0x00

     為了避免我們的so檔案被動態分析，我們通常在so中加入一些反除錯程式碼，常見的Android native反除錯方法有以下幾種。

     1、直接呼叫ptrace(PTRACE_TRACEME, 0, 0, 0)，參考Android Native反除錯。

     2、根據上面說的/proc/$pid/status中TracerPid行顯示除錯程式的pid的原理, 可以寫一個方法檢查下這個值, 如果!=0就退出程式。參考Android Native反除錯，用JNI實現APK的反除錯。

     4、檢測手機上的一些硬體資訊，判斷是否在偵錯程式中，參考Android應用方法隱藏及反除錯技術淺析

   0x01

    那麼我們如何過掉這些反除錯呢？

    我們講解兩種方式：

    1、Ida Patch so

    2、Ida動態修改記憶體資料和暫存器數值

    我們首先講解Ida Patch so，有幾處都可以patch。我們從易到難依次講解。

    第一處：

    我們在JNI_ONLOAD下斷點，如下圖：

     依次單步執行到BLX R7

    我們發現當執行完這步後，我們的ida就退出了，說明反除錯程式碼是從這個入口進入執行的。那麼我們只要把這個入口給NOP掉，就可以繞過反除錯了。

    Patch so就是修改so中的二進位制程式碼，然後再重新簽名生成新的apk。Patch so，需要修改的本地so中的程式碼，而不是記憶體中的，所以我們需要通過上圖記憶體中指令地址減去so在記憶體中的基地址來獲取這條指令在本地so檔案中的偏移。那麼so在記憶體中的基地址怎麼獲取呢？按Crtl+s。

     我們看到libcrackme.so的基地址是AB732000，用BLX R7的地址AB733C58減去AB732000，等於1C58。

     然後我們雙開ida，在另一個ida中開啟libcrackme.so，按G，然後輸入1C58，果然我們調到了BLX R7的位置，如下圖：

    下面就要把這行程式碼NOP，可以修改為00 00 00 00，也可以修改為00 00 A0 E1。

    修改後點選右鍵，applay change。然後重新簽名生成apk，再次執行apk，ida除錯時就沒有反除錯的干擾了。

    第二處：

    我們按F7進入BLX R7的內部執行，如下圖：

    是建立了一個執行緒去執行反除錯，這裡有個小技巧，如果我們想回到剛才的函式BLX R7，怎麼辦呢？選擇暫存器LR，然後點選右鍵選擇Jump即可，同理選擇PC是跳到當前的位置。

    這個執行緒執行的函式體是sub_AB7336A4，如下圖：

    sub_AB7336A4函式體如下：

   這個方法迴圈執行sub_AB73330C。我們進入sub_AB73330C，懷疑這裡就是真正檢查是否處於除錯狀態的地方，但是程式碼經過了嚴重的混淆，所以找不到反除錯的程式碼。

   那怎麼辦呢？在0x00中我們談到了常見的反除錯程式碼，最常見的是第二種方式，第二種方式檢查的過程中會呼叫fopen，所以我們在libc的fopen方法下斷點，來是哪個函式呼叫的fopen，基本上就可以斷定這個函式是反除錯程式碼。

   首先我們需要找到fopen的位置，按Alt+T，然後輸入fopen關鍵字，如下圖：

    找到fopen後，程式碼是這樣的：

   此時按P，就可以變成程式碼形式。如下圖，在fopen處下斷點。

   點選F9，繼續執行，我們看到程式停在fopen處，此時LR就是剛剛我們談到的sub_AB73330C，如下圖：

   所以我們可以確定sub_AB73330C就是進行反除錯的程式碼。我們可以看到這個函式是被sub_AB7336A4呼叫的。

    點選右側的CODE XREF:sub_AB7336A4就能進入到呼叫sub_AB73330C的地方。在sub_AB7336A4函式上按F5，就能看到對應的C語言程式碼。如下：

    可見程式是在sub_AB73330C迴圈檢測是否被反除錯的。

    此時我們可以用和第一處一樣的方式，找到本地so中對應的方法，然後Patch so，Nop掉對應的方法，然後重新簽名，重新執行。

    第三處:

    其實第三處和第二處原理是一樣的，只不過這裡不使用Nop了，sub_AB73330C開始和結束的彙編程式碼如下：

    開始時：

    結束時：

     所以我們可以把AB733310的程式碼修改為AB73363C處的程式碼，不執行任何操作，直接返回。

   0x02

    Ida動態修改記憶體資料和暫存器數值

    我們看到反除錯方法第二點，程式碼如下：

void be_attached_check()
{
    try
    {
        const int bufsize = 1024;
        char filename[bufsize];
        char line[bufsize];
        int pid = getpid();
        sprintf(filename, "/proc/%d/status", pid);
        FILE* fd = fopen(filename, "r");
        if (fd != nullptr)
        {
            while (fgets(line, bufsize, fd))
            {
                if (strncmp(line, "TracerPid", 9) == 0)
                {
                    int statue = atoi(&line[10]);
                    LOGD("%s", line);
                    if (statue != 0)
                    {
                        LOGD("be attached !! kill %d", pid);
                        fclose(fd);
                        int ret = kill(pid, SIGKILL);
                    }
                    break;
                }
            }
            fclose(fd);
        } else
        {
            LOGD("open %s fail...", filename);
        }
    } catch (...)
    {

    }

}

    我們在strcmp下斷點：

    程式會在此處斷下，當我們發現R0地址中的內容為TracerPid:XXXX時，我們停一下，如下圖：

    R0的裡面存的地址是AB731B25，裡面的內容為，如下圖：

   我們可以通過修改記憶體值的方式來過掉這一次反除錯。

   把TracerPid改為0，如下圖：

    然後點選Apply changes。這樣就可以過掉這次反除錯。我們在前面也看到了，程式是在一個迴圈中進行反除錯檢查，所以這樣的方試只是過了其中一次反除錯。

   不推薦使用這種方式，最好使用Patch So的方式。