oooAooo
oooAooo

梆梆加固之防内存dump分析

声明

本文仅限于技术讨论,不得用于非法途径,后果自负。

参考资料

  1. https://bbs.pediy.com/thread-206293.htm
  2. https://github.com/parkerpeng/DroidAnti
  3. http://blog.csdn.net/cool_way/article/details/22827433
  4. http://blog.csdn.net/myarrow/article/details/7096460
  5. http://blog.csdn.net/guojin08/article/details/9454467
  6. http://blog.sina.com.cn/s/blog_628cc2b70101c8zu.html
  7. https://www.cnblogs.com/skywang12345/p/3624177.html

编写目的

防内存dump比较笼统,本篇只介绍使用inotify相关实现(以BB为例)。

写在前面

内存dump介绍

关于内存dump相关介绍,请参考如下链接:

  1. 讨论android加固防内存dump的技术及vmp壳的防护强度:
    https://bbs.pediy.com/thread-206293.htm

  2. android应用反调试以及反内存dump代码收集:
    https://github.com/parkerpeng/DroidAnti

inotify主要功能

关于inotify相关介绍,请参考如下链接:

  1. inotify不生效问题:
    http://blog.csdn.net/cool_way/article/details/22827433

  2. Linux inotify功能及实现原理:
    http://blog.csdn.net/myarrow/article/details/7096460

/proc/pid/mem 与/proc/pid/pagemep

  1. 使用/proc/pid/mem访问其他进程的内存变量:
    http://blog.csdn.net/guojin08/article/details/9454467
  2. pagemap的解读:
    http://blog.sina.com.cn/s/blog_628cc2b70101c8zu.html

inotify防内存dump

  1. 从上面的知识可知,通过对目标进程文件/proc/pid/mem文件操作,可以获得其内存的数据。

  2. 而inotify可以监控文件系统的变化,当文件被打开、删除,读写等操作时,同时用户相应变化。

  3. 因此可以通过监控/proc/pid/mem 与/proc/pid/pagemep来防止内存dump。

    BB对防内存dump的介绍

    我们先看一下BB在防篡改技术的介绍,下图是BB官网上关于防篡改的介绍。梆梆官网介绍
    梆梆加固之防内存dump分析_第1张图片
    从官网上无法判断其采取何种措施,下面通过实际逆向分析来学习其相关防护策略。 首先介绍下其使用到的数据结构。

算法与数据结构

防内存dump用到了红黑树的数据结构。下面是关于红黑树数据结构的介绍。
红黑树之 C语言的实现:
https://www.cnblogs.com/skywang12345/p/3624177.html

自定义的结构变量

FileWatchKey结构

其定义如下:

typedef struct FileWatchKey
{
    char* fileName;                //监控的文件名
    int      wd;                   //inotify_add_watch 返回值
}FileWatchKey;

FileWatchKey结构用于保存监控的文件名以及对应的inotify_add_watch句柄。

RBTree数据结构

这个结构用于保存所有监控文件的信息,其定义如下:

typedef struct  RBTree
{
    RBTree*    left;                     //红黑树左节点
    RBTree* right;                       //红黑树右节点
    RBTree* parent;                      //父节点
    int        color;                    //红节点 黑节点
    FileWatchKey* keybuf;                //key
} RBTree;

RBRoot数据结构

本结构用于定义头结点以及用于节点比较的函数指针。

typedef struct RBRoot
{
    void* compareFun;                    //用于红黑树比较的函数
    int      const_0;                    //常量
    RBTree* treeHead;                    //红黑树头结点
}RBRoot;

逆向分析流程

创建线程用于文件监控

该函数位于libdexhelp.so文件中。如下:

void __fastcall createFileWatch_thread(int fatherPid, pthread_t a2) 
{ 
  int v2; // r4 
  signed int v3; // r5 
  _DWORD *pfatherPid; // r6 
  pthread_t newthread; // [sp+4h] [bp-14h] 

  newthread = a2; 
  v2 = fatherPid; 
  v3 = 31; 
  pfatherPid = malloc(4u); 
  *pfatherPid = v2; 
  while ( pthread_create(&newthread, 0, (void *(*)(void *))File_notify_threadProc, pfatherPid) ) 
  { 
    if ( !--v3 ) 
      break; 
    sleep(1u); 
  } 
}

从上面的代码可以看到File_notify_threadProc为真正的处理函数。

ile_notify_threadProc 函数

signed int __fastcall File_notify_threadProc(__pid_t *pfatherPid) 

int fatherPid; // r5 
unsigned int result; // r0 
signed int v3; // r6 
_DWORD *v4; // r7 
  struct inotify_event *inotifyeventStr; // r0 
  pthread_t newthread; // [sp+4h] [bp-1Ch] 

  fatherPid = *pfatherPid; 
  free(pfatherPid); 
  result = inotify_init_function(); 
  if ( result ) 
  { 
    inotify_add_watchByPid(fatherPid); 
    v3 = 0x1F; 
    v4 = malloc(4u); 
    *v4 = fatherPid; 
    while ( pthread_create(&newthread, 0, (void *(*)(void *))watchAllTask_threadProc, v4) ) 
    { 
      if ( !--v3 ) 
        break; 
      sleep(1u); 
    } 
    inotifyeventStr = (struct inotify_event *)read_filewatch_event(-1); 
    if ( inotifyeventStr ) 
      GetFileWatchRBTreeKeyName(inotifyeventStr->wd); 
    filewatch_Delete(fatherPid); 
    pthread_kill(newthread, 10); 
    result = killProcess(fatherPid, 9);
  } 
  return result;

该函数步骤如下:

  1. 调用 inotify_init_function函数用于初始化红黑树头信息
  2. 调用inotify_add_watchByPid(fatherPid)函数,将父进程的/proc/fatherpid/mem与/proc/fatherpid/pagemap纳入到监控中,同时将相应文件名和wd插入到红黑树中。
  3. 创建线程watchAllTask_threadProc,其将/proc/fatherpid/task/下的所有线程对应的mem与pagemap文件纳入到监控中,同时将
    同时将相应文件名和wd插入到红黑树中。
  4. 调用read_filewatch_event函数对进行监控,如果没发生事件,则阻塞,如果发生事件,则函数返回。
  5. 调用filewatch_Delete移除监控事件。
  6. 结束watchAllTask_threadProc线程。
  7. 结束父进程。
  8. 线程退出。

inotify_init_function函数

该函数用于初始化文件监控相关信息。本函数经过了混淆,去除如下:

signed int __fastcall inotify_init_function() 
{ 
  signed int result; // r0 
  //如果初始化过,则直接返回。 
  if ( g_inotify_init_finshFlag ) 
    return 1; 
  g_fileWatch_errno = 0; 
  //初始化文件监控 
  g_inotify_init = inotify_init(); 
  if ( g_inotify_init < 0 ) 
  { 
    result = 0; 
    g_fileWatch_errno = g_inotify_init; 
    return result; 
  } 
  //置位初始化完成标志 
  g_inotify_init_finshFlag = 1;          
  //初始化以监控句柄比较的红黑树RBRoot 结构 
  g_fileWatch_wd_root = (struct RBRoot *)inotifyfile_ini((int)is_same_inotify_wd, 0); 
  //初始化以监控文件名比较的红黑树RBRoot 结构 
  g_fileWatch_name_root = (struct RBRoot *)inotifyfile_ini((int)is_same_inotify_filename, 0); 
  return 1; 
}

从上面可以看到其主要是调用inotifyfile_ini 用于初始化g_fileWatch_wd_root以及g_fileWatch_wd_root,对应的数据结构为RBRoot。
下面看看inotifyfile_ini函数:

truct RBRoot *__fastcall inotifyfile_ini(void *comparefun, int const_0) 
{ 
  void *comparefun_1; // r5 
  int const_0_1; // r4 
  struct RBRoot *result; // r0 

  comparefun_1 = comparefun; 
  const_0_1 = const_0; 
  result = (struct RBRoot *)malloc(0xCu); 
  if ( result ) 
  { 
    result->fun = comparefun_1; 
    result->const_0 = const_0_1; 
    result->root = (struct RBTree *)&g_inotify_node_NoValidFlag; 
  } 
  return result; 
}

从上面可以看到inotifyfile_ini用于malloc一个RBRoot结构,同时将初始化相关成员。其中g_inotify_node_NoValidFlag表示头结点无效。因为目前没有设置任何要监控的文件。
我们看一下2个用于比较的函数。is_same_inotify_wd与is_same_inotify_filename。

is_same_inotify_wd函数

该函数用于比较红黑树的key为wd。

struct FileWatchKey *__fastcall is_same_inotify_wd(struct FileWatchKey *node, int a2) 
{ 
  struct FileWatchKey *result; // r0 

  if ( node && a2 ) 
    result = (struct FileWatchKey *)(node->wd - *(_DWORD *)(a2 + 4)); 
  else 
    result = (struct FileWatchKey *)((char *)node - a2); 
  return result; 
}

本函数主要用于判断新的节点是左节点还是右节点。返回0,是同一个节点,大于0是在右节点分支,小于0在左节点分支。

is_same_inotify_filename函数

该函数用于比较红黑树的key为filename。

int __fastcall is_same_inotify_filename(struct FileWatchKey *node, const char *a2) 
{ 
  int result; // r0 

  if ( node && a2 ) 
    result = strcmp(node->name, *(const char **)a2); 
  else 
    result = (char *)node - a2; 
  return result; 
}

