Android环境检测示例Demo CrackMe-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (36) ◀ 1 2
LivedForward 雪币： 1909 活跃值： (1653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 36 粉丝 26 关注私信	LivedForward 2023-3-31 20:22 26 楼 0 关注大佬了
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-3-31 20:28 27 楼 0 珍惜Any 为什么我觉得，你这篇文章在模仿我的你格局大很多，感谢你
WaxMoon 雪币： 509 活跃值： (783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 18 关注私信	WaxMoon 2023-4-1 00:46 28 楼 0
LivedForward 雪币： 1909 活跃值： (1653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 36 粉丝 26 关注私信	LivedForward 2023-4-1 20:45 29 楼 0 saliey 注册一个sigaction处理逻辑，并使用 sigqueue函数发送信号量 ``` #include #include #include #include void sig ... 你需要先设置一下SECCOMP_RET_TRAP，然后再注册处理器，最后使用sigqueue或者raise发送信号。我的例子与之前的帖子描述唯一不同的就是我的例子里面调用了open去产生的SIGSYS，这两种方法都可以。
樊辉雪币： 224 活跃值： (962) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 147 粉丝 0 关注私信	樊辉 2023-4-29 10:50 30 楼 0 //检测SECCOMP_RET_TRACE的seccomp filter 127\|HWCOL:/data/local/tmp $ ./bpf -a arm64 2.txt line OP JT JF K ================================= 0000: 0x20 0x00 0x00 0x00000000 ld $data[0] 0001: 0x15 0x00 0x01 0x00000038 jeq openat true:0002 false:0003 0002: 0x06 0x00 0x00 0x7ff00000 ret TRACE(0) 0003: 0x06 0x00 0x00 0x7fff0000 ret ALLOW { 29: [ 30, [31], //检测SECCOMP_RET_TRACE，waitpid拦截到系统调用后，检查寄存器regs->regs[1]路径是否为原路径 34: [35], //通过PTRACE_SYSCALL检测PTRACE 37, //通过SIGSYS信号检测SECCOMP_RET_TRAP 67, //检测su(/system/bin/su、/system/xbin/su、/system/sbin/su、/sbin/su、/vendor/bin/su、/su/bin/su、/odm/bin/su、/vendor/xbin/su) ] //检测多开(app文件路径) } //检测SECCOMP_RET_TRAP的seccomp filter HWCOL:/data/local/tmp $ ./bpf -a arm64 3.txt line OP JT JF K ================================= 0000: 0x20 0x00 0x00 0x00000000 ld $data[0] 0001: 0x15 0x00 0x01 0x00000038 jeq openat true:0002 false:0003 0002: 0x06 0x00 0x00 0x00030000 ret TRAP 0003: 0x06 0x00 0x00 0x7fff0000 ret ALLOW 使用proot轻松过
LivedForward 雪币： 1909 活跃值： (1653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 36 粉丝 26 关注私信	LivedForward 2023-4-29 13:30 31 楼 0 樊辉 //检测SECCOMP_RET_TRACE的seccomp filter 127\|HWCOL:/data/local/tmp $ ./bpf&a ... 最后于 2023-4-29 17:23 被LivedForward编辑，原因：
New对象处雪币： 22 活跃值： (3629) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 5 关注私信	New对象处 2023-4-29 13:41 32 楼 0 就喜欢你四处问，后删帖的感觉，所以删帖的必要在哪？
LivedForward 雪币： 1909 活跃值： (1653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 36 粉丝 26 关注私信	LivedForward 2023-4-29 13:51 33 楼 0 老哥，问，别人回答你是情分不回答是本分，而且关键是你跟我之间素不相识，也不是朋友关系。问了，即使我问了别人不回答，我觉得理所当然，这时候需要自己去研究思考。我之前帖子有分析相关的思路和部分代码，你可以自己去看。最后于 2023-4-29 14:58 被LivedForward编辑，原因：
mb_kgsesxqm 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	mb_kgsesxqm 2023-7-19 02:51 34 楼 0 whulzz 这种文章，我不清楚发表在看雪论坛当前板块的意义是什么@LowRebSwrd？另外这些手段我不清楚哪个是真正能打的，基本都是老掉牙的手段。另外RET_TRAP信号量我以为很不错，但是你信号量的注册在容器 ... 非常赞同，个人觉得论坛是个学习的地方，要么就开源代码，或者提供工具，不开源也不提供工具至少提供下检测/破检测的思路，什么都不提供就在那里，天天发布Crackme（感觉就是在打广告，吸引一些安全公司购买其源码），******************** 最后于 2023-7-19 14:09 被kanxue编辑，原因：请注意语气和用词，人身攻击语句删除
Da_ 雪币： 400 活跃值： (705) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 11 关注私信	Da_ 2023-10-25 18:01 35 楼 0 大佬，请问你是怎么检测libart.so的修改的，能展开讲讲嘛
Amun 雪币： 1112 活跃值： (2649) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 87 粉丝 39 关注私信	Amun 2024-4-22 11:11 36 楼 0 光速虚拟机, Android 7，未检测到 SECCOMP_RET_TRAP 但是 `/proc/pid/status` 中的 `Seccomp` 是 2
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

