用Monkey 调试某音,一开始运行app安装好工程就停止了,

用Monkey 调试某音,点运行app安装好工程就停止了,手机上的app 仍然正常 运行,这是没有办法调试了,请问从哪里入手可以解决,
1.目前自己尝试直接hook入口didFinishLaunchingWithOptions,发现一样断开调试,App黑屏仍在 运行,也不崩溃啥的,
2. 网上查了下 说是把 get-task-allow 设置为无效 也设置了再次尝试还是无效。

objc[1992]: Class RTCCVPixelBuffer is implemented in both /System/Library/PrivateFrameworks/WebCore.framework/Frameworks/libwebrtc.dylib (0x20760d018) and /private/var/containers/Bundle/Application/2B1B1261-2CAE-4122-98D2-11DFC40A0DB3/DouyinHook.app/Frameworks/ByteRtcEngineKit.framework/ByteRtcEngineKit (0x10e7b5c28). One of the two will be used. Which one is undefined.

:tada:!!!congratulations!!!:tada:

:+1:----------------insert dylib success----------------:+1:

[MethodTrace]

:books:--------------------OCMethodTrace(Usage)-------------------:books:

https://github.com/omxcodec/OCMethodTrace/blob/master/README.md

:books:--------------------OCMethodTrace(Usage)-------------------:books:

[MethodTrace] logLevel: 0: logWhen: 0 traceFlag: 2 traceObject: 0(未指定类)

[MethodTrace] Method Trace is disabled

espresso version: 2.5.9.0717

mobilecv2: 1.7.4.0707

建议研究一下调试检测反调试检测

这块主要是 SVC

汇编 SVC #80。使用了syscall+ptrace 31处理过了

monkey 有自带的反反调试 syscall+ptrace

对方使用了,汇编的,hook不到的

您好 我刚才查了下 SVC #80,请问是不是可以用ida 修改关于 二进制的 SVC #80

嗯。一般在start函数后查找一下。使用fishhook的是hook不到。你找到对应的地址,可以使用dobby(hookzz),Substrute进行hook,修改寄存器的值

好的非常感谢 我去查下

某音确实用了 svc 做反调试的
要么你用 大佬们(ZzHook或者 MSHookFunction 去做inlineHook

要么嘛。。。调试的时候,后台启动,然后断在 main 函数,当他加载了 对应的 模块后,你在 svc地方下断点,然后修改 svc的返回值 :rofl:
当时 记得,就一个 svc 实现的 ptrace 功能,所以,我就魔改了一哈,然后就pass了

svc #80指令写在了main()函数里,替换为nop就可以了

楼主有解决这一块吗?遇到了同样的问题

50包邮解君愁

ps:抖音官方这帮zz真的花里胡哨的整天

大佬威武,可惜我绕过了80 还是会闪退。。心累!(到底有多少反调试的地方 :rofl:

frame #0: 0x00000001125d5478 libAwemeDylib.dylibexit(i=1) at AntiAntiDebug.m:99:5 frame #1: 0x0000000108710670 Aweme___lldb_unnamed_symbol326793$$Aweme + 3248
frame #2: 0x00000001087194c8 Aweme___lldb_unnamed_symbol326886$$Aweme + 220 frame #3: 0x00000001086a11b8 Aweme-[MSManagerML initWithConfig:] + 2472

应该是你的处理代码有问题吧。12.8的版本,我有试过。就一个地方。但是后续还有Debug的检测的,只是不会强退而已。

这层就回答的很完整了啊。我13.1.0版本直接nop掉一个地方就行了,哪有这么麻烦

这种反调试有手就能过

1 Like

我试的是13.5.1的,nop之后还有别的

过是过了,应用表现就变的不正常了。访问不了服务器数据了,也无法登陆了。