起因
最近泓清和我聊了下 Android ebpf 的事情,最初是维术大佬开直播讲这个,无奈晦涩难懂,于是自己网上找了点资料查查,还算有点收获。本文以监控 syscalls_enter 为例.
Android-检测Zygisk
在看 Zygisk 源码和调试的过程中发现了一种可以检测 Zygisk 的方法。本文 Magisk v24.3 为例.
Riru-hide简单分析
被 Riru-hide 隐藏后的 so 会以匿名内存的形式存在。那么问题来了.
Riru-hide 是怎么做到匿名内存的,Riru-hide 还又什么隐藏手段呢?
Android-Riru检测与对抗
记录对 riru (riru-hide) 注入 so 后的检测与对抗.
Android-修改进程名
最近听朋友说有个游戏每次启动后的进程名都不一样,有时还变成了系统应用的名字,很强势.
Android反调试--SIGTRAP
记录一个通过在原代码插入断点指令的方式来达到反调试的方法.
参考 YK 大佬的文章
[原创] 2022 腾讯游戏安全竞赛安卓客户端决赛 writeup
Android内存读写断点--mprotect
这几天听朋友说 GG 可以在不加载驱动的情况下设置内存读写断点,类似 PC 上 ce 的 "查看谁访问了该内存" 功能。网上也查了下资料,发现其实不难.
LIEF注入和修改Android二进制文件
LIEF 使用记录.
参考了以下文章:
LIEF 在 CTFpatch 常用 API
基于 LIEF 的 InlineHook 实现
[翻译] 可执行文件操作工具 ——LIEF 使用教程(一)
官方示例
Android内存读写检测--mincore
Android 另一种检测内存读写的方式–mincore
参考了这篇文章
安卓手游安全 - 反外挂基础