本函数主要用于判断新的节点是左节点还是右节点。返回0,是同一个节点,大于0是在右节点分支,小于0在左节点分支。

inotify_add_watchByPid

inotify_add_watchByPid函数将对应进程的mem与pagemap文件纳入到监控中,同时创建红黑树节点并插入到相应红黑树中。

int __fastcall inotify_add_watchByPid(int fatherPid) 
{ 
  int fatherPid_1; // r7 
  int v3; // [sp+0h] [bp-140h] 
  char v4; // [sp+4h] [bp-13Ch] 
  char v5; // [sp+5h] [bp-13Bh] 
  char v6; // [sp+6h] [bp-13Ah] 
  char v7; // [sp+7h] [bp-139h] 
  char v8; // [sp+8h] [bp-138h] 
  char v9; // [sp+9h] [bp-137h] 
  char v10; // [sp+Ah] [bp-136h] 
  char v11; // [sp+Bh] [bp-135h] 
  char v12; // [sp+Ch] [bp-134h] 
  char v13; // [sp+Dh] [bp-133h] 
  char v14; // [sp+Eh] [bp-132h] 
  char v15; // [sp+10h] [bp-130h] 
  char v16; // [sp+11h] [bp-12Fh] 
  char v17; // [sp+12h] [bp-12Eh] 
  char v18; // [sp+13h] [bp-12Dh] 
  char v19; // [sp+14h] [bp-12Ch] 
  char v20; // [sp+15h] [bp-12Bh] 
  char v21; // [sp+16h] [bp-12Ah] 
  char v22; // [sp+17h] [bp-129h] 
  char v23; // [sp+18h] [bp-128h] 
  char v24; // [sp+19h] [bp-127h] 
  char v25; // [sp+1Ah] [bp-126h] 
  char v26; // [sp+1Bh] [bp-125h] 
  char v27; // [sp+1Ch] [bp-124h] 
  char v28; // [sp+1Dh] [bp-123h] 
  char v29; // [sp+1Eh] [bp-122h] 
  char v30; // [sp+1Fh] [bp-121h] 
  char v31; // [sp+20h] [bp-120h] 
  char v32; // [sp+21h] [bp-11Fh] 
  char v33; // [sp+22h] [bp-11Eh] 
  char procmemString; // [sp+24h] [bp-11Ch] 

  fatherPid_1 = fatherPid; 
  memset(&v3, 0, 0x10u); 
  v4 = -34; 
  v5 = -61; 
  v6 = -49; 
  v8 = -119; 
  v9 = -64; 
  BYTE1(v3) = 126; 
  v10 = -56; 
  HIWORD(v3) = -9085; 
  v7 = -125; 
  v11 = -125; 
  v13 = -55; 
  v12 = -63; 
  v14 = -63; 
  ((void (__fastcall *)(int *, signed int, signed int))DecodeString9)(&v3, 13, 0xD2);// /proc/%ld/mem 
  sprintf(&procmemString, (const char *)&v3, fatherPid_1); 
  inotify_add_watch_insert_node((int)&procmemString, 0xFFFu); 
  memset(&v15, 0, 0x14u); 
  v19 = -43; 
  v20 = -56; 
  v21 = -60; 
  v23 = -126; 
  v24 = -53; 
  v25 = -61; 
  v29 = -64; 
  v17 = -120; 
  v22 = -120; 
  v26 = -120; 
  v30 = -62; 
  v16 = 85; 
  v28 = -58; 
  v31 = -54; 
  v32 = -58; 
  v18 = -41; 
  v27 = -41; 
  v33 = -41; 
  ((void (__fastcall *)(char *, signed int, signed int))DecodeString9)(&v15, 17, 242);// /proc/%ld/pagemap 
  sprintf(&procmemString, &v15, fatherPid_1); 
  return inotify_add_watch_insert_node((int)&procmemString, 0xFFFu); 
}

该函数做了如下事情:

  1. 调用DecodeString9解密字符串“/proc/%ld/mem”;
  2. 格式化字符串“ /proc/pid/mem”;
  3. 调用inotify_add_watch_insert_node 将对应文件纳入到监控中;
  4. 调用DecodeString9解密字符串“/proc/%ld/pagemap”;
  5. 格式化字符串“ /proc/pid/pagemap”;

DecodeString9函数

字符串解密函数,如下:

char * DecodeString9(char *buf, int len, char key)
{ 
    int i; // r4 
    for(i = 0; i < len; i++) 
    { 
        buf[i]= buf[i + 2] ^key ^ buf[i+1]; 
    } 
    buf[i]=0; 

    return buf; 
}

inotify_add_watch_insert_node函数

signed int __fastcall inotify_add_watch_insert_node(int procmemString, uint32_t mask_2) 
    { 
      char *procmemString_1_1; // r6 
      int procmemString_1; // r4 
      const char *v4; // r1 
      int fd; // r0 
      int v6; // r4 
      int v7; // r5 
      uint32_t mask; // [sp+4h] [bp-1Ch] 

      procmemString_1 = procmemString; 
      mask = mask_2; 
      g_fileWatch_errno = 0; 
      for ( g_watchIndex = 0; ; ++g_watchIndex ) 
      { 
        v4 = *(const char **)(4 * g_watchIndex + procmemString_1); 
        if ( !v4 ) 
          return 1; 
        fd = inotify_add_watch(g_inotify_init, v4, mask); 
        g_fileWatch_fd = fd; 
        if ( fd < 0 ) 
          break; 
        if ( !JudeFileIsDir(*(char **)(4 * g_watchIndex + procmemString_1)) 
          || (v7 = *(_DWORD *)(4 * g_watchIndex + procmemString_1), 
              *(_BYTE *)(v7 + strlen(*(_DWORD *)(4 * g_watchIndex + procmemString_1)) - 1) == '/') ) 
        { 

        // 是文件或者是目录同时最后一个字符是\  
          procmemString_1_1 = strdup(*(const char **)(4 * g_watchIndex + procmemString_1));
        } 
        inotifyList_user_add_node(g_fileWatch_fd, procmemString_1_1); 
        free(procmemString_1_1); 
      } 
      v6 = 0; 
      if ( fd == -1 ) 
        g_fileWatch_errno = *(_DWORD *)_errno(-1); 
      return v6; 
    }

本函数有如下步骤:

  1. 对输入的字符串数组进行inotify_add_watch;
  2. 调用JudeFileIsDir判断是否是目录
  3. 调用inotifyList_user_add_node将wd于文件名写入对应的红黑树中。

JudeFileIsDir函数

该函数去混淆后如下:

bool  JudeFileIsDir(char *file) 
{ 
  bool result; // r0 
  if(lstat(file, &g_fileStatStruct)<0) 
      return false; 
  return (g_fileStatStruct.st_mode & 0xF000) - 0x4000 <= 0;   
}

inotifyList_user_add_node函数

_DWORD *__fastcall inotifyList_user_add_node(int fd, _DWORD *procmemString) 
{ 
  _DWORD *inotifyfileKeyBuf; // r4 
  const char *v3; // r5 
  int v4; // r6 

  inotifyfileKeyBuf = 0; 
  if ( fd > 0 ) 
  { 
    inotifyfileKeyBuf = procmemString; 
    if ( procmemString ) 
    { 
      v3 = (const char *)procmemString; 
      v4 = fd; 
      inotifyfileKeyBuf = (_DWORD *)getinotifyListByWDnode(fd); 
      if ( !inotifyfileKeyBuf ) 
      { 
        inotifyfileKeyBuf = calloc(1u, 0x40u); 
        inotifyfileKeyBuf[1] = v4; 
        *inotifyfileKeyBuf = strdup(v3); 
        insertNewNode((int)inotifyfileKeyBuf, (int)g_fileWatch_wd_root); 
        insertNewNode((int)inotifyfileKeyBuf, (int)g_fileWatch_name_root); 
      } 
    } 
  } 
  return inotifyfileKeyBuf; 
}

本函数有如下步骤:

  1. 调用getinotifyListByWDnode判断对应fd是否已经在红黑树中了;
  2. 如果在,则直接返回;
  3. 如果不在则调用insertNewNode插入到对应红黑树中。
    下面我们看一getinotifyListByWDnode函数
int __fastcall getinotifyListByWDnode(int node_wd, struct RBRoot *rbroot) 
{ 
  int result; // r0 
  int v3; // r0 

  if ( rbroot 
    && (void **)rbroot->root != &g_inotify_node_NoValidFlag 
    && (query_insert_node(0, node_wd, rbroot), (void **)v3 != &g_inotify_node_NoValidFlag) ) 
  { 
    result = *(_DWORD *)(v3 + 0x10); 
  } 
  else 
  { 
    result = 0; 
  } 
  return result; 
}

getinotifyListByWDnode调用query_insert_node来进行查询。

void __fastcall query_insert_node(int createFlag, int inotifyfileKeyBuf, struct RBRoot *rbroot) 
{ 
  struct RBRoot *rbroot_1; // r7 
  signed int find; // r5 
  struct RBTree *curNode; // r4 
  void **fatherNode; // r6 
  int result; // r0 
  struct RBTree *tempNode; // r3 
  struct RBTree *newNode; // r5 
  struct RBTree *newNode_1; // r4 
  struct RBTree *rootHead; // r3 
  struct RBTree *parent; // r6 
  struct RBTree *gparent; // r1 
  struct RBTree *v14; // r2 
  struct RBTree *v15; // r1 
  struct RBTree *v16; // [sp+4h] [bp-24h] 
  struct RBTree *root; // [sp+4h] [bp-24h] 
  int inotifyfileKeyBuf_1; // [sp+8h] [bp-20h] 
  int createFlag_1; // [sp+Ch] [bp-1Ch] 
  int v20; // [sp+18h] [bp-10h] 

