导语:首先,我们来看看Bluebox Security(一家移动数据保护的公司)所描述的反调试方法。gDvm是一个类型为DvmGlobals的全局变量,用来收集当前进程所有虚拟机相关的信息。
首先,我们来看看Bluebox Security(一家移动数据保护的公司)所描述的反调试方法。gDvm是一个类型为DvmGlobals的全局变量,用来收集当前进程所有虚拟机相关的信息,其中,它的成员变量vmList指向的就是当前进程中的Dalvik虚拟机实例,即一个JavaVMExt对象。以后每当需要访问当前进程中的Dalvik虚拟机实例时,就可以通过全局变量gDvm的成员变量vmList来获得,避免了在函数之间传递该Dalvik虚拟机实例。
gDvm的存在使得直接访问JDWP相关数据变得很容易。例如,gDvm。jdwpState指向包含全局调试数据和函数指针的结构。操作数据会导致JDWP线程发生故障或崩溃。下图就是Bluebox Security的具体方法:
JNIEXPORT jboolean JNICALL Java_com_example_disable(JNIENV* env, jobject dontuse ){ // gDvm==struct DvmGlobals gDvm.jdwpState = NULL; return JNI_TRUE; }
刚开始,反调试实现起来并不容易,因为没有指向重要数据结构的全局符号。虽然我们有一个指向主结构体的JdwpState,但是 gJdwpState只是一个本地符号,所以链接器不会解决不了这个问题。
不过,libart.so会将JDWP相关类的一些vtables导出为全局符号。但是到目前,我们还搞不清楚其中的原因,以及这是否正常,但是这个方法却给了我们修改JDWP线程提供了一些很好的提示。这其中就包括JdwpSocketState和JdwpAdbState这两个分别通过网络套接字和adb端处理的JDWP连接:
我们可以以各种方式覆盖这个指针,简单的归零它们不是一个好主意,因为这会让整个过程崩溃。于是,我们找到的一个使用“JdwpAdbState :: Shutdown()”的地址来覆盖“jdwpAdbState :: ProcessIncoming()”地址的好方法,这个方法看起来如下:
#include <jni.h> #include <string> #include <android/log.h> #include <dlfcn.h> #include <sys/mman.h> #include <jdwp/jdwp.h>#define log(FMT, ...) __android_log_print(ANDROID_LOG_VERBOSE, "JDWPFun", FMT, ##__VA_ARGS__)// Vtable structure. Just to make messing around with it more intuitivestruct VT_JdwpAdbState { unsigned long x; unsigned long y; void * JdwpSocketState_destructor; void * _JdwpSocketState_destructor; void * Accept; void * showmanyc; void * ShutDown; void * ProcessIncoming; };extern "C"JNIEXPORT void JNICALL Java_sg_vantagepoint_jdwptest_MainActivity_JDWPfun( JNIEnv *env, jobject /* this */) { void* lib = dlopen("libart.so", RTLD_NOW); if (lib == NULL) { log("Error loading libart.so"); dlerror(); }else{ struct VT_JdwpAdbState *vtable = ( struct VT_JdwpAdbState *)dlsym(lib, "_ZTVN3art4JDWP12JdwpAdbStateE"); if (vtable == 0) { log("Couldn't resolve symbol '_ZTVN3art4JDWP12JdwpAdbStateE'.n"); }else { log("Vtable for JdwpAdbState at: %08xn", vtable); // Let the fun begin! unsigned long pagesize = sysconf(_SC_PAGE_SIZE); unsigned long page = (unsigned long)vtable & ~(pagesize-1); mprotect((void *)page, pagesize, PROT_READ | PROT_WRITE); vtable->ProcessIncoming = vtable->ShutDown; // Reset permissions & flush cache mprotect((void *)page, pagesize, PROT_READ); } } }
一旦此功能运行,任何连接Java的调试器都将断开连接,任何进一步的连接尝试都将失败。令人惊讶的是,目前使用这个方法可以进行反调试了,并没有在日志中进行任何解释:
