原文链接 梆梆&爱加密java反调试绕过

各位道友有没有在越过重重native反调试脱掉壳之后想要调试smali的过程中突然发现在使用AndroidStdio动态调试smali的时候只要一挂载APP就会崩溃，本篇主要整理一下在调试梆梆&爱加密过程中遇到的java层反调试以及绕过的方式

在将梆梆&爱加密脱壳之后通过AS调试APP遇到反调试挂载失败，只要debug便会杀掉APP进程

虽然Dalvik已经在逐步退出市场，但是这里还是由他开始，大家都知道Dalvik的核心库是libdvm.so，在调试的过程中与APP建立连接少不了对libdvm.so的引用，因此libdvm.so几乎是最有嫌疑的地方。

所谓获取libdvm.so需要获取APP未启动时libdvm.so源文件，这里只要去/system/lib目录下将其提取到本地即可。
其次需要加固APP运行时libdvm.so，这里我通过IDA动态挂载APP之后将其从内存中dump出来。

小小脚本，不成敬意

在获取到两个libdvm.so之后通过BeyondCompare进行比较

通过比较可以看出在加固的APP运行之后，libdvm.so被改了几部分数据，并不是所有修改的地方都和反调试有关，通过IDA对照便宜去看看都改了什么地方，最终发现与java调试相关的地址为0x423B0，当然其他地方也有一些小惊喜，比如梆梆&爱加密抽取函数所hook的函数什么的。

_Z12dvmDbgActivev是java调试相关函数，主要功能是啥我也不是很清楚，有清楚的大佬希望可以留言告知一下，万分感谢。

由此可见加固APP是通过hook _Z12dvmDbgActivev函数使其跳转到它自己构造的函数，并且在其中将进程kill掉防止调试。那么我们只要将Hook之后的libdvm.so再Hook修改为原始函数，让其正常运行_Z12dvmDbgActivev函数，就可以绕过反调试了。

这里通过frida hook _Z12dvmDbgActivev函数地址，打印内存，将原本函数正确内存数据写入对应地址中

frida hook之后结果

反调试已经绕过啦！！！

art虚拟机下的反调试绕过同上述的dalvik方法相同，只是关键的运行库libdvm.so替换为libart.so,同样要去/system/lib目录下将其提取到本地，这里需要注意的是在提取之前要确认运行的是libart.so还是libart64.so。

在获取到两个libart.so之后通过BeyondCompare进行比较

最终确认反调试Hook地址为0x10ABC4

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)