编译libc.so过time函数反调试

作者: 看雪学院 | 来源:发表于2019-01-07 18:19 被阅读24次

根据论坛各位大神的文章，了解了Android的各种反调试机制，如tracerpid, time。

其中的tracepid，大神们说可以通过修改源码重新编译内核实现Anti反调试。在我的Nexus 7平板上，根据百度来的教程，修改了linux内核源码后体验了一下，可以过掉这种反调试。

那么本着娱乐的精神，对于time()函数的反调试，能不能用编译源码的方式解决一下？

首先， time()函数存在于libc.so中。而android的libc.so，源代码位于bionic/libc，查看源代码，在android-4.4.4_r1/bionic/libc/unistd/time.c中发现了这个函数。

#include <time.h>

time_t

time(time_t *t)

{

struct timeval tt;

time_t ret;

if (gettimeofday(&tt, (struct timezone *)0) < 0)

ret = -1;

else

ret = tt.tv_sec;

if (t != NULL)

*t = ret;

return ret;

}

经过一番测试，这一部分代码修改为：

#include <time.h>

#include <unistd.h>

#include <private/libc_logging.h>

#include <stdio.h>

#include <fcntl.h>

time_t

time(time_t *t)

{

struct timeval tt;

time_t ret;

pid_t procid;

int fcmdline = -1;

char szCmdline[64]= {0};

char szProcName[256] = { 0 };

int fConfig = -1;

char buf[1024] = { 0 };

if (gettimeofday(&tt, (struct timezone *)0) < 0)

ret = -1;

else

ret = tt.tv_sec;

if (t != NULL)

*t = ret;

procid = getpid();

__libc_format_log(ANDROID_LOG_DEBUG, "libc_log", "pid_t : %d", procid);

sprintf(szCmdline, "/proc/%d/cmdline", procid);

__libc_format_log(ANDROID_LOG_DEBUG, "libc_log", "%s", szCmdline);

fcmdline = open(szCmdline, O_RDONLY, 0644);

if(fcmdline > 0)

{

__libc_format_log(ANDROID_LOG_DEBUG, "libc_log", "fcmdline : %d", fcmdline);

read(fcmdline, szProcName, 256);

__libc_format_log(ANDROID_LOG_DEBUG, "libc_log", "szProcName : %s", szProcName);

close(fcmdline);

}

if(szProcName[0])

{

fConfig = open("/data/local/tmp/antime.txt", O_RDONLY, 0644);

if(fConfig > 0)

{

__libc_format_log(ANDROID_LOG_DEBUG, "libc_log", "fConfig : %d", fConfig);

read(fConfig, buf, 1024);

__libc_format_log(ANDROID_LOG_DEBUG, "libc_log", "config buf : %s", buf);

if(buf[0])

{

if(strstr(buf, szProcName))

{

return 0x56788765;

}

}

close(fConfig);

}

}

return ret;

}