Pyramidal Neuron:~ berndt$ adb jdwp2926Pyramidal Neuron:~ berndt$ adb forward tcp:7777 jdwp:2926Pyramidal Neuron:~ berndt$ jdb -attach localhost:7777java.io.IOException: handshake failed - connection prematurally closed at com.sun.tools.jdi.SocketTransportService.handshake(SocketTransportService.java:136) at com.sun.tools.jdi.SocketTransportService.attach(SocketTransportService.java:232) at com.sun.tools.jdi.GenericAttachingConnector.attach(GenericAttachingConnector.java:116) at com.sun.tools.jdi.SocketAttachingConnector.attach(SocketAttachingConnector.java:90) at com.sun.tools.example.debug.tty.VMConnection.attachTarget(VMConnection.java:519) at com.sun.tools.example.debug.tty.VMConnection.open(VMConnection.java:328) at com.sun.tools.example.debug.tty.Env.init(Env.java:63) at com.sun.tools.example.debug.tty.TTY.main(TTY.java:1066)
这个方法相当隐秘的,即通过欺骗和隐藏实现,不过我们只尝试了进行ADB端口连接,大家在使用这个方法时可能需要修补JdwpSocketState,以防止Java调试。
但是有一个问题:Android是建立在Linux上的,因此继承了ptrace系统调用。
什么是ptrace系统调用?
ptrace 系统调从名字上看是用于进程跟踪的,它提供了父进程可以观察和控制其子进程执行的能力,并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基 本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,而子进程则会被阻塞,这时子进程的状态就会被 系统标注为TASK_TRACED。而父进程收到信号后,就可以对停止下来的子进程进行检查和修改,然后让子进程继续运行。
其原型为:
#include <sys/ptrace.h> long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data)
ptrace有四个参数:
1.enum __ptrace_request request:指示了ptrace要执行的命令。 2.pid_t pid: 指示ptrace要跟踪的进程。 3.void *addr: 指示要监控的内存地址。 4.void *data: 存放读取出的或者要写入的数据。
PTRACE_TRACEME反调试
ptrace是如此的强大,以至于有很多大家所常用的工具都基于ptrace来实现,如gdb,strace,jtrace和Frida。其中一些工具甚至提供了虚拟机自省技术,为与java虚拟机进行交互提供了便利的后门。
许多过去的Linux反调试技巧,例如监控proc文件系统和检测内存中的断点,一直都是Android上常用的的方法。通常在恶意软件使用的另一种技术是自我调试。该方法利用了一个事实,即只有一个调试器可以随时附加到进程。我们来看一下这个工作原理。
在Linux上,ptrace()系统调用用于观察和控制另一个进程(“tracee”)的执行,并检查和更改跟踪的内存和寄存器。它是实现断点调试和系统调用跟踪的主要手段,使用ptrace系统调用进行反调试的最明显的方法是对内存的分配和回收,然后调用ptrace(parent_pid)附加到父进程:
void anti_debug() { child_pid = fork(); if (child_pid == 0) { int ppid = getppid(); int status; if (ptrace(PTRACE_ATTACH, ppid, NULL, NULL) == 0) { waitpid(ppid, &status, 0); ptrace(PTRACE_CONT, ppid, NULL, NULL); while (waitpid(ppid, &status, 0)) { if (WIFSTOPPED(status)) { ptrace(PTRACE_CONT, ppid, NULL, NULL); } else { // Process has exited for some reason _exit(0); } } } } }
如果按照上述方式来实现,子进程将继续跟踪父进程,直到父进程退出,从而导致将调试器附加到父进程时失败。我们可以通过将代码编译成JNI函数并将其打包到我们在设备上运行的应用程序来验证。
假设一切顺利,我们现在就要尝试调试应用程序的逆向工程了。如下图所示,ps不是返回一个进程,而是返回相同命令行的两个进程:
[email protected]:/ # ps | grep -i anti u0_a151 18190 201 1535844 54908 ffffffff b6e0f124 S sg.vantagepoint.antidebug u0_a151 18224 18190 1495180 35824 c019a3ac b6e0ee5c S sg.vantagepoint.antidebug
Google 这么多年来,已经把 Android 做成了本质上无法分支(fork)的软件,开源只是名义上的,让我们来尝试使用gdbserver附加到父进程来进行验证:
