android lkms

Android 可載入核心模組 - 主要用於受控系統/模擬器上的逆向和調試。

• antiptrace - 簡單的 ptrace 掛鉤模組，用於幫助逆向 Android 上的本機應用程式
• open-read-write - 掛鉤許多函數，試圖找出惡意軟體正在接觸的文件
• antiunlink - 防止特定的包名稱取消其自己目錄中的文件鏈接，專門用於對抗 dexprotector

請注意在類似生產的環境中使用其中任何一個，它們僅在我個人的 qemu 環境中進行了測試。有些是嘗試不同的方法來掛鉤事物以查看結果的（糟糕的）嘗試。結果可能會出乎意料，並導致 qemu 環境因在內核中執行的操作速度比應有的速度慢而變慢。如果您嘗試在真實設備上運行所有這些，有人會幫助您可憐的靈魂。

事先編輯 Makefile 並確保路徑對您的系統來說是正確的。對您的環境如何設定進行了假設。您還需要來自已編譯核心的“sys_call_table”——它由腳本自動取得。如果您願意，可以手動將此值插入到 android_module.h 中。

我寫了一篇關於設定 OSX 環境來編譯能夠運行 LKM 的核心的博客，您應該參考這篇文章以獲得快速、簡單的操作方法；為可載入內核模組編譯 Android 模擬器內核

[email protected]