  rbroot_1 = rbroot; 
  find = 0; 
  curNode = rbroot->root; 
  fatherNode = &g_inotify_node_NoValidFlag; 
  createFlag_1 = createFlag; 
  inotifyfileKeyBuf_1 = inotifyfileKeyBuf; 
  while ( curNode != (struct RBTree *)&g_inotify_node_NoValidFlag ) 
  { 
    if ( find ) 
      goto LABEL_35; 
    result = ((int (__fastcall *)(int, struct FileWatchKey *, int))rbroot_1->fun)( 
               inotifyfileKeyBuf_1, 
               curNode->keybuf, 
               rbroot_1->const_0); 
    if ( result >= 0 ) 
    { 
      if ( result ) 
      { 
        tempNode = curNode->right;  // 没找到,目标节点比当前节点大 
      } 
      else 
      { 
        tempNode = curNode;        // 找到了 
        find = 1; 
      } 
    } 
    else 
    { 
      tempNode = curNode->left;    // 没找到,比当前节点小 
    } 
    fatherNode = (void **)&curNode->left; 
    curNode = tempNode; 
  } 
  if ( find || !createFlag_1 || (newNode = (struct RBTree *)malloc(0x14u)) == 0 ) 
LABEL_35: 
    JUMPOUT(__CS__, v20);          // 找到了或没找到但是不创建新节点,则返回 
  newNode->parent = (struct RBTree *)fatherNode;// 创建新节点,初始化 
  newNode->keybuf = (struct FileWatchKey *)inotifyfileKeyBuf_1; 
  if ( fatherNode == &g_inotify_node_NoValidFlag ) 
  { 
    rbroot_1->root = newNode;     // 更新根节点 
  } 
  else if ( ((int (__fastcall *)(int, void *, int))rbroot_1->fun)(inotifyfileKeyBuf_1, fatherNode[4], rbroot_1->const_0) >= 0 ) 
  { 
    fatherNode[1] = newNode;   // 比父节点大 更新父节点右节点 
  } 
  else 
  { 
    *fatherNode = newNode;      // 比父节点小更新父节点的右节点 
  } 
  newNode_1 = newNode; 
  newNode->left = (struct RBTree *)&g_inotify_node_NoValidFlag;// 初始化新节点 
  newNode->right = (struct RBTree *)&g_inotify_node_NoValidFlag; 
  newNode->color = 1;          // 先设置为红色 
  while ( 1 ) 
  { 
    while ( 1 ) 
    { 
      rootHead = rbroot_1->root; 
      if ( newNode_1 == rootHead || (parent = newNode_1->parent, parent->color != 1) ) 
      { 
        rootHead->color = 0;// 新节点是跟节点 或者新节点的父节点颜色不是红色,则将当前节点设置成黑色并退出 
        goto LABEL_35; 
      } 
      gparent = parent->parent; 
      v14 = gparent->left; 
      if ( parent == gparent->left ) 
        break; 
      if ( v14->color == 1 ) 
      { 
        parent->color = 0; 
        v14->color = 0; 
        newNode_1->parent->parent->color = 1; 
LABEL_31: 
        newNode_1 = newNode_1->parent->parent; 
      } 
      else 
      { 
            root = (struct RBTree *)&rbroot_1->root; 
            if ( newNode_1 == parent->left ) 
            { 
              rbtree_left_rotate(root, parent); 
              newNode_1 = parent; 
            } 
            newNode_1->parent->color = 0; 
            newNode_1->parent->parent->color = 1; 
            rbtree_right_rotate(root, newNode_1->parent->parent); 
          } 
        } 
        v15 = gparent->right; 
        if ( v15->color == 1 ) 
        { 
          parent->color = 0; 
          v15->color = 0; 
          newNode_1->parent->parent->color = 1; 
          goto LABEL_31; 
        } 
        v16 = (struct RBTree *)&rbroot_1->root; 
        if ( newNode_1 == parent->right ) 
        { 
          rbtree_right_rotate(v16, parent); 
          newNode_1 = parent; 
        } 
        newNode_1->parent->color = 0; 
        newNode_1->parent->parent->color = 1; 
        rbtree_left_rotate(v16, newNode_1->parent->parent); 
      } 
    }
}

query_insert_node函数进行如下操作:

  1. 遍历二叉树进行查找进行节点查找;
  2. 如果找到则返回对应节点;、如果没找到,并且不创建新节点则返回0;
  3. malloc一个新的RBTree;
  4. 初始化其父节点;
  5. 初始化新的RBTree;
  6. 调用 rbtree_left_rotate和rbtree_right_rotate对红黑树进行修正。

上面完成了getinotifyListByWDnode函数的分析,继续分析insertNewNode。

int __fastcall insertNewNode(int inotifyfileKeyBuf, int a2) 
{ 
  int result; // r0 
  int v3; // r0 

  if ( a2 && (query_insert_node(1, inotifyfileKeyBuf, (struct RBRoot *)a2), (void **)v3 != &g_inotify_node_NoValidFlag) ) 
    result = *(_DWORD *)(v3 + 16); 
  else 
    result = 0; 
  return result; 
}

该函数调用query_insert_node进行新节点的插入操作。
至此函数inotify_add_watchByPid分析完了。
下面看看watchAllTask_threadProc函数的工作。

watchAllTask_threadProc线程入口函数

void __fastcall __noreturn watchAllTask_threadProc(int *pfatherPid) 
{ 
  struct dirent *v1; // r5 
  const char *v2; // r5 
  int v3; // r0 
  int threadID; // r0 
  DIR *dirp; // [sp+4h] [bp-2CCh] 
  int pfatherPid_1; // [sp+Ch] [bp-2C4h] 
  int dot; // [sp+14h] [bp-2BCh] 
  int dotdot; // [sp+18h] [bp-2B8h] 
  char v9; // [sp+1Ch] [bp-2B4h] 
  char v10; // [sp+20h] [bp-2B0h] 
  char v11; // [sp+21h] [bp-2AFh] 
  char v12; // [sp+22h] [bp-2AEh] 
  char v13; // [sp+23h] [bp-2ADh] 
  char v14; // [sp+24h] [bp-2ACh] 
  char v15; // [sp+25h] [bp-2ABh] 
  void (__noreturn *pthread_exit)(); // [sp+28h] [bp-2A8h] 
  char v17; // [sp+38h] [bp-298h] 
  __int16 v18; // [sp+48h] [bp-288h] 
  char v19; // [sp+A0h] [bp-230h] 
  char v20; // [sp+A1h] [bp-22Fh] 
  char v21; // [sp+A2h] [bp-22Eh] 
  char v22; // [sp+A3h] [bp-22Dh] 
  char v23; // [sp+A4h] [bp-22Ch] 
  char v24; // [sp+A5h] [bp-22Bh] 
  char v25; // [sp+A6h] [bp-22Ah] 
  char v26; // [sp+A7h] [bp-229h] 
  char v27; // [sp+A8h] [bp-228h] 
  char v28; // [sp+A9h] [bp-227h] 
  char v29; // [sp+AAh] [bp-226h] 
  char v30; // [sp+ABh] [bp-225h] 
  char v31; // [sp+ACh] [bp-224h] 
  char v32; // [sp+ADh] [bp-223h] 
  char v33; // [sp+AEh] [bp-222h] 
  char v34; // [sp+AFh] [bp-221h] 
  char v35; // [sp+B0h] [bp-220h] 
  char proctaskString; // [sp+B4h] [bp-21Ch] 
  char v37; // [sp+1B4h] [bp-11Ch] 

  pfatherPid_1 = *pfatherPid; 
  free(pfatherPid); 
  memset(&pthread_exit, 0, 0x10u); 
  pthread_exit = pthread_exit_0; 
  sigaction(10, (const struct sigaction *)&pthread_exit, 0); 
  memset(&v19, 0, 0x12u); 
  v22 = 30; 
  v23 = 28; 
  v24 = 1; 
  v25 = 13; 
  v27 = 75; 
  v28 = 2; 
  v29 = 10; 
  v31 = 26; 
  v33 = 29; 
  v20 = -88; 
  v34 = 5; 
  v21 = 65; 
  v26 = 65; 
  v30 = 65; 
  v32 = 15; 
  v35 = 65; 
  ((void (__fastcall *)(char *))DecodeString9)(&v19);// /proc/%ld/task/ 
  sprintf(&proctaskString, &v19, pfatherPid_1); 
  while ( 1 ) 
  { 
    do 
      dirp = opendir(&proctaskString); 
    while ( !dirp ); 
    while ( 1 ) 
    { 
      v1 = readdir(dirp); 
      if ( !v1 ) 
        break; 
      dot = 0; 
      *(_WORD *)((char *)&dot + 1) = -25275; 
      ((void (__fastcall *)(int *, signed int, signed int))DecodeString9)(&dot, 1, 246);// . 
      dotdot = 0; 
      *(_WORD *)((char *)&dotdot + 1) = -21672; 
      v2 = &v1->d_name[8]; 
      v9 = 0; 
      HIBYTE(dotdot) = -85; 
      ((void (__fastcall *)(int *, signed int, signed int))DecodeString9)(&dotdot, 2, 221);// .. 
      if ( strcmp(v2, (const char *)&dot) ) 
      { 
        if ( strcmp(v2, (const char *)&dotdot) ) 
        { 
          memset(&v37, 0, 0x100u); 
          memset(&v10, 0, 7u); 
          v11 = 23; 
          v12 = -127; 
          v14 = -127; 
          v13 = -41; 
          v15 = -41; 
          ((void (__fastcall *)(char *, signed int, signed int))DecodeString9)(&v10, 4, 179);// %s%s 
          sprintf(&v37, &v10, &proctaskString, v2);// /proc/15557/task/15557 
          if ( lstat(&v37, (struct stat *)&v17) != -1 && (v18 & 0xF000) == 0x4000 ) 
          { 
            v3 = atoi(v2); 
                inotify_add_watchByPid(v3); 
                threadID = atoi(v2); 
                inotify_add_watchByTid(pfatherPid_1, threadID); 
              } 
            } 
          } 
        } 
        closedir(dirp); 
        sleep(2u); 
      } 
    } 
}
  1. 调用DecodeString9解密字符串“/proc/%ld/task/”;
  2. 格式化字符串“/proc/pid/task/”;
  3. 调用opendir 打开“/proc/pid/task/”目录;
  4. 调用readdir读取“/proc/pid/task/”目录;
  5. 如果返回空,则到步骤11;
  6. 返回不是空,过滤字符串“ .”与“ ..”;
  7. 调用DecodeString9解密字符串“/proc/pid/task/tid”;
  8. 调用inotify_add_watchByPid将tid下的mem与pagemap文件纳入监控中;
  9. 调用inotify_add_watchByTid(pfatherPid_1,threadID)
    将“/proc/pid/task/tid”中的mem与pagemap纳入到监控中;
  10. 重复步骤4-步骤9;
  11. 调用closedir关闭目录;
  12. 线程睡眠2秒;
  13. 重复步骤1-12。

