首页
社区
课程
招聘
[原创]ZFB Anti-Anti-Debug
发表于: 2016-9-9 17:48 8098

[原创]ZFB Anti-Anti-Debug

2016-9-9 17:48
8098

闲来无事研究了一下ZFB的反调试,没想到竟发现了白名单。。分享一下流程:

研究反调试之前,我个人比较喜欢先hook strcmp strncmp strstr之类的函数,因为大多数Anti-Debug喜欢用这些函数判断一些cookie,如果把参数dump下来加以分析,说不定就能看到反调试的逻辑。

hook之后,用IDA附加F9,没过一会儿程序收到了SIGSEGV异常,估计就是检测到调试了。好现在查看dump下来的参数信息:



ZFB用strstr在maps里面检测了Xposed和substrate(这2个库确实出名)



可以看到,有TracerPid这些日常检测,不过最关心的应该是最后4行,他通过TracerPid获取到cmdline(也就是./android_server),和下面4个字符串进行比较:
com.eg.android.AlipayGphone
/system/bin/debugger
qihoo360
com.lbe
好吧,上面4个字符串就是白名单了。为了验证,我把android_server改名为qihoo360,IDA附加之后APP运行正常,IDA也没有收到任何异常。

不过qihoo360亮了。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 3
支持
分享
最新回复 (7)
雪    币: 232
活跃值: (1796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
6666
2016-9-9 17:55
0
雪    币: 94
活跃值: (2397)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
哈哈,是有点亮
2016-9-9 19:22
0
雪    币: 30
活跃值: (760)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
请问 zfb 是什么, 支付宝吗
2016-9-10 09:35
0
雪    币: 3712
活跃值: (1401)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
5
好屌的说
2016-9-10 10:14
0
雪    币: 107
活跃值: (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
学习了。。。。。。。。。。。。。。。。。
2016-9-10 14:54
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
哈哈,这个是对于安全软件进行放行
2016-9-13 17:55
0
雪    币: 477
活跃值: (1412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
以后就用qihoo360了
2020-9-27 17:12
0
游客
登录 | 注册 方可回帖
返回
//