修改android_server默认调试端口号来反调试
IDA载入文件android_server分析
android_server默认调试端口号是: ==23946==, 十六进制值为: ==0x5D8A==
==Shift+F12== 查找字符串
.rodata:00074224 0000004A C IDA Android 32-bit remote debug server(ST) v1.%d. Hex-Rays (c) 2004-2015\n
.rodata:00074160 0000000D C init_sockets
点击数据交叉来到代码区
第一处:
用十六进制工具 010 Editor
==Ctrl+G== 到文件物理地址offset去修改,
IDA v6.8里 ==0000B8D8== 和 ==0000BA48== 两处的值 ==0x5D8A== 改为 ==0x41F8==
注意字节序是输入 ==F841==
October 15, 2017 1:00 PM
IDA v7.0里 ==0000FBA0== 处的值 ==0x5D8A== 改为 ==0xFFFF==
注意字节序是输入 ==FFFF==
- [x] 如果是nonpie版本的,IDA的地址要减去 ==Imagebase:8000== 才能得到文件物理地址offset偏移
几个端口号对应16进制
0x5D8A=23946
0x41F8=16888
0x3039=12345
0x2222=8738
0xEEEE=61166
0xFFFF=65535
将修改过的文件push到手机上,用 ==chmod 777== 添加执行权限
adb push android_server /data/local/tmp/android_server
adb shell chmod 777 /data/local/tmp/android_server