思考:从上面可以看到线程会持续的对应用的所有线程下的mem与pagemap文件进行监控,是否可以在步骤13直接线程结束?
这样是不行的,如果此时结束,对于后面新创建的线程则不能纳入到本进程中。对于已经被watch的文件再次watch将返回上次的wd,引用次数会加1。
这里面可能有个小问题是:如果线程被删除了则对应的红黑树链表的节点不会被删除,造成内存泄漏。极端情况应用一致持续不断的创建线程然后线程2秒后销毁,运行一段时间后内存会崩溃。
下面看一下inotify_add_watchByTid函数。

inotify_add_watchByTid函数

int __fastcall inotify_add_watchByTid(int fatherpid, int tid) 
{ 
  int fatherpid_1; // ST00_4 
  int tid_1; // ST04_4 
  int v4; // ST00_4 
  int v5; // ST04_4 
  char s; // [sp+8h] [bp-158h] 
  char v8; // [sp+9h] [bp-157h] 
  char v9; // [sp+Ah] [bp-156h] 
  char v10; // [sp+Bh] [bp-155h] 
  char v11; // [sp+Ch] [bp-154h] 
  char v12; // [sp+Dh] [bp-153h] 
  char v13; // [sp+Eh] [bp-152h] 
  char v14; // [sp+Fh] [bp-151h] 
  char v15; // [sp+10h] [bp-150h] 
  char v16; // [sp+11h] [bp-14Fh] 
  char v17; // [sp+12h] [bp-14Eh] 
  char v18; // [sp+13h] [bp-14Dh] 
  char v19; // [sp+14h] [bp-14Ch] 
  char v20; // [sp+15h] [bp-14Bh] 
  char v21; // [sp+16h] [bp-14Ah] 
  char v22; // [sp+17h] [bp-149h] 
  char v23; // [sp+18h] [bp-148h] 
  char v24; // [sp+19h] [bp-147h] 
  char v25; // [sp+1Ah] [bp-146h] 
  char v26; // [sp+1Bh] [bp-145h] 
  char v27; // [sp+1Ch] [bp-144h] 
  char v28; // [sp+1Dh] [bp-143h] 
  char v29; // [sp+1Eh] [bp-142h] 
  char v30; // [sp+1Fh] [bp-141h] 
  char v31; // [sp+24h] [bp-13Ch] 
  char v32; // [sp+25h] [bp-13Bh] 
  char v33; // [sp+26h] [bp-13Ah] 
  char v34; // [sp+27h] [bp-139h] 
  char v35; // [sp+28h] [bp-138h] 
  char v36; // [sp+29h] [bp-137h] 
  char v37; // [sp+2Ah] [bp-136h] 
  char v38; // [sp+2Bh] [bp-135h] 
  char v39; // [sp+2Ch] [bp-134h] 
  char v40; // [sp+2Dh] [bp-133h] 
  char v41; // [sp+2Eh] [bp-132h] 
  char v42; // [sp+2Fh] [bp-131h] 
  char v43; // [sp+30h] [bp-130h] 
  char v44; // [sp+31h] [bp-12Fh] 
  char v45; // [sp+32h] [bp-12Eh] 
  char v46; // [sp+33h] [bp-12Dh] 
  char v47; // [sp+34h] [bp-12Ch] 
  char v48; // [sp+35h] [bp-12Bh] 
  char v49; // [sp+36h] [bp-12Ah] 
  char v50; // [sp+37h] [bp-129h] 
  char v51; // [sp+38h] [bp-128h] 
  char v52; // [sp+39h] [bp-127h] 
  char v53; // [sp+3Ah] [bp-126h] 
  char v54; // [sp+3Bh] [bp-125h] 
  char v55; // [sp+3Ch] [bp-124h] 
  char v56; // [sp+3Dh] [bp-123h] 
  char v57; // [sp+3Eh] [bp-122h] 
  char v58; // [sp+3Fh] [bp-121h] 
  char v59; // [sp+44h] [bp-11Ch] 

  fatherpid_1 = fatherpid; 
  tid_1 = tid; 
  memset(&s, 0, 0x19u); 
  v10 = 5; 
  v11 = 7; 
  v19 = 1; 
  v12 = 26; 
  v8 = -4; 
  v20 = 20; 
  v17 = 17; 
  v26 = 17; 
  v9 = 90; 
  v14 = 90; 
  v18 = 90; 
  v21 = 6; 
  v23 = 90; 
  v27 = 90; 
  v15 = 80; 
  v16 = 25; 
  v24 = 80; 
  v25 = 25; 
  v29 = 16; 
  v13 = 22; 
  v22 = 30; 
  v28 = 24; 
  v30 = 24; 
  ((void (__fastcall *)(char *))DecodeString9)(&s); 
  sprintf(&v59, &s, fatherpid_1, tid_1, fatherpid_1, tid_1);// /proc/16709/task/16709/mem 
  inotify_add_watch_insert_node((int)&v59, 0xFFFu); 
  memset(&v31, 0, 0x1Du); 
  v35 = -9; 
  v36 = -22; 
  v37 = -26; 
  v32 = 99; 
  v40 = -23; 
  v45 = -10; 
  v33 = -86; 
  v38 = -86; 
  v42 = -86; 
      v47 = -86; 
      v51 = -86; 
      v41 = -31; 
      v46 = -18; 
      v54 = -30; 
      v43 = -15; 
      v49 = -23; 
      v55 = -32; 
      v34 = -11; 
      v44 = -28; 
      v50 = -31; 
      v52 = -11; 
      v53 = -28; 
      v57 = -28; 
      v58 = -11; 
      v56 = -24; 
      v39 = -96; 
      v48 = -96; 
      ((void (__fastcall *)(char *, signed int, signed int))DecodeString9)(&v31, 26, 230); 
      sprintf(&v59, &v31, v4, v5); 
      return inotify_add_watch_insert_node((int)&v59, 0xFFFu); 
    } 
}

这个函数相对比较简单。

里程碑

至此将目标文件纳入到监控中的相关处理已经分析完了,下面看发生相关事件是的处理流程。

read_filewatch_event函数

int __fastcall read_filewatch_event1(int a1_FF, int const_1) 
{ 
  char *v2; // r1 
  char *v3; // r3 
  struct timeval *timeout; // r4 
  int inotify_init; // r0 
  int v7; // r0 
  int v8; // r3 
  int a1_FF_1; // [sp+8h] [bp-20h] 
  int const_1_1; // [sp+Ch] [bp-1Ch] 

  if ( const_1 <= 0 ) 
    return 0; 
  a1_FF_1 = a1_FF; 
  const_1_1 = const_1; 
  setjmp((struct __jmp_buf_tag *)&unk_53D04); 
  g_fileWatch_errno = 0; 
  if ( dword_53E04 ) 
  { 
    if ( dword_53E04 <= dword_53E08 - 16 ) 
    { 
      v2 = (char *)&dword_53E0C + dword_53E04; 
      dword_63E0C = (int)&dword_53E0C + dword_53E04; 
      v3 = (char *)&(*(struct inotify_event **)((char *)&dword_53E0C + dword_53E04 + 12))[1] + dword_53E04; 
      dword_53E04 = (int)v3; 
      if ( v3 == (char *)dword_53E08 ) 
      { 
        dword_53E04 = 0; 
      } 
      else if ( (signed int)v3 > dword_53E08 ) 
      { 
        dword_53E08 = (char *)&dword_53E0C + dword_53E08 - v2; 
        memcpy(&dword_53E0C, v2, dword_53E08); 
        return read_filewatch_event1(a1_FF_1, const_1_1); 
      } 
      if ( g_inotify_init_flag1 ) 
        p9E01CAAA70B3E111F16A18AB1BC2AB55((int *)v2); 
      return dword_63E0C; 
    } 
  } 
  else 
  { 
    dword_53E08 = dword_53E04; 
  } 
  g_FF = a1_FF_1; 
  timeout = (struct timeval *)&g_FF; 
  dword_53D00 = 0; 
  if ( a1_FF_1 <= 0 ) 
    timeout = 0; 
  dword_63E10 = (int)timeout; 
  memset(&g_fds, 0, 0x80u); 
  inotify_init = g_inotify_init; 
  *((_DWORD *)&unk_63DA8 + (g_inotify_init >> 5) + 0x1B) = 1 << (g_inotify_init & 0x1F); 
  v7 = select(inotify_init + 1, (fd_set *)&g_fds, 0, 0, timeout);//  //监控fd的事件。当有事件发生时,返回值>0 
  g_slect_returnValue = v7; 
  if ( v7 < 0 ) 
    goto LABEL_21; 
  if ( !v7 ) 
    return 0; 
  while ( 1 ) 
  { 
    v7 = ioctl(g_inotify_init, 0x541Bu, &g_fileWatch_event_MaxLen); 
    g_slect_returnValue = v7; 
    if ( v7 ) 
      break; 
    if ( g_fileWatch_event_MaxLen >= (unsigned int)(16 * const_1_1) ) 
      goto LABEL_20; 
  } 
  if ( v7 == -1 ) 
    goto LABEL_21; 
LABEL_20: 
  v7 = read(g_inotify_init, &(&dword_53E0C)[4 * dword_53E08], 0x10000 - dword_53E08); 
  g_fileWatch_event_readLen = v7; 
  if ( v7 < 0 ) 
  { 
LABEL_21: 
    g_fileWatch_errno = *(_DWORD *)_errno(v7); 
    return 0; 
  } 
  if ( !v7 ) 
    return 0; 
  dword_53E08 += v7; 
  dword_63E0C = (int)&dword_53E0C; 
  v8 = dword_53E18 + 0x10; 
  if ( dword_53E18 + 0x10 == dword_53E08 ) 
    v8 = 0; 
  dword_53E04 = v8; 
  if ( g_inotify_init_flag1 ) 
    p9E01CAAA70B3E111F16A18AB1BC2AB55((int *)&dword_53E0C); 
  return dword_63E0C; 
}

read_filewatch_event函数步骤如下:

