Обход Android RASP: Скрытая нативная инструментация с помощью Renef (Часть 2)

Описание: В первой части мы рассмотрели перехват вызовов на уровне Java с использованием динамической инструментальной среды Renef. Сегодня мы углубимся в перехват вызовов нативных функций.

Современные решения для самозащиты приложений во время выполнения (RASP), такие как GarudaDefender, активно отслеживают нативную память и таблицы символов. Стандартные встроенные перехватчики (trampoline hooks), которые изменяют первые несколько байтов пролога функции, являются шумными и легко обнаруживаются.

В этом видео мы рассмотрим гораздо более скрытый подход: перехват PLT/GOT. Нацеливаясь на глобальную таблицу смещений (GOT), а не на саму функцию, мы можем точно перехватывать вызовы библиотек, таких как libc.so (например, strcmp()), не вызывая срабатывания сигналов тревоги о нарушении целостности памяти.

🔍 Что вы узнаете из этого видео:
• Архитектурные различия между встроенными перехватчиками (trampolines) и перехватчиками PLT/GOT.

• Почему агрессивные решения RASP обнаруживают стандартные инструменты инструментальной обработки.

• Как использовать Renef для поиска PLT/GOT в памяти.

• Написание пользовательского скрипта на Lua для скрытого перехвата функции strcmp() внутри libc.so.

• Живая демонстрация обхода встроенных проверок GarudaDefender на предмет несанкционированного доступа.

Упомянутые инструменты и ресурсы:
• Фреймворк Renef: https://github.com/Ahmeth4n/renef
• GarudaDefender (целевое приложение): https://github.com/kikyps/GarudaDefender
• Обход проверки целостности библиотеки:    • Bypass Integrity Checks for Android System...