[原创]小日本也有大安全——记一次不寻常的手游反调试，反hook分析与绕过-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]小日本也有大安全——记一次不寻常的手游反调试，反hook分析与绕过

发表于: 2023-7-21 19:23 34026

[原创]小日本也有大安全——记一次不寻常的手游反调试，反hook分析与绕过

乐子人

2023-7-21 19:23

34026

查看主题内容

收藏・107

免费・44

支持

打赏 + 1.00雪花

jelasin

打赏次数 1

雪花 + 1.00

jelasin

+1.00

2023/12/13

感谢分享～

最新回复 (50) ◀ 1 2 3 ▶
青眼白龙雪币： 4055 活跃值： (4792) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 26 楼感谢案例分享，长见识了 2023-7-25 19:24 0
shinratensei 雪币： 1671 活跃值： (215817) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 14 关注私信	shinratensei 1 27 楼 tql 2023-7-25 19:29 0
2beNo2 雪币： 3485 活跃值： (4769) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 60 粉丝 87 关注私信	2beNo2 28 楼感谢分享 2023-7-25 23:32 0
top_top 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	top_top 29 楼大佬，第二个init_array函数您是从静态分析找出来的还是动态调试的时候看的啊，我在IDA动态调试的时候出现/apex/com.android.runtime/bin/linker64: could not find in process memory的warning，我的断点打在第一个init_array函数里了然后apk闪退了，想听听您的建议 2023-7-26 17:46 0
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 30 楼 top_top 大佬，第二个init_array函数您是从静态分析找出来的还是动态调试的时候看的啊，我在IDA动态调试的时候出现/apex/com.android.runtime/bin/linker64: coul ... 给linker下断点就没事吧 2023-7-26 20:04 0
top_top 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	top_top 31 楼乐子人给linker下断点就没事吧可能是断点打的太深了。不过刚刚调了一下，发现是app的debuggable是false，用magisk设置了一下，然后用jdb起一下debug状态的app就行了。感谢大佬回复，我后续试试断在linker看看 2023-7-26 21:09 0
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 32 楼 top_top 可能是断点打的太深了。不过刚刚调了一下，发现是app的debuggable是false，用magisk设置了一下，然后用jdb起一下debug状态的app就行了。感谢大佬回复，我后续试试断在linke ... 直接搞个root就不用这么折腾了 2023-7-26 22:26 0
top_top 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	top_top 33 楼乐子人直接搞个root就不用这么折腾了手机是root了，但是第一次用IDA调android的so，很多东西还在学习 2023-7-27 08:26 0
苏打水雪币： 148 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	苏打水 34 楼膜拜大佬，多发点，喜欢看 2023-7-28 12:37 0
sunfishi 雪币： 8764 活跃值： (5708) 能力值： ( LV13，RANK：296 ) 在线值：发帖 13 回帖 92 粉丝 99 关注私信	sunfishi 4 35 楼 mark 2023-7-30 09:43 0
jmzqwh 雪币： 626 活跃值： (1031) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	jmzqwh 36 楼看晕了，先复现一下试试 2023-8-4 09:54 0