  1. 调用select函数对inotify初始化句柄进行阻塞。当发生事件时,则线程唤醒;
  2. 调用ioctl函数获得对应事件的长度;
  3. 调用read函数将发生的事件信息读取到全局变量中。
  4. 返回对应的事件BUF。
    当发生事件时,就开始进行事件处理流程,首先调用filewatch_Delete清除watch。

filewatch_Delete函数

int __fastcall filewatch_Delete(int fatherPid) 
{ 
  int fatherPid_1; // r7 
  int v3; // [sp+0h] [bp-140h] 
  char v4; // [sp+4h] [bp-13Ch] 
  char v5; // [sp+5h] [bp-13Bh] 
  char v6; // [sp+6h] [bp-13Ah] 
  char v7; // [sp+7h] [bp-139h] 
  char v8; // [sp+8h] [bp-138h] 
  char v9; // [sp+9h] [bp-137h] 
  char v10; // [sp+Ah] [bp-136h] 
  char v11; // [sp+Bh] [bp-135h] 
  char v12; // [sp+Ch] [bp-134h] 
  char v13; // [sp+Dh] [bp-133h] 
  char v14; // [sp+Eh] [bp-132h] 
  char v15; // [sp+10h] [bp-130h] 
  char v16; // [sp+11h] [bp-12Fh] 
  char v17; // [sp+12h] [bp-12Eh] 
  char v18; // [sp+13h] [bp-12Dh] 
  char v19; // [sp+14h] [bp-12Ch] 
  char v20; // [sp+15h] [bp-12Bh] 
  char v21; // [sp+16h] [bp-12Ah] 
  char v22; // [sp+17h] [bp-129h] 
  char v23; // [sp+18h] [bp-128h] 
  char v24; // [sp+19h] [bp-127h] 
  char v25; // [sp+1Ah] [bp-126h] 
  char v26; // [sp+1Bh] [bp-125h] 
  char v27; // [sp+1Ch] [bp-124h] 
  char v28; // [sp+1Dh] [bp-123h] 
  char v29; // [sp+1Eh] [bp-122h] 
  char v30; // [sp+1Fh] [bp-121h] 
  char v31; // [sp+20h] [bp-120h] 
  char v32; // [sp+21h] [bp-11Fh] 
  char v33; // [sp+22h] [bp-11Eh] 
  char v34; // [sp+24h] [bp-11Ch] 

  fatherPid_1 = fatherPid; 
  memset(&v3, 0, 0x10u); 
  v4 = -75; 
  v5 = -88; 
  v6 = -92; 
  v8 = -30; 
  v9 = -85; 
  BYTE1(v3) = 62; 
  v10 = -93; 
  HIWORD(v3) = -18456; 
  v7 = -24; 
  v11 = -24; 
  v13 = -94; 
  v12 = -86; 
  v14 = -86; 
  ((void (__fastcall *)(int *, signed int, signed int))DecodeString9)(&v3, 13, 249); 
  sprintf(&v34, (const char *)&v3, fatherPid_1);// /proc/1340/mem 
  filewatch_DeleteByFile((int)&v34); 
  memset(&v15, 0, 0x14u); 
  v19 = 10; 
  v20 = 23; 
  v21 = 27; 
  v23 = 93; 
  v24 = 20; 
  v25 = 28; 
  v29 = 31; 
  v17 = 87; 
  v22 = 87; 
  v26 = 87; 
  v30 = 29; 
  v16 = -111; 
  v28 = 25; 
  v31 = 21; 
  v32 = 25; 
  v18 = 8; 
  v27 = 8; 
  v33 = 8; 
  ((void (__fastcall *)(char *, signed int, signed int))DecodeString9)(&v15, 17, 233); 
  sprintf(&v34, &v15, fatherPid_1); 
  return filewatch_DeleteByFile((int)&v34); 
}

filewatch_Delete函数步骤如下:

  1. 格式化字符/proc/pid/mem;
  2. 调用filewatch_DeleteByFile删除/proc/pid/mem的watch;
  3. 格式化字符/proc/pid/pagemap;
  4. 调用filewatch_DeleteByFile删除/proc/pid/pagemap的watch;
    可能存在问题:只删除了进程的对应watch,对于/proc/tid/相关并没有删除。同时task目录下的也没有删除。
    下面看一下filewatch_DeleteByFile函数。

filewatch_DeleteByFile函数

filewatch_DeleteNode(keybuf, g_fileWatch_wd_root); 
filewatch_DeleteNode(keybuf, g_fileWatch_name_root);
filewatch_rm(keybuf) 
freeKeyBuf(keybuf);

该函数调用步骤如下:

  1. 调用filewatch_DeleteNode删除wd相关watch;
  2. 调用filewatch_DeleteNode删除filename相关watch;
  3. 调用filewatch_rm移除wd;
  4. 调用freeKeyBuf释放FileWatchKey。

函数filewatch_DeleteNode如下:

nt __fastcall filewatch_DeleteNode(struct FileWatchKey *keybuf, struct RBRoot *rbroot) 

 struct RBRoot *v3; // r6 
 int v4; // r0 
 int v5; // r7 
 void **v6; // r5 
 void **v7; // r4 
 void **v8; // r3 
 struct RBTree **v9; // r2 
 struct RBTree *v10; // r1 
 struct RBTree *v11; // r2 
 struct RBTree *v12; // r3 
 struct RBTree *v13; // r2 
 int v14; // [sp+4h] [bp-1Ch] 

 if ( !rbroot ) 
   return 0; 
 v3 = rbroot; 
 query_insert_node(0, (int)keybuf, rbroot); 
 v5 = v4; 
 if ( (void **)v4 == &g_inotify_node_NoValidFlag ) 
   return 0; 
 v6 = (void **)v4; 
 v14 = *(_DWORD *)(v4 + 16); 
 if ( *(void ***)v4 != &g_inotify_node_NoValidFlag && *(void ***)(v4 + 4) != &g_inotify_node_NoValidFlag ) 
   v6 = sub_28F7C((void **)v4); 
 v7 = (void **)*v6; 
 if ( *v6 == &g_inotify_node_NoValidFlag ) 
   v7 = (void **)v6[1]; 
 v7[2] = v6[2]; 
 v8 = (void **)v6[2]; 
 if ( v8 == &g_inotify_node_NoValidFlag ) 
 { 
   v3->root = (struct RBTree *)v7; 
 } 
 else if ( v6 == *v8 ) 
 { 
   *v8 = v7; 
 } 
 else 
 { 
   v8[1] = v7; 
 } 
 if ( v6 != (void **)v5 ) 
   *(_DWORD *)(v5 + 16) = v6[4]; 
 if ( !v6[3] ) 
 { 
   while ( 1 ) 
   { 
     if ( v7 == (void **)v3->root || v7[3] ) 
     { 
       v7[3] = 0; 
       break; 
     } 
     v9 = (struct RBTree **)v7[2]; 
     v10 = *v9; 
     if ( v7 == (void **)*v9 ) 
     { 
       v10 = v9[1]; 
       if ( v10->color == 1 ) 
       { 
         v10->color = 0; 
         *((_DWORD *)v7[2] + 3) = 1; 
         rbtree_right_rotate((struct RBTree *)&v3->root, (struct RBTree *)v7[2]); 
         v10 = (struct RBTree *)*((_DWORD *)v7[2] + 1); 
       } 
       v11 = v10->right; 
       if ( v10->left->color || v11->color ) 
       { 
         if ( !v11->color ) 
         { 
           v10->left->color = 0; 
           v10->color = 1; 
           rbtree_left_rotate((struct RBTree *)&v3->root, v10); 
           v10 = (struct RBTree *)*((_DWORD *)v7[2] + 1); 
         } 
         v10->color = *((_DWORD *)v7[2] + 3); 
         *((_DWORD *)v7[2] + 3) = 0; 
         v10->right->color = 0; 
         rbtree_right_rotate((struct RBTree *)&v3->root, (struct RBTree *)v7[2]); 
         goto LABEL_35; 
       } 
ABEL_31: 
       v10->color = 1; 
       v7 = (void **)v7[2]; 
     } 
     else 
     { 
       if ( v10->color == 1 ) 
       { 
         v10->color = 0; 
         *((_DWORD *)v7[2] + 3) = 1; 
         rbtree_left_rotate((struct RBTree *)&v3->root, (struct RBTree *)v7[2]); 
         v10 = *(struct RBTree **)v7[2]; 
       } 
       v12 = v10->right; 
       v13 = v10->left; 
       if ( !v12->color && !v13->color ) 
         goto LABEL_31; 
        if ( !v13->color ) 
        { 
          v12->color = 0; 
          v10->color = 1; 
          rbtree_right_rotate((struct RBTree *)&v3->root, v10); 
          v10 = *(struct RBTree **)v7[2]; 
        } 
        v10->color = *((_DWORD *)v7[2] + 3); 
        *((_DWORD *)v7[2] + 3) = 0; 
        v10->left->color = 0; 
        rbtree_left_rotate((struct RBTree *)&v3->root, (struct RBTree *)v7[2]); 
LABEL_35: 
        v7 = (void **)&v3->root->left; 
      } 
    } 
  } 
  free(v6); 
  return v14; 
}

filewatch_DeleteNode函数进行节点删除,以及红黑树调整相关操作。下面看一下函数filewatch_rm。

unsigned int __fastcall filewatch_rm(struct FileWatchKey *keybuf) 

 int v1; // r1 
 int v2; // r0 
 signed int v3; // r3 

 v1 = keybuf->wd; 
 g_fileWatch_errno = 0; 
 v2 = inotify_rm_watch(g_inotify_init, v1); 
 v3 = 1; 
 if ( v2 < 0 ) 
 { 
   v3 = 0; 
   g_fileWatch_errno = v2; 
 } 
 return v3;

调用inotify_rm_watch进行wd移除。下面看一下freeKeyBuf函数。

void __fastcall freeKeyBuf(void *ptr) 
{ 
  void *v1; // r4 
  void *v2; // r0 

  v1 = ptr; 
  v2 = *(void **)ptr; 
  if ( v2 ) 
    free(v2); 
  free(v1); 
}

freeKeyBuf函数进行内存释放工作。
至此删除文件监控分析结束。

下面将开始进行终止线程和父进程相关操作。

进程线程终止

pthread_kill(newthread, 10); 
killProcess(fatherPid, 9);

先将监控所有task的线程结束。然后调用killProcess结束父进程。

unsigned int __fastcall killProcess(__pid_t a1, int a2) 
{ 
  unsigned int result; // r0 

  result = linux_eabi_syscall(__NR_kill, a1, a2); 

  return result; 
}

bypass

其实 bypass文件监控的方法很多,具有可移植性的方法的是HOOK inotify_add_watch
对于防守方可以监控inotify_add_watch函数是否HOOK。
样本下载连接
学习群号:211730239

你可能感兴趣的:(安卓逆向-实战)

