第十一章 反调试
11.1 反调试常见手段
在Android逆向分析中,最常见的情况就是攻防的对抗,攻击者通过对样本进行静态分析,以及动态调试等手段,获取想要的信息。而保护方则通过对混淆,以及多种加固方式,来对自己的重要信息进行保护。例如使用加固的手段来干扰攻击者的静态分析,通过检测环境来对抗攻击者注入hook函数,添加各种检测调试来阻止攻击者动态分析。
ptrace是Linux操作系统提供的一个系统调用,它允许一个进程监控另一个进程的执行,并能够在运行时修改它的寄存器和内存等资源。ptrace通常被用于调试应用程序、分析破解软件以及实现进程间沙盒隔离等场景。
使用ptrace来监控目标进程时,需要以tracer(追踪者)的身份启动一个新的进程,然后通过ptrace函数来请求操作系统将目标进程挂起并转交给tracer进程。一旦目标进程被挂起,tracer进程就可以读写其虚拟地址空间中的数据、修改寄存器值、单步执行指令等操作。当tracer完成了对目标进程的调试操作后,可以通过ptrace函数将控制权还原到目标进程上,使其继续执行。
由于ptrace功能的强大,它也被广泛应用于破解软件、恶意攻击等场景。因此,在一些安全敏感的场合,为了防止恶意攻击者使用ptrace来监控和修改进程的行为,需要采取一些反调试的手段来加强保护。
11.1.1 根据文件检测
通过在被保护程序中定期检测其父进程是否为指定的tracer进程,可以避免恶意攻击者使用ptrace跟踪程序的执行流程。
接下来写一个简单的实例来进行测试。Android Studio创建native c++的项目。修改函数如下。
#include <jni.h>
#include <string>
#include <unistd.h>
#include <android/log.h>
#define LOG_TAG "native-lib"
#define ALOGD(...) __android_log_print(ANDROID_LOG_DEBUG , LOG_TAG, __VA_ARGS__)
extern "C" JNIEXPORT jstring JNICALL
Java_cn_mik_nativedemo_MainActivity_stringFromJNI(
JNIEnv* env,
jobject /* this */) {
std::string hello = "Hello from C++";
int ppid= getppid();
ALOGD("my ppid=%d",ppid);
return env->NewStringUTF(hello.c_str());
}
然后添加一个按钮,每次点击时则调用该函数,便于随时观测到ppid的变化。
Button btn1;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
binding = ActivityMainBinding.inflate(getLayoutInflater());
setContentView(binding.getRoot());
TextView tv = binding.sampleText;
tv.setText(stringFromJNI());
btn1=findViewById(R.id.button);
btn1.setOnClickListener(v->{
tv.setText(stringFromJNI());
});
}
在调用该函数时,就会打印其ppid(父进程id)。运行该函数后输出如下。
cn.mik.nativedemo D/native-lib: my ppid=1053
然后查看该进程id对应哪个进程。
adb shell
ps -e|grep 1053
// 输出如下
root 1053 1 14644500 115568 0 0 S zygote64
发现该进程是zygote进程,说明没有被调试。接下来使用ida调试该进程。找到ida下的dbgsrv目录,将其中的android_server64拷贝到Android系统中,将调试的端口23946转发到本地。并且将该服务启动起来,操作如下。
adb push "D:\tools\IDA Pro 7.6\dbgsrv\android_server64" /data/local/tmp/
adb forward tcp:23946 tcp:23946
adb shell
cd /data/local/tmp/
chmod +x ./android_server64
su
./android_server64
接下来打开ida,选择Debugger->Attach->Remote Arm linux/android debugger,在hostname选项中填本地回环地址127.0.0.1,如下图。
点击ok后,则会展示所有Android中的进程,在其中进行过滤,找到目标进程。如下图
成功挂起调试后,检查日志中的 ppid,发现并没有任何变化,依然是zygote作为父进程。
当使用 IDA 进行调试时,IDA 会创建一个调试器进程,并将其作为目标进程的父进程。但是,由于目标进程最初是由 zygote 进程fork出来的,因此在查询其父进程 id 时,仍然会返回zygote进程的 id。这并不意味着调试器进程没有被正确设置为目标进程的父进程。实际上,在IDA调试过程中,目标进程的执行状态确实是由调试器进程所控制的。因此,即使查询到的父进程id不正确,也不会影响IDA对目标进程的控制和调试操作。
尽管查询ppid无法判断出进程被调试了,但是依然有其他地方会出现被调试的信息,例如/proc/<pid>/status文件中的字段TracerPid,就能看到调试进程的id。下面查看该文件。
// 没有调试时的文件内容
Name: .mik.nativedemo
Umask: 0077
State: S (sleeping)
Tgid: 7759
Ngid: 0
Pid: 7759
PPid: 1053
TracerPid: 0
// ida附加调试后的文件内容
Name: .mik.nativedemo
Umask: 0077
State: t (tracing stop)
Tgid: 7759
Ngid: 0
Pid: 7759
PPid: 1053
TracerPid: 7525
查看该id对应哪一个进程。
ps -e|grep 7525
// 显示结果
root 7525 7523 10803524 33392 0 0 S android_server64
除了status文件外,wchan文件同样可以用来检测。下面是调试附加前,和附加后的对比。
// 附加前
SyS_epoll_wait
// 附加后,中断时
ptrace_stop
11.1.2 根据ptrace的特性检测