[email protected]:/ # ./gdbserver --attach localhost:12345 18190 warning: process 18190 is already traced by process 18224 Cannot attach to lwp 18190: Operation not permitted (1) Exiting
如上图所示,仍然需要进行反向工程:
[email protected]:/ # kill -9 18224
现在让我们再试一次尝试附加gdbserver:
[email protected]:/ # ./gdbserver --attach localhost:12345 18190 Attached; pid = 18190 Listening on port 12345
ptrace调用通常常见的方法包括:
分别跟踪彼此的多个进程 跟踪运行过程,监视子进程 监视/ proc文件系统中的值,例如/ proc / pid / status中的TracerPID。
大家来看一下我们对上述方法的简单改进,在最初的fork()之后,我们在父进程中启动一个额外的线程来连续监视子进程的状态。根据应用程序是否已内置在调试或发布模式(根据Manifest中的android:可调试标志),子进程将以下列方式之一运行:
1.在释放模式下,调用ptrace失败,子进程立即退出分段错误(退出代码11)。
2.在调试模式下,调用ptrace工作,子进程预计会无限运行下去。因此,对waitpid(child_pid)的调用不应该返回,如果有的话,会阻碍了整个进程组的运行。
完整的JNI实现如下,通过添加JNIEXPORT(…)_ antidebug()作为本机方法,可以在自己的项目中自由使用它。
#include <jni.h> #include <string> #include <unistd.h> #include <sys/ptrace.h> #include <sys/wait.h> static int child_pid; void *monitor_pid(void *) { int status; waitpid(child_pid, &status, 0); /* Child status should never change. */ _exit(0); // Commit seppuku } void anti_debug() { child_pid = fork(); if (child_pid == 0) { int ppid = getppid(); int status; if (ptrace(PTRACE_ATTACH, ppid, NULL, NULL) == 0) { waitpid(ppid, &status, 0); ptrace(PTRACE_CONT, ppid, NULL, NULL); while (waitpid(ppid, &status, 0)) { if (WIFSTOPPED(status)) { ptrace(PTRACE_CONT, ppid, NULL, NULL); } else { // Process has exited _exit(0); } } } } else { pthread_t t; /* Start the monitoring thread */ pthread_create(&t, NULL, monitor_pid, (void *)NULL); } } extern "C" JNIEXPORT void JNICALL Java_sg_vantagepoint_antidebug_MainActivity_antidebug( JNIEnv *env, jobject /* this */) { anti_debug(); }
另外,我们将其打包成一个Android应用程序,看看它是否有效。就像上文一样,运行应用程序的调试版本时会显示两个进程:
[email protected]:/ # ps | grep -i anti-debug u0_a152 20267 201 1552508 56796 ffffffff b6e0f124 S sg.vantagepoint.anti-debug u0_a152 20301 20267 1495192 33980 c019a3ac b6e0ee5c S sg.vantagepoint.anti-debug
但是,如果我们现在终止子进程,父进程也退出:
[email protected]:/ # kill -9 20301 [email protected]:/ # ./gdbserver --attach localhost:12345 20267 gdbserver: unable to open /proc file '/proc/20267/status' Cannot attach to lwp 20267: No such file or directory (2) Exiting
为了绕过这个进程,我们有必要稍微修改一下应用程序的进程,最简单的方法是使用NOP将调用修改为_exit,或者在libc.so中hook函数_exit。
如何防范这种反调试
预防这种反调试其实有很多种方法,比如我们可以修补应用程序漏洞,防止vtable被篡改。如果你不能及时修复,那以后还会再次受到这种攻击。另外就是在其他情况下,使用Xposed或Frida修改内核模块可能更合适,我们给大家介绍2种方法:
1.修补反调试功能。通过简单地用NOP指令覆盖来禁用不需要的行为。请注意,如果反调试机制已经经过深加工了,则可能需要更复杂的修补程序。
2.使用Frida或Xposed hook本地API,如ptrace()和fork(),或使用内核模块hook相关的系统调用。