阿嚏雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	阿嚏 37 楼大牛的新手入门，我看了好久 2023-8-14 17:17 0
breezes11 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	breezes11 38 楼以我目前的水平还看不懂 2023-8-17 10:13 0
涿州飞神雪币： 123 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 23 粉丝 6 关注私信	涿州飞神 39 楼大佬，ida调试信号的报错咋处理？ 2023-9-4 19:41 0
灬哈密瓜雪币： 2225 活跃值： (1073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 2 关注私信	灬哈密瓜 40 楼如何加入到水友群 2023-11-29 15:33 0
mb_xwoltfoi 雪币： 80 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_xwoltfoi 41 楼乐子人 so样本我用样本so，使用ida 7.7 的版本，为啥看不到 .init_array 段？楼主是可以看到的吧最后于 2024-7-29 07:43 被mb_xwoltfoi编辑，原因：上传的附件： 11111.png （57.55kb，2次下载） 2024-7-29 07:42 0
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 42 楼 mb_xwoltfoi 乐子人 so样本我用样本so，使用ida 7.7 的版本，为啥 看不到& ... 可能section header有问题对ida造成了干扰，直接看program header就行 2024-7-29 23:19 0
mb_xwoltfoi 雪币： 80 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_xwoltfoi 43 楼麻烦问下，文章中提到的 .init-array 函数的第一个函数会从进程的maps 文件中读取出第二个函数的代码(使用mprotect 修改其可执行权限)，这个是如何将第2个函数从内存中扣出来，再放到 ida 中进行查看的呢? 2024-8-14 07:46 0
.KK 雪币： 1197 活跃值： (6056) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 40 粉丝 53 关注私信	.KK 44 楼 mb_xwoltfoi 麻烦问下，文章中提到的 .init-array 函数的第一个函数会从进程的maps 文件中读取出第二个函数的代码(使用mprotect 修改其可执行权限)，这个是如何将第2个函数 ... 最后于 2024-9-7 02:11 被.KK编辑，原因： 2024-9-7 00:51 0
jfztaq 雪币： 193 活跃值： (1215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 45 楼大神，能不能讲下i国网这种抽取壳怎么开启webview调试 2024-9-19 06:20 0
ngiokweng 雪币： 1212 活跃值： (1050) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 35 粉丝 24 关注私信	ngiokweng 46 楼學到很多，感謝分享！！！ 2024-9-22 15:46 0
养只猫不好么雪币： 1379 活跃值： (2796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 79 粉丝 1 关注私信	养只猫不好么 47 楼感谢分享 2024-9-30 13:41 0
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 62 粉丝 1 关注私信	@=llfly 48 楼牛p 2024-9-30 14:04 0
cobe 雪币： 78 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	cobe 49 楼大佬，接单吗，有个感觉和你这个差不多的app 4天前 0
mb_uzklxgat 雪币： 660 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 91 粉丝 1 关注私信	mb_uzklxgat 50 楼怎么进群 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