  • 【云原生之kubernetes实战】在k8s环境中高效部署minio对象存储(详细教程) 江湖有缘 云原生kubernetes容器
    【云原生之kubernetes实战】在k8s环境中高效部署minio对象存储(详细教程)前言一、minio介绍1.1MinIO简介1.2主要特点1.3主要使用场景二、相关知识介绍2.1本次实践存储介绍2.2k8s存储介绍三、本次实践介绍3.1本次实践简介3.2本次环境规划3.3部署前需准备工作四、检查k8s环境4.1检查工作节点状态4.2检查系统pod状态五、部署minio对象存储5.1编辑min
  • MyBatis 从入门到精通:详解基础与实战(完整版) 以恒1 mybatis
    MyBatis从入门到精通:详解基础与实战(完整版)(新手入门篇在主页)一、MyBatis基础概念1.1什么是ORM?ORM(Object-RelationalMapping)即对象关系映射,是一种将数据库表与程序对象自动映射的技术。MyBatis作为半自动化的ORM框架,允许开发者直接编写SQL,同时自动处理对象与数据库结果的映射。1.2MyBatis核心功能SQL映射:将Java方法与SQL语
  • Web安全攻防入门教程——hvv行动详解 白帽子黑客罗哥 web安全安全网络安全pythonjava
    Web安全攻防入门教程Web安全攻防是指在Web应用程序的开发、部署和运行过程中,保护Web应用免受攻击和恶意行为的技术与策略。这个领域不仅涉及防御措施的实现,还包括通过渗透测试、漏洞挖掘和模拟攻击来识别潜在的安全问题。本教程将带你入门Web安全攻防的基础概念、常见攻击类型、防御技术以及一些实战方法。一、Web安全基础Web应用安全的三大核心目标(CIA三原则)机密性(Confidentialit
  • 《黑客攻防从入门到精通:工具篇》全15章万字深度总结——从工具解析到实战攻防,构建完整网络安全知识体系 予安灵 黑客技术web安全安全系统安全网络安全安全架构网络攻击模型黑客工具链
    目录一、书籍核心逻辑与学习路径二、核心模块与工具深度解析模块1:信息收集与网络扫描模块2:渗透测试与漏洞利用模块3:密码攻防与身份认证模块4:恶意程序攻防模块5:网络追踪与反追踪模块6:系统加固与数据防护三、工具链实战方法论第一章:黑客必备小工具第二章:扫描与嗅探工具第三章:注入工具(诸如工具)第四章:密码攻防工具第五章:病毒攻防常用工具第六章:木马攻防常用工具第七章:网游与网吧攻防工具第八章:黑
  • 【项目实战】前后端分离实现通用上传接口到不同存储桶 本本本添哥 001-基础开发能力javaservlet前端
    一、定义通用上传接口通过上传接口(UploadFileController.java)上传文件/***上传文件*@parammulFile*@paramdir文件存放目录*@paramfileType文件类型image:图片*@return*/@ApiOperation(value="上传文件")@PostMapping("/upload")public
  • Python3 【项目实战】深度解析:赛跑成绩统计分析工具 李智 - 重庆 Python精讲精练-从入门到实战python案例学习编程技巧时间处理项目实战
    Python3【项目实战】深度解析:赛跑成绩统计分析工具一、项目概述1.开发背景:田径比赛的成绩统计需要快速准确的计算选手成绩,传统人工计时和统计效率低且易出错。本工具通过程序化处理赛跑数据,自动计算各选手成绩及整体统计指标,主要应用于:学校运动会成绩实时统计田径锦标赛的自动化成绩公示运动员训练数据分析2.技术定位:时间数据处理与统计计算的典型案例字典数据结构的实践应用面向过程编程的教学范例二、项
  • Java多线程与并发编程实战——从基础到进阶 AI天才研究院 Python实战Java实战自然语言处理人工智能语言模型编程实践开发语言架构设计
    作者:禅与计算机程序设计艺术1.简介互联网企业都在大力拓展自己的业务,而新的技术革命也带来了海量的数据量,因此,单机并发处理能力已经无法满足现代信息时代对高速数据的需求。大数据和云计算带来的分布式系统架构,让单台计算机不仅能够执行单个任务,而且可以横向扩展处理大量任务。在这种情况下,如何充分利用多核CPU、共享内存等资源并发地处理多项任务就成为现代系统设计者们必备技能之一。本书将以实操为导向,全面
  • 基于深度学习的个性化新闻推荐系统设计与实现计算机毕设 sj52abcd 深度学习课程设计人工智能毕业设计
    博主介绍:✌专注于VUE,小程序,安卓,Java,python,物联网专业,有17年开发经验,长年从事毕业指导,项目实战✌选取一个适合的毕业设计题目很重要。✌关注✌私信我✌具体的问题,我会尽力帮助你。研究的背景:随着互联网技术的发展和普及,人们越来越依赖互联网获取信息。然而,随着信息量的不断增加,用户在查找新闻时面临着信息过载的问题。为了解决这个问题,个性化新闻推荐系统被广泛应用。个性化新闻推荐系
  • python 人工智能实战案例 2401_86114612 pygamepythonjava
    大家好,今天我们要分享,python编程人工智能小例子python人工智能100例子,一起探索吧!1.背景介绍概述在这个世纪,人类已经处于数字化的时代,而这也让很多其他行业都进入了数字化领域python列表有哪些基本操作,python列表功能很重要吗。其中包括游戏行业。游戏行业的蓬勃发展促使机器学习的产生,通过计算机能够进行高效率地模拟人类的学习、决策过程,不断升级提升人类的能力。游戏领域中的AI
  • 机器学习算法实战——天气数据分析(主页有源码) 喵了个AI 机器学习实战机器学习算法数据分析
    ✨个人主页欢迎您的访问✨期待您的三连✨✨个人主页欢迎您的访问✨期待您的三连✨✨个人主页欢迎您的访问✨期待您的三连✨1.引言天气数据分析是气象学和数据科学交叉领域的一个重要研究方向。随着大数据技术的发展,气象数据的采集、存储和分析能力得到了显著提升。机器学习算法在天气数据分析中的应用,不仅能够提高天气预报的准确性,还能为气候研究、灾害预警等提供有力支持。本文将介绍机器学习在天气数据分析中的应用,探讨
  • KNN算法性能优化技巧与实战案例 可问 可问春风 算法性能优化
    KNN算法性能优化技巧与实战案例K最近邻(KNN)在分类和回归任务中表现稳健,但其计算复杂度高、内存消耗大成为IT项目中的主要瓶颈。以下从算法优化、数据结构、工程实践三方面深入解析性能提升策略,并附典型应用案例。一、核心性能瓶颈维度挑战描述计算复杂度单次预测需计算全部训练样本距离,时间复杂度为(n=样本数,d=特征维度)内存占用需全量存储训练数据,大规模数据集难以加载高维灾难高维数据中距离计算失去
  • Web三要素:CSS之Flex/Grid布局(4) 双囍菜菜 前端随记前端css
    CSS布局革命:Flex与Grid的双子星战法文章目录CSS布局革命:Flex与Grid的双子星战法一、布局进化史:从洪荒时代到现代文明二、Flex布局:一维空间的舞蹈家2.1核心概念深度解析容器属性详解:2.2典型应用场景实战导航栏布局(React示例)垂直居中(Vue示例)三、Grid布局:二维空间的指挥官3.1网格系统深度解析核心概念图解:3.2高级布局技巧实战响应式网格(React示例)复
  • 【prompt实战】知乎问题解答专家 姚瑞南 prompt实战应用案例prompt
    本文原创作者:姚瑞南AI-agent大模型运营专家,先后任职于美团、猎聘等中大厂AI训练专家和智能运营专家岗;多年人工智能行业智能产品运营及大模型落地经验,拥有AI外呼方向国家专利与PMP项目管理证书。(转载需经授权)#Role:知乎问题解答分类专家##Profile:你是一个知乎问题解答分类专家,主要帮助用户解答各类领域专业问题,包括但不限于金融领域、职场问题、互联网领域、科技领域、人工智能领域
  • 程序员必看!DeepSeek全栈开发指南:从代码生成到分布式训练的黑科技解析 AI创享派 后端
    一、DeepSeek技术新突破:程序员必须掌握的MoE架构实战2025年2月25日,DeepSeek开源了专为MoE模型设计的DeepEP通信库,这项技术革新直接影响了分布式训练和推理效率。该库支持FP8精度与NVLink/RDMA技术,吞吐量提升3倍以上,特别适合处理千亿级参数的分布式任务。对于后端工程师而言,DeepEP的以下特性值得关注:计算-通信重叠机制:通过回调函数实现GPU资源动态分配
  • MATLAB算法实战应用案例精讲-【深度学习】归一化 林聪木 matlab算法深度学习
    目录为什么要做特征归一化/标准化?常用featurescaling方法计算方式上对比分析featurescaling需要还是不需要什么时候需要featurescaling?什么时候不需要FeatureScaling?归一化基础知识点1.什么是归一化2.为什么要归一化3.为什么归一化能提高求解最优解的速度4.归一化有哪些类型5.不同归一化的使用条件6.归一化和标准化的联系与区别层归一化综述提出背景概
  • NLP-二分类的应用-区分外卖评论好评/差评 左岸Jason 算法pythonkafkaflinkelasticsearch
    目录一、概念二、二分类实战-划分好评/差评1.处理步骤2.实战代码一、概念文本分类一般可以分为二分类、多分类、多标签分类三种情况。二分类是指将一组文本分成两个类(0或1),比较常见的应用如垃圾邮件分类、电商网站的用户评价数据的正负面分类等,多分类是指将文本分成若干个类中的某一个类,比如说门户网站新闻可以归属到不同的栏目中(如政治、体育、社会、科技、金融等栏目)去。多标签分类指的是可以将文本分成若干
  • Python 爬虫实战:电影评论数据抓取与自然语言处理 西攻城狮北 python爬虫开发语言
    引言作为一名对电影数据和自然语言处理感兴趣的内容创作者,我决定利用Python爬虫技术抓取IMDb上的电影评论数据,并进行自然语言处理分析。这不仅可以帮助我们了解观众对电影的反馈,还能为电影制作方提供有价值的参考。一、项目背景IMDb(互联网电影数据库)是全球最大的电影数据库,用户可以在上面查看电影信息和用户评论。本项目旨在爬取IMDb上的电影评论,并对评论进行自然语言处理(NLP),以提取情感、
  • 基于Asp.net的汽车租赁管理系统 计算机学姐 Asp精选实战项目源码asp.net汽车后端mysqlsqlservervue.jsc#
    作者:计算机学姐开发技术:SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等,“文末源码”。专栏推荐:前后端分离项目源码、SpringBoot项目源码、Vue项目源码、SSM项目源码、微信小程序源码精品专栏:Java精选实战项目源码、Python精选实战项目源码、大数据精选实战项目源码系统展示【2025最新】基于Asp.net的汽车租赁管理系统开发
  • 提速 Java性能优化实战:6大技巧解锁丝滑体验 墨瑾轩 一起学学Java【一】java性能优化开发语言
