本文讲的是<b>Android 反调试技巧之Self-Debuging/proc 文件系统检测、调试断点探测</b>,
首先,我们来看看Bluebox Security(一家移动数据保护的公司)所描述的反调试方法。gDvm是一个类型为DvmGlobals的全局变量,用来收集当前进程所有虚拟机相关的信息,其中,它的成员变量vmList指向的就是当前进程中的Dalvik虚拟机实例,即一个JavaVMExt对象。以后每当需要访问当前进程中的Dalvik虚拟机实例时,就可以通过全局变量gDvm的成员变量vmList来获得,避免了在函数之间传递该Dalvik虚拟机实例。
gDvm的存在使得直接访问JDWP相关数据变得很容易。例如,gDvm。jdwpState指向包含全局调试数据和函数指针的结构。操作数据会导致JDWP线程发生故障或崩溃。下图就是Bluebox Security的具体方法:
刚开始,反调试实现起来并不容易,因为没有指向重要数据结构的全局符号。虽然我们有一个指向主结构体的JdwpState,但是 gJdwpState只是一个本地符号,所以链接器不会解决不了这个问题。
不过,libart.so会将JDWP相关类的一些vtables导出为全局符号。但是到目前,我们还搞不清楚其中的原因,以及这是否正常,但是这个方法却给了我们修改JDWP线程提供了一些很好的提示。这其中就包括JdwpSocketState和JdwpAdbState这两个分别通过网络套接字和adb端处理的JDWP连接:
我们可以以各种方式覆盖这个指针,简单的归零它们不是一个好主意,因为这会让整个过程崩溃。于是,我们找到的一个使用“JdwpAdbState :: Shutdown()”的地址来覆盖“jdwpAdbState :: ProcessIncoming()”地址的好方法,这个方法看起来如下:
一旦此功能运行,任何连接Java的调试器都将断开连接,任何进一步的连接尝试都将失败。令人惊讶的是,目前使用这个方法可以进行反调试了,并没有在日志中进行任何解释:
这个方法相当隐秘的,即通过欺骗和隐藏实现,不过我们只尝试了进行ADB端口连接,大家在使用这个方法时可能需要修补JdwpSocketState,以防止Java调试。
但是有一个问题:Android是建立在Linux上的,因此继承了ptrace系统调用。
什么是ptrace系统调用?
ptrace 系统调从名字上看是用于进程跟踪的,它提供了父进程可以观察和控制其子进程执行的能力,并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基 本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,而子进程则会被阻塞,这时子进程的状态就会被 系统标注为TASK_TRACED。而父进程收到信号后,就可以对停止下来的子进程进行检查和修改,然后让子进程继续运行。
其原型为:
ptrace有四个参数:
PTRACE_TRACEME反调试
ptrace是如此的强大,以至于有很多大家所常用的工具都基于ptrace来实现,如gdb,strace,jtrace和Frida。其中一些工具甚至提供了虚拟机自省技术,为与java虚拟机进行交互提供了便利的后门。
许多过去的Linux反调试技巧,例如监控proc文件系统和检测内存中的断点,一直都是Android上常用的的方法。通常在恶意软件使用的另一种技术是自我调试。该方法利用了一个事实,即只有一个调试器可以随时附加到进程。我们来看一下这个工作原理。
在Linux上,ptrace()系统调用用于观察和控制另一个进程(“tracee”)的执行,并检查和更改跟踪的内存和寄存器。它是实现断点调试和系统调用跟踪的主要手段,使用ptrace系统调用进行反调试的最明显的方法是对内存的分配和回收,然后调用ptrace(parent_pid)附加到父进程:
如果按照上述方式来实现,子进程将继续跟踪父进程,直到父进程退出,从而导致将调试器附加到父进程时失败。我们可以通过将代码编译成JNI函数并将其打包到我们在设备上运行的应用程序来验证。
假设一切顺利,我们现在就要尝试调试应用程序的逆向工程了。如下图所示,ps不是返回一个进程,而是返回相同命令行的两个进程:
Google 这么多年来,已经把 Android 做成了本质上无法分支(fork)的软件,开源只是名义上的,让我们来尝试使用gdbserver附加到父进程来进行验证:
如上图所示,仍然需要进行反向工程:
现在让我们再试一次尝试附加gdbserver:
ptrace调用通常常见的方法包括:
大家来看一下我们对上述方法的简单改进,在最初的fork()之后,我们在父进程中启动一个额外的线程来连续监视子进程的状态。根据应用程序是否已内置在调试或发布模式(根据Manifest中的android:可调试标志),子进程将以下列方式之一运行:
1.在释放模式下,调用ptrace失败,子进程立即退出分段错误(退出代码11)。
2.在调试模式下,调用ptrace工作,子进程预计会无限运行下去。因此,对waitpid(child_pid)的调用不应该返回,如果有的话,会阻碍了整个进程组的运行。
完整的JNI实现如下,通过添加JNIEXPORT(…)_ antidebug()作为本机方法,可以在自己的项目中自由使用它。
另外,我们将其打包成一个Android应用程序,看看它是否有效。就像上文一样,运行应用程序的调试版本时会显示两个进程:
但是,如果我们现在终止子进程,父进程也退出:
为了绕过这个进程,我们有必要稍微修改一下应用程序的进程,最简单的方法是使用NOP将调用修改为_exit,或者在libc.so中hook函数_exit。
如何防范这种反调试
预防这种反调试其实有很多种方法,比如我们可以修补应用程序漏洞,防止vtable被篡改。如果你不能及时修复,那以后还会再次受到这种攻击。另外就是在其他情况下,使用Xposed或Frida修改内核模块可能更合适,我们给大家介绍2种方法:
1.修补反调试功能。通过简单地用NOP指令覆盖来禁用不需要的行为。请注意,如果反调试机制已经经过深加工了,则可能需要更复杂的修补程序。
2.使用Frida或Xposed hook本地API,如ptrace()和fork(),或使用内核模块hook相关的系统调用。
原文发布时间为:2017年4月14日
本文作者:xiaohui
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
<a href="http://www.4hou.com/technology/4244.html" target="_blank">原文链接</a>