LivedForward

雪币： 1909

活跃值： (1653)

能力值：

( LV3，RANK：20 )

在线值：

发帖

9

回帖

36

粉丝

26

关注

私信

LivedForward 2023-3-31 20:22: 26 楼
0

关注大佬了

樊辉

雪币： 224

活跃值： (962)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

147

粉丝

0

关注

私信

樊辉 2023-3-31 20:28: 27 楼
0

珍惜Any 为什么我觉得，你这篇文章在模仿我的

你格局大很多，感谢你

WaxMoon

雪币： 509

活跃值： (783)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

12

粉丝

18

关注

私信

WaxMoon 2023-4-1 00:46: 28 楼
0

LivedForward

雪币： 1909

活跃值： (1653)

能力值：

( LV3，RANK：20 )

在线值：

发帖

9

回帖

36

粉丝

26

关注

私信

LivedForward 2023-4-1 20:45: 29 楼
0

saliey 注册一个sigaction处理逻辑，并使用 sigqueue函数发送信号量 ``` #include #include #include #include void sig ...

你需要先设置一下SECCOMP_RET_TRAP，然后再注册处理器，最后使用sigqueue或者raise发送信号。我的例子与之前的帖子描述唯一不同的就是我的例子里面调用了open去产生的SIGSYS，这两种方法都可以。

樊辉

雪币： 224

活跃值： (962)

能力值：

( LV2，RANK：10 )

在线值：

发帖

10

回帖

147

粉丝

0

关注

私信

樊辉 2023-4-29 10:50: 30 楼
0

//检测SECCOMP_RET_TRACE的seccomp filter
127|HWCOL:/data/local/tmp $ ./bpf -a arm64 2.txt
 line  OP   JT   JF   K
=================================
 0000: 0x20 0x00 0x00 0x00000000   ld  $data[0]
 0001: 0x15 0x00 0x01 0x00000038   jeq openat               true:0002 false:0003
 0002: 0x06 0x00 0x00 0x7ff00000   ret TRACE(0)
 0003: 0x06 0x00 0x00 0x7fff0000   ret ALLOW


{
    29: [   
        30, [31], //检测SECCOMP_RET_TRACE，waitpid拦截到系统调用后，检查寄存器regs->regs[1]路径是否为原路径
        34: [35], //通过PTRACE_SYSCALL检测PTRACE
        37,       //通过SIGSYS信号检测SECCOMP_RET_TRAP
        67,         //检测su(/system/bin/su、/system/xbin/su、/system/sbin/su、/sbin/su、/vendor/bin/su、/su/bin/su、/odm/bin/su、/vendor/xbin/su)
    ]
    //检测多开(app文件路径)
}

//检测SECCOMP_RET_TRAP的seccomp filter
HWCOL:/data/local/tmp $ ./bpf -a arm64 3.txt
 line  OP   JT   JF   K
=================================
 0000: 0x20 0x00 0x00 0x00000000   ld  $data[0]
 0001: 0x15 0x00 0x01 0x00000038   jeq openat               true:0002 false:0003
 0002: 0x06 0x00 0x00 0x00030000   ret TRAP
 0003: 0x06 0x00 0x00 0x7fff0000   ret ALLOW

使用proot轻松过