    在Java应用程序性能优化的领域,有多种策略可以帮助提升程序运行效率和响应速度。以下是一些实用的技巧,涵盖代码层面、JVM调优、以及设计模式等方面,旨在全面优化应用性能。1.代码层面优化避免不必要的对象创建频繁的对象创建和销毁会占用大量的CPU时间和内存资源。尽量重用对象,特别是在循环中。Java//优化前for(inti=0;i
  • 使用Python爬取豆瓣用户信息:从入门到实战 Python爬虫项目 2025年爬虫实战项目python开发语言人工智能爬虫大数据
    引言豆瓣作为一个知名的社交平台,拥有丰富的用户信息。对于数据分析师、研究人员或普通用户来说,获取豆瓣用户信息具有重要的价值。本文将详细介绍如何使用Python及其相关库来爬取豆瓣用户信息,并展示如何利用最新的技术手段来实现这一目标。1.准备工作在开始编写爬虫之前,我们需要准备一些工具和环境:Python3.x:确保你已经安装了Python3.x版本。Requests库:用于发送HTTP请求。Bea
  • 深入 Python 网络爬虫开发:从入门到实战 南玖yy pythonpython爬虫
    一、为什么需要爬虫?在数据驱动的时代,网络爬虫是获取公开数据的重要工具。它可以帮助我们:监控电商价格变化抓取学术文献构建数据分析样本自动化信息收集二、基础环境搭建1.核心库安装pipinstallrequestsbeautifulsoup4lxmlseleniumscrapy2.开发工具推荐PyCharm(专业版)VSCode+Python扩展JupyterNotebook(适合调试)三、爬虫开发
  • 使用 Python 编写网络爬虫:从入门到实战 Manaaaaaaa python爬虫开发语言
    网络爬虫是一种自动化获取网页信息的程序,通常用于数据采集、信息监控等领域。Python是一种广泛应用于网络爬虫开发的编程语言,具有丰富的库和框架来简化爬虫的编写和执行过程。本文将介绍如何使用Python编写网络爬虫,包括基本原理、常用库和实战案例。一、原理介绍网络爬虫是一种自动化程序,通过模拟浏览器的行为向网络服务器发送HTTP请求,获取网页内容并进一步提取所需信息的过程。网络爬虫主要用于数据采集
  • SDN架构解密:控制面如何“指挥”万亿级网络? ——基于“大脑-四肢”模型的三层架构深度解析 不想加班的码小牛 网络架构人工智能ai
    摘要本文以“大脑-四肢”类比SDN三层架构,揭示控制器如何通过全局视图管理、南向接口标准化(如OpenFlow)与北向API开放能力,实现对万亿级网络的集中化控制。文中包含OpenFlow协议代码示例、网络拓扑公式及架构图,力求呈现技术细节与实战价值。一、SDN架构的“大脑-四肢”隐喻SDN通过控制平面-数据平面-应用平面的三层架构,构建了网络控制的“中枢神经系统”:控制层(大脑):集中式控制器掌
  • JVM性能调优实战:从理论到线上问题排查 SuperMale-zxq 项目实战javapythonc++jvmjava-ee
    JVM性能调优实战:从理论到线上问题排查线上系统突然变慢,CPU飙升,内存告警,业务超时……面对这些危机时刻,你是束手无策还是胸有成竹?本文将带你掌握JVM性能调优的核心方法,从理论到实战,解决真实环境中的性能难题。为什么大多数JVM调优都失败了?某电商平台的"双11"大促活动,系统突然响应缓慢,交易量锐减。运维团队紧急扩容,开发团队调整GC参数,架构师建议重启服务……一系列"标准操作"后,系统性
  • 孪生网络模型,当训练集与测试集共用一个数据集时,训练准确率为100%,而测试准确率仍在50%左右浮动 bug菌¹ 全栈Bug调优(实战版)pytorch机器学习
    本文收录于《全栈Bug调优(实战版)》专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!问题描述【问题】孪生网络模型,测试效果异常:当训练集与测试集共用一个数据集(样本、标签完全相同)时,训练准确率为100%,而测试准确率仍在50%左右浮动(正常来说测试的都
  • 外呼系统破局电话管控:AI电销机器人合规运营实战指南 ai_vx_3307623172 WX_3307623172AI机器人外呼中心人工智能机器人云计算语音识别服务器开源软件
    随着运营商对电话卡管控日趋严格,某金融科技公司曾因单日外呼超限导致80%号码被封——这一案例暴露出AI电销机器人在效率与合规间的矛盾。但数据显示,采用合规策略的企业外呼接通率仍能保持38%以上,关键在于建立适配监管环境的智能外呼体系。一、破解封号困局的三大核心策略1.运营商白名单通道接入三大运营商均开放企业智能外呼专线,这类线路具备免封号特性。某教育机构接入电信AI-PaaS平台后,日均外呼量稳定
  • Python 爬虫实战:国际航班数据抓取与全球航班网络分析 西攻城狮北 python爬虫开发语言
    一、引言随着全球化的加速,国际航班网络已成为现代交通体系的重要组成部分。通过分析国际航班数据,我们可以深入了解全球航空枢纽、热门航线以及航班流量的变化趋势。本文将介绍如何通过爬取国际航班数据,分析全球航班网络的情况,并给出实现爬虫和数据分析的详细过程及代码。二、项目背景与目标2.1项目背景航空交通是全球经济和旅游业的核心部分,了解全球航班网络有助于掌握各大航空公司之间的竞争格局、全球机场的枢纽作用
  • 《Python实战进阶》小技巧 1:一篇文章讲完网站部署如何优化网站照片加载/访问提速的方法 带娃的IT创业者 Python实战进阶pythonphp网络
    一篇文章讲完网站部署如何优化网站照片加载/访问提速的方法摘要在网络速度较低的情况下,大量照片会导致网站加载缓慢。本文档详细介绍了优化家庭网站中照片加载速度的多种方法和技术。以下是主要的优化策略及其具体实现:1.图片压缩与优化自动压缩上传的图片:通过Python脚本使用PIL库压缩图片,调整大小、转换模式,并保存为优化的JPEG格式。批量优化现有图片:编写脚本对文件夹中的图片进行批量处理,包括创建备
  • 如何快速开发一款AI小程序?基于微信云开发的实战指南 一键难忘 人工智能小程序微信
    如何快速开发一款AI小程序?基于微信云开发的实战指南引言微信小程序凭借其轻便、易推广等特点,已成为应用开发的重要方式之一。而AI技术的快速发展让智能化应用成为可能。通过微信云开发(CloudBase)与小程序结合,开发者可以实现从前端到后端的一站式AI应用开发。本文将深入讲解如何利用微信云开发快速搭建一款AI小程序,展示从模型训练到云端部署的完整流程。准备工作在开始开发之前,确保完成以下准备工作:
  • Sass:深度解析与实战应用 li_Michael_li sass前端css
    在前端开发的浪潮中,CSS预处理器因其强大的功能和灵活性而备受推崇。其中,Sass(SyntacticallyAwesomeStylesheets)无疑是这些预处理器中的佼佼者。本文将深入解析Sass的核心概念、语法特性以及实战应用,并通过代码样例展示其强大的功能。Sass是什么?Sass(SyntacticallyAwesomeStylesheets)是一种CSS预处理器,它允许我们使用变量、嵌
  • 强大的销售团队背后 竟然是大数据分析的身影 蓝儿唯美 数据分析
    Mark Roberge是HubSpot的首席财务官,在招聘销售职位时使用了大量数据分析。但是科技并没有挤走直觉。 大家都知道数理学家实际上已经渗透到了各行各业。这些热衷数据的人们通过处理数据理解商业流程的各个方面,以重组弱点,增强优势。 Mark Roberge是美国HubSpot公司的首席财务官,HubSpot公司在构架集客营销现象方面出过一份力——因此他也是一位数理学家。他使用数据分析
  • Haproxy+Keepalived高可用双机单活 bylijinnan 负载均衡keepalivedhaproxy高可用
    我们的应用MyApp不支持集群,但要求双机单活(两台机器:master和slave): 1.正常情况下,只有master启动MyApp并提供服务 2.当master发生故障时,slave自动启动本机的MyApp,同时虚拟IP漂移至slave,保持对外提供服务的IP和端口不变 F5据说也能满足上面的需求,但F5的通常用法都是双机双活,单活的话还没研究过 服务器资源 10.7
  • eclipse编辑器中文乱码问题解决 0624chenhong eclipse乱码
    使用Eclipse编辑文件经常出现中文乱码或者文件中有中文不能保存的问题,Eclipse提供了灵活的设置文件编码格式的选项,我们可以通过设置编码 格式解决乱码问题。在Eclipse可以从几个层面设置编码格式:Workspace、Project、Content Type、File 本文以Eclipse 3.3(英文)为例加以说明: 1. 设置Workspace的编码格式: Windows-&g
  • 基础篇--resources资源 不懂事的小屁孩 android
    最近一直在做java开发,偶尔敲点android代码,突然发现有些基础给忘记了,今天用半天时间温顾一下resources的资源。 String.xml    字符串资源   涉及国际化问题  http://www.2cto.com/kf/201302/190394.html   string-array
  • 接上篇补上window平台自动上传证书文件的批处理问卷 酷的飞上天空 window
    @echo off : host=服务器证书域名或ip,需要和部署时服务器的域名或ip一致 ou=公司名称, o=公司名称 set host=localhost set ou=localhost set o=localhost set password=123456 set validity=3650 set salias=s
  • 企业物联网大潮涌动:如何做好准备? 蓝儿唯美 企业
    物联网的可能性也许是无限的。要找出架构师可以做好准备的领域然后利用日益连接的世界。 尽管物联网(IoT)还很新,企业架构师现在也应该为一个连接更加紧密的未来做好计划,而不是跟上闸门被打开后的集成挑战。“问题不在于物联网正在进入哪些领域,而是哪些地方物联网没有在企业推进,” Gartner研究总监Mike Walker说。 Gartner预测到2020年物联网设备安装量将达260亿,这些设备在全
  • spring学习——数据库(mybatis持久化框架配置) a-john mybatis
    Spring提供了一组数据访问框架,集成了多种数据访问技术。无论是JDBC,iBATIS(mybatis)还是Hibernate,Spring都能够帮助消除持久化代码中单调枯燥的数据访问逻辑。可以依赖Spring来处理底层的数据访问。 mybatis是一种Spring持久化框架,要使用mybatis,就要做好相应的配置: 1,配置数据源。有很多数据源可以选择,如:DBCP,JDBC,aliba
  • Java静态代理、动态代理实例 aijuans Java静态代理
    采用Java代理模式,代理类通过调用委托类对象的方法,来提供特定的服务。委托类需要实现一个业务接口,代理类返回委托类的实例接口对象。 按照代理类的创建时期,可以分为:静态代理和动态代理。 所谓静态代理: 指程序员创建好代理类,编译时直接生成代理类的字节码文件。 所谓动态代理: 在程序运行时,通过反射机制动态生成代理类。   一、静态代理类实例: 1、Serivce.ja
