安卓逆向之java层反调试

安卓逆向之java层反调试


...


很多同学都问反调试是什么?今天小编就和大家一起去了解什么是反调试,java层反调试,然后一起学习学习!


反调试:

反调试技术是一种常见的反检测技术,因为恶意软件总是企图监视自己的代码以检测是否自己正在被调试。为做到这一点,恶意软件可以检查自己代码是否被设置了断点,或者直接通过系统调用来检测调试器


目录:

Java层反调试的原理介绍 以百度加固实例演示java层反调试 绕过java层反调试的方法

Java层反调试原理介绍


1、 在AndroidMainfest.xml文件中,application标签下,Android:debuggable=true。

2、 系统默认调试,在build.prop(bort.img),ro.debugable=1.


我们都知道安卓程序动态调试需要满足两个条件,一是在AndroidMainfest.xml文件中在application标签下,Android:debuggable=true。第二是系统默认调试,在build.prop(bort.img),ro.debugable=1。


以百度加固实例演示java层反调试

会调用这个Debug.isDebuggerConnected函数去检测程序是否被调试反调。


1、将样本拖入jdax-gui里面进行反编译

我们首先先把样本拖入到jdax-gui里面进行反编译,去看看他的现象是怎么样的。我们把准备好的程序拖入到jdax-gui里面去。


...

拖进去以后我们在这一个方法中来去找一个类

...

我们先来到这manifest.xml中去找一下程序的入口点。

...


然后我们按照包名去找一下,这里面有一个context

...


...


然后我们在去oncreate,oncreat里面有一个attachBaseContext方法

...

在attachBaseContext里面有一个if判断也就是debug.isdebuggerConnected,如果不为真的话,对它的一个取法就会加载so库,否则就不会有so库,也就是说,这个程序会在这里去进行一个判断,用isdebuggerConnected这个函数来检测这个程序是否被反调试或者有没有被调试。

从而去执行是否加载so库的逻辑操作。


...


我们点进去看一下,在这里它执行了一个so库。

...

以上呢就是java反调试的一个现象。


绕过java层反调试的方法

使用Androidkiller进行反编译,然后搜索isDebuggerConnected,修改此次判断的samil代码即可

我们在之前已经把他进行一个发编译。

...

然后我们去到工程搜索里面,我们直接搜索isDebugger

...


搜索到了,我们去看一下搜索到的地方,而我们搜索到的地方就是对应着这个jdax-gui里面进行一个判断的一个操作。

...


那我们该怎么去绕过这个反调试呢?我们这里在这里去找到if-nez,把这个if-nez,它根据这里的一个判断。实现这里的代码执不执行,那我们直接把这个nez给它改成一个eqz

...


它以前是不相等就跳,我们改成相等就跳,和0比较相等就跳,和v0比较相等就跳,那么我们修改过smail之后呢,我们去把这个程序进行一个保存,然后重新打包反编译,就可以绕过反调试了,当然我们不要忘记了签名。


今天小编给大家介绍了java层反调试的原理,然后讲解一个反调试例子,并且过掉java层反调试,不知道朋友们是否听懂呢?没听懂的话赶快来找小编吧,小编给你细细的在说一遍。当然小编也给大家准备了学习大礼包和课程,可以私聊我领取