe读阻塞sleep;

8.      c2使用inotify监控主进程的每个clone process的mem与pagemap,于是当gdb、dd试图dump内存时,mem的access事件被触发,

三个进程集体退出,导致内存dump不完整;这边漏了一个,同时c2会不断打开主进程的各个status文件,看其tracerpid是否为0,非0则被attach--退出;

9.      c2并monitor主进程的task目录,来判断是否有新的clone process或现有的已消亡,来更新monitor的select loop的fd集合。

另外,梆梆还hook了write方法,来阻止在进程内部将header为dex的magic code的内容写入磁盘。
破解办法

hook  write那个好破解 ,字节流中转出来到其他进程就好了 

或者写的时候,把dex,改成xxx就好啦。

上文中可以看出主进程的孙子进程是起到防gdb/gcore的关键,那么如何绕过它,依然使用gdb去dump出完整dex呢?

开始时,我是重新编译了一个rom,屏蔽与重定向了相关API,可以dump出来,显然这个方法相对烦躁一点。

下面介绍一种在目前梆梆的版本上,更为简单粗暴的方法

1. 首先通过ps找出孙子进程的pid,记为pid3;

2. 查看/proc//task找出孙子进程所有的thread,通常是3个,并记录下他们的tid;

3. 使用kill -19 将这些孙子线程挂起;

4. gdb 主进程,顺利gcore 。

kill命令的用法连接

http://www.cnblogs.com/peida/archive/2012/12/20/2825837.html

http://fredrick8.blog.163.com/blog/static/11734560120126213347827/

提供Android多进程反调试的方法的大神eewolf的链接

http://bbs.pediy.com/showthread.php?t=198778

http://bbs.pediy.com/showthread.php?t=198995

prctl函数的简单说明:

http://blog.chinaunix.net/uid-23145525-id-4026304.html

http://www.cppblog.com/beautykingdom/archive/2009/11/08/100419.aspx

B.方法二

原理:多进程都是通过fork出来的,因此我们修改/bionic/libc/bionic/fork.c里面的fork函数来使得目标进程fork失败,代码如下:

作者王正飞给出的思路是正确的,但是他给出的过滤代码是有问题的,本来是想编译Android源码试试的,时间比较急没来得及去测试代码了,正确的过滤代码我已经在下面给出了,其中"com.xxxx.yyy"为需要过滤的脱壳的apk的包名,后面我会测试一下,检查一下有没有问题再修改和补充:

// 修改Android系统的/bionic/libc/bionic/fork.c里面的fork函数,过反调试

#define BUF_LENTH 1024

// 进行脱壳apk进程的过滤
int is_target_apk_pid()
{
    char szBuffer[BUF_LENTH] = {0};
    char szCmd[BUF_LENTH] = {0};

    // 格式化字符串得到/proc/pid/cmdline
    sprintf(szCmd, "/proc/%d/cmdline", getpid());

    // 获取当前pid进程的文件名称字符串(比较粗糙)
    int fd = open(szCmd, O_RDONLY);
    if (read(fd, szBuffer, BUF_LENTH))
    {
        //......
    }
    else
    {
        //......
    }
    close(fd);

    // 判断当前pid进程是否是需要的过滤的脱壳apk进程
    //memset(szCmd, 0, sizeof(szCmd));
    //sprintf(szCmd,"/data/data/%s", szBuffer);
    if (strstr(szBuffer, "com.xxxx.yyy"))
    {
        return 1;
    }

    return 0;
}

// 调用脱壳apk进程的过滤函数进行相应的处理
int fork(void)
{
    int ret;

    // 添加的代码
    if (is_target_apk_pid())
    {
        return -1;
    }
}

// 重新编译Android的fork函数所在的模块,定制ROM

结果:修改fork函数后,目标APK只剩下一个进程了,使用gdb attach正常,效果如下:

思路扩展

这个get_target2函数就是作为过滤条件用的,可以考虑结合注入+HOOK 。

作者王正飞的方法讨论链接:

http://bbs.pediy.com/showthread.php?t=211548

好了,可以睡觉了,晚安~

手机扫一扫

移动阅读更方便

阿里云服务器
腾讯云服务器
七牛云服务器

你可能感兴趣的文章