  • Struts1与Struts2的12点区别 asia007 Struts1与Struts2
    1) 在Action实现类方面的对比:Struts 1要求Action类继承一个抽象基类;Struts 1的一个具体问题是使用抽象类编程而不是接口。Struts 2 Action类可以实现一个Action接口,也可以实现其他接口,使可选和定制的服务成为可能。Struts 2提供一个ActionSupport基类去实现常用的接口。即使Action接口不是必须实现的,只有一个包含execute方法的P
  • 初学者要多看看帮助文档 不要用js来写Jquery的代码 百合不是茶 jqueryjs
    解析json数据的时候需要将解析的数据写到文本框中,  出现了用js来写Jquery代码的问题;   1, JQuery的赋值  有问题    代码如下: data.username 表示的是:  网易            $("#use
  • 经理怎么和员工搞好关系和信任 bijian1013 团队项目管理管理
            产品经理应该有坚实的专业基础,这里的基础包括产品方向和产品策略的把握,包括设计,也包括对技术的理解和见识,对运营和市场的敏感,以及良好的沟通和协作能力。换言之,既然是产品经理,整个产品的方方面面都应该能摸得出门道。这也不懂那也不懂,如何让人信服?如何让自己懂?就是不断学习,不仅仅从书本中,更从平时和各种角色的沟通
  • 如何为rich:tree不同类型节点设置右键菜单 sunjing contextMenutreeRichfaces
    组合使用target和targetSelector就可以啦,如下: <rich:tree id="ruleTree" value="#{treeAction.ruleTree}" var="node" nodeType="#{node.type}" selectionChangeListener=&qu
  • 【Redis二】Redis2.8.17搭建主从复制环境 bit1129 redis
    开始使用Redis2.8.17 Redis第一篇在Redis2.4.5上搭建主从复制环境,对它的主从复制的工作机制,真正的惊呆了。不知道Redis2.8.17的主从复制机制是怎样的,Redis到了2.4.5这个版本,主从复制还做成那样,Impossible is nothing! 本篇把主从复制环境再搭一遍看看效果,这次在Unbuntu上用官方支持的版本。   Ubuntu上安装Red
  • JSONObject转换JSON--将Date转换为指定格式 白糖_ JSONObject
    项目中,经常会用JSONObject插件将JavaBean或List<JavaBean>转换为JSON格式的字符串,而JavaBean的属性有时候会有java.util.Date这个类型的时间对象,这时JSONObject默认会将Date属性转换成这样的格式:   {"nanos":0,"time":-27076233600000,
  • JavaScript语言精粹读书笔记 braveCS JavaScript
    【经典用法】:   //①定义新方法 Function .prototype.method=function(name, func){ this.prototype[name]=func; return this; } //②给Object增加一个create方法,这个方法创建一个使用原对
  • 编程之美-找符合条件的整数 用字符串来表示大整数避免溢出 bylijinnan 编程之美
    import java.util.LinkedList; public class FindInteger { /** * 编程之美 找符合条件的整数 用字符串来表示大整数避免溢出 * 题目:任意给定一个正整数N,求一个最小的正整数M(M>1),使得N*M的十进制表示形式里只含有1和0 * * 假设当前正在搜索由0,1组成的K位十进制数
  • 读书笔记 chengxuyuancsdn 读书笔记
    1、Struts访问资源 2、把静态参数传递给一个动作 3、<result>type属性 4、s:iterator、s:if c:forEach 5、StringBuilder和StringBuffer 6、spring配置拦截器 1、访问资源 (1)通过ServletActionContext对象和实现ServletContextAware,ServletReque
  • [通讯与电力]光网城市建设的一些问题 comsci 问题
          信号防护的问题,前面已经说过了,这里要说光网交换机与市电保障的关系       我们过去用的ADSL线路,因为是电话线,在小区和街道电力中断的情况下,只要在家里用笔记本电脑+蓄电池,连接ADSL,同样可以上网........     
  • oracle 空间RESUMABLE daizj oracle空间不足RESUMABLE错误挂起
    空间RESUMABLE操作  转 Oracle从9i开始引入这个功能,当出现空间不足等相关的错误时,Oracle可以不是马上返回错误信息,并回滚当前的操作,而是将操作挂起,直到挂起时间超过RESUMABLE TIMEOUT,或者空间不足的错误被解决。 这一篇简单介绍空间RESUMABLE的例子。 第一次碰到这个特性是在一次安装9i数据库的过程中,在利用D
  • 重构第一次写的线程池 dieslrae 线程池 python
    最近没有什么学习欲望,修改之前的线程池的计划一直搁置,这几天比较闲,还是做了一次重构,由之前的2个类拆分为现在的4个类. 1、首先是工作线程类:TaskThread,此类为一个工作线程,用于完成一个工作任务,提供等待(wait),继续(proceed),绑定任务(bindTask)等方法 #!/usr/bin/env python # -*- coding:utf8 -*-
  • C语言学习六指针 dcj3sjt126com c
    初识指针,简单示例程序: /* 指针就是地址,地址就是指针 地址就是内存单元的编号 指针变量是存放地址的变量 指针和指针变量是两个不同的概念 但是要注意: 通常我们叙述时会把指针变量简称为指针,实际它们含义并不一样 */ # include <stdio.h> int main(void) { int * p; // p是变量的名字, int *
  • yii2 beforeSave afterSave beforeDelete dcj3sjt126com delete
    public function afterSave($insert, $changedAttributes) { parent::afterSave($insert, $changedAttributes); if($insert) { //这里是新增数据 } else { //这里是更新数据 } }  
  • timertask shuizhaosi888 timertask
    java.util.Timer timer = new java.util.Timer(true); // true 说明这个timer以daemon方式运行(优先级低, // 程序结束timer也自动结束),注意,javax.swing // 包中也有一个Timer类,如果import中用到swing包, // 要注意名字的冲突。 TimerTask task = new
  • Spring Security(13)——session管理 234390216 sessionSpring Security攻击保护超时
    session管理 目录   1.1     检测session超时 1.2     concurrency-control 1.3     session 固定攻击保护         
  • 公司项目NODEJS实践0.3[ mongo / session ...] 逐行分析JS源代码 mongodbsessionnodejs
        http://www.upopen.cn   一、前言         书接上回,我们搭建了WEB服务端路由、模板等功能,完成了register 通过ajax与后端的通信,今天主要完成数据与mongodb的存取,实现注册 / 登录 /
  • pojo.vo.po.domain区别 LiaoJuncai javaVOPOJOjavabeandomain
      POJO = "Plain Old Java Object",是MartinFowler等发明的一个术语,用来表示普通的Java对象,不是JavaBean, EntityBean 或者 SessionBean。POJO不但当任何特殊的角色,也不实现任何特殊的Java框架的接口如,EJB, JDBC等等。      即POJO是一个简单的普通的Java对象,它包含业务逻辑
  • Windows Error Code OhMyCC windows
    0 操作成功完成. 1 功能错误. 2 系统找不到指定的文件. 3 系统找不到指定的路径. 4 系统无法打开文件. 5 拒绝访问. 6 句柄无效. 7 存储控制块被损坏. 8 存储空间不足, 无法处理此命令. 9 存储控制块地址无效. 10 环境错误. 11 试图加载格式错误的程序. 12 访问码无效. 13 数据无效. 14 存储器不足, 无法完成此操作. 15 系
  • 在storm集群环境下发布Topology roadrunners 集群stormtopologyspoutbolt
    storm的topology设计和开发就略过了。本章主要来说说如何在storm的集群环境中,通过storm的管理命令来发布和管理集群中的topology。   1、打包 打包插件是使用maven提供的maven-shade-plugin,详细见maven-shade-plugin。 <plugin> <groupId>org.apache.maven.
  • 为什么不允许代码里出现“魔数” tomcat_oracle java
      在一个新项目中,我最先做的事情之一,就是建立使用诸如Checkstyle和Findbugs之类工具的准则。目的是制定一些代码规范,以及避免通过静态代码分析就能够检测到的bug。   迟早会有人给出案例说这样太离谱了。其中的一个案例是Checkstyle的魔数检查。它会对任何没有定义常量就使用的数字字面量给出警告,除了-1、0、1和2。   很多开发者在这个检查方面都有问题,这可以从结果
  • zoj 3511 Cake Robbery(线段树) 阿尔萨斯 线段树
    题目链接:zoj 3511 Cake Robbery 题目大意:就是有一个N边形的蛋糕,切M刀,从中挑选一块边数最多的,保证没有两条边重叠。 解题思路:有多少个顶点即为有多少条边,所以直接按照切刀切掉点的个数排序,然后用线段树维护剩下的还有哪些点。 #include <cstdio> #include <cstring> #include <vector&
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他