ANDROID调试检测技术汇编.pdfVIP

ANDROID调试检测技术汇编 1 调试器调试端口 2 调试器进程名 3 父进程名检测 4 自身进程名检测 5 apk线程检测 6 apk进程fd文件检测 7 安卓系统自带调试检测函数 8 ptrace检测 9 函数hash值检测 10 断点指令检测 11 系统源码修改检测 12 单步调试陷阱 13 利用IDA先截获信号特性的检测 14 利用IDA解析缺陷反调试 15 五种代码执行时间检测 16 三种种进程信息结构检测 17 Inotify事件监控dump 1. IDA调试端口检测 原理 ：   调试器远程调试时 ，会占用一些固定的端口号。 做法 ：   读取/proc/net/tcp ，查找IDA远程调试所用的23946端口 ，若发现说明进程正在被IDA调试。 （也可以运行netstat ­apn结果中搜索23946端口） void CheckPort23946ByTcp() { FILE* pfile=NULL char buf[0x1000]={0} // 执行命令 char* strCatTcp= cat /proc/net/tcp |grep :5D8A //char* strNetstat=netstat |grep :23946 pfile=popen(strCatTcp,r) if(NULL==pfile) { LOGA(CheckPort23946ByTcp popen打开命令失败!\n) return } // 获取结果 while(fgets(buf,sizeof(buf),pfile)) { // 执行到这里，判定为调试状态 LOGA(执行cat /proc/net/tcp |grep :5D8A的结果:\n) LOGB(%s,buf) }//while pclose(pfile) } 2. 调试器进程名检测 原理 ：   远程调试要在手机中运行android_server gdbserver gdb等进程。 做法 ：   遍历进程 ，查找固定的进程名 ，找到说明调试器在运行。 void SearchObjProcess() { FILE* pfile=NULL char buf[0x1000]={0} // 执行命令 //pfile=popen(ps | awk {print $9},r) // 部分不支持awk命令 pfile=popen(ps,r) if(NULL==pfile) { LOGA(SearchObjProcess popen打开命令失败!\n) return } // 获取结果 LOGA(popen方案:\n) while(fgets(buf,sizeof(buf),pfile)) { // 打印进程 LOGB(遍历进程:%s\n,buf) // 查找子串 char* strA=NULL,strB=NULL,strC=NULL,strD=NULL strA=strstr(buf,android_server) strB=strstr(buf,gdbserver) strC=strstr(buf,gdb) strD=strstr(buf,fuwu) if(