android lkms

Android 可加载内核模块 - 主要用于受控系统/模拟器上的逆向和调试。

• antiptrace - 简单的 ptrace 挂钩模块，用于帮助逆向 Android 上的本机应用程序
• open-read-write - 挂钩许多函数，试图找出恶意软件正在接触的文件
• antiunlink - 防止特定的包名称取消其自己目录中的文件链接，专门用于对抗 dexprotector

请注意在类似生产的环境中使用其中任何一个，它们仅在我个人的 qemu 环境中进行了测试。有些是尝试不同的方法来挂钩事物以查看结果的（糟糕的）尝试。结果可能会出乎意料，并导致 qemu 环境由于在内核中执行的操作速度比应有的速度慢而变慢。如果您尝试在真实设备上运行所有这些，有人会帮助您可怜的灵魂。

事先编辑 Makefile 并确保路径对于您的系统来说是正确的。对您的环境如何设置进行了假设。您还需要来自已编译内核的“sys_call_table”——它由脚本自动获取。如果您愿意，可以手动将此值插入到 android_module.h 中。

我写了一篇关于设置 OSX 环境来编译能够运行 LKM 的内核的博客，您应该参考这篇文章以获得快速、简单的操作方法；为可加载内核模块编译 Android 模拟器内核

[email protected]