小道安全

smali必须掌握的关键字 .locals 表示方法内使用的v开口的寄存器个数。 .prologue 表示方法中代码的开始处。 .line 表示对应java中的行数。

在android的调试工具中，以IDA动态调试最为强大。IDA会首先截获信号，导致进程无法接收到信号，导致不会执行信号处理函数。将关键流程放在信号处理函数中，如果没有执行，被调试状态

通常加固会在程序运行前完成对text的解密，所以脱壳可以通过 /proc/pid/mem或/proc/pid/pagemap或/proc/pid/maps，获取到壳解密后的代码内容。

安卓native下最流行的反调试方案是通过读取进程的status或stat来检测tracepid，它主要原理是调试状态下的进程tracepid不为0。

在apk应用的so文件中函数的指令都是固定，但是如果被下了软件断点，指令就会发生改变(断点地址被改写为bkpt断点指令)，检测函数是否被修改或 被下断

通过android系统自带的函数android.os.Debug.isDebuggerConnected()，可以进行判断是否android的应用程序是否在被调试状态。

每个App的用于程序都是通过父进程zygote进行fork出来的子进程，所以zygote也是所有app的父进程。 那么对于zygote进程可以用于检测判断app应该是否处于被调试状态。

JAR（Java ARchive，Java 归档）是一种与平台无关的文件格式，可将多个文件合成一个文件。

解析so文件的准备 so文件是ELF文件格式实现的，它是由各种区段信息组成的，有代码段(.text)、.got、.data、.init_array等等。所以对这个区段解析获取就很重要的。