乐子人

发帖

回帖

160

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (50) ◀ 1 2 3 ▶
青眼白龙雪币： 4055 活跃值： (4792) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 26 楼感谢案例分享，长见识了 2023-7-25 19:24 0
shinratensei 雪币： 1671 活跃值： (215817) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 14 关注私信	shinratensei 1 27 楼 tql 2023-7-25 19:29 0
2beNo2 雪币： 3485 活跃值： (4769) 能力值： ( LV4，RANK：40 ) 在线值：发帖 3 回帖 60 粉丝 87 关注私信	2beNo2 28 楼感谢分享 2023-7-25 23:32 0
top_top 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	top_top 29 楼大佬，第二个init_array函数您是从静态分析找出来的还是动态调试的时候看的啊，我在IDA动态调试的时候出现/apex/com.android.runtime/bin/linker64: could not find in process memory的warning，我的断点打在第一个init_array函数里了然后apk闪退了，想听听您的建议 2023-7-26 17:46 0
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 30 楼 top_top 大佬，第二个init_array函数您是从静态分析找出来的还是动态调试的时候看的啊，我在IDA动态调试的时候出现/apex/com.android.runtime/bin/linker64: coul ... 给linker下断点就没事吧 2023-7-26 20:04 0
top_top 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	top_top 31 楼乐子人给linker下断点就没事吧可能是断点打的太深了。不过刚刚调了一下，发现是app的debuggable是false，用magisk设置了一下，然后用jdb起一下debug状态的app就行了。感谢大佬回复，我后续试试断在linker看看 2023-7-26 21:09 0
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 32 楼 top_top 可能是断点打的太深了。不过刚刚调了一下，发现是app的debuggable是false，用magisk设置了一下，然后用jdb起一下debug状态的app就行了。感谢大佬回复，我后续试试断在linke ... 直接搞个root就不用这么折腾了 2023-7-26 22:26 0
top_top 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	top_top 33 楼乐子人直接搞个root就不用这么折腾了手机是root了，但是第一次用IDA调android的so，很多东西还在学习 2023-7-27 08:26 0
苏打水雪币： 148 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	苏打水 34 楼膜拜大佬，多发点，喜欢看 2023-7-28 12:37 0
sunfishi 雪币： 8764 活跃值： (5708) 能力值： ( LV13，RANK：296 ) 在线值：发帖 13 回帖 92 粉丝 99 关注私信	sunfishi 4 35 楼 mark 2023-7-30 09:43 0
jmzqwh 雪币： 626 活跃值： (1031) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	jmzqwh 36 楼看晕了，先复现一下试试 2023-8-4 09:54 0
阿嚏雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	阿嚏 37 楼大牛的新手入门，我看了好久 2023-8-14 17:17 0
breezes11 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	breezes11 38 楼以我目前的水平还看不懂 2023-8-17 10:13 0
涿州飞神雪币： 123 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 23 粉丝 6 关注私信	涿州飞神 39 楼大佬，ida调试信号的报错咋处理？ 2023-9-4 19:41 0
灬哈密瓜雪币： 2225 活跃值： (1073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 2 关注私信	灬哈密瓜 40 楼如何加入到水友群 2023-11-29 15:33 0
mb_xwoltfoi 雪币： 80 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_xwoltfoi 41 楼乐子人 so样本我用样本so，使用ida 7.7 的版本，为啥看不到 .init_array 段？楼主是可以看到的吧最后于 2024-7-29 07:43 被mb_xwoltfoi编辑，原因：上传的附件： 11111.png （57.55kb，2次下载） 2024-7-29 07:42 0
乐子人雪币： 3222 活跃值： (4922) 能力值： ( LV9，RANK：160 ) 在线值：发帖 7 回帖 88 粉丝 434 关注私信	乐子人 3 42 楼 mb_xwoltfoi 乐子人 so样本我用样本so，使用ida 7.7 的版本，为啥 看不到& ... 可能section header有问题对ida造成了干扰，直接看program header就行 2024-7-29 23:19 0
mb_xwoltfoi 雪币： 80 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_xwoltfoi 43 楼麻烦问下，文章中提到的 .init-array 函数的第一个函数会从进程的maps 文件中读取出第二个函数的代码(使用mprotect 修改其可执行权限)，这个是如何将第2个函数从内存中扣出来，再放到 ida 中进行查看的呢? 2024-8-14 07:46 0
.KK 雪币： 1197 活跃值： (6056) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 40 粉丝 53 关注私信	.KK 44 楼 mb_xwoltfoi 麻烦问下，文章中提到的 .init-array 函数的第一个函数会从进程的maps 文件中读取出第二个函数的代码(使用mprotect 修改其可执行权限)，这个是如何将第2个函数 ... 最后于 2024-9-7 02:11 被.KK编辑，原因： 2024-9-7 00:51 0
jfztaq 雪币： 193 活跃值： (1215) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 344 粉丝 1 关注私信	jfztaq 45 楼大神，能不能讲下i国网这种抽取壳怎么开启webview调试 2024-9-19 06:20 0
ngiokweng 雪币： 1212 活跃值： (1050) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 35 粉丝 24 关注私信	ngiokweng 46 楼學到很多，感謝分享！！！ 2024-9-22 15:46 0
养只猫不好么雪币： 1379 活跃值： (2796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 79 粉丝 1 关注私信	养只猫不好么 47 楼感谢分享 2024-9-30 13:41 0
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 62 粉丝 1 关注私信	@=llfly 48 楼牛p 2024-9-30 14:04 0
cobe 雪币： 78 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	cobe 49 楼大佬，接单吗，有个感觉和你这个差不多的app 4天前 0
mb_uzklxgat 雪币： 660 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 91 粉丝 1 关注私信	mb_uzklxgat 50 楼怎么进群 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复