使用PTRACE_TRACEME反调试的原理

已于 2024-08-07 17:18:01 修改
阅读量277 收藏
点赞数 6
文章标签: 系统安全 linux
于 2024-08-07 17:14:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aka_yoo/article/details/140996453
版权

ptrace 是 Linux 提供的一组系统调用接口,用于实现父进程对子进程的调试和控制。PTRACE_TRACEMEptrace 的一个请求,通常在子进程中调用,以告知内核该进程将被其父进程调试。关键:一个进程仅能被一个进程调试,不能再多了!


编写一个demo:

#include <sys/ptrace.h>
#include <unistd.h>
#include <stdio.h>

int main() {
    int a = 1;
    a += 999;
    // 调用 PTRACE_TRACEME
    if (ptrace(PTRACE_TRACEME, 0, NULL, NULL) == -1) {
        printf("Debugger detected!\n");
        return 1;
    }
    
    // 其他程序逻辑
    printf("No debugger detected.\n");
    sleep(3);
    return 0;
}

在main函数中,调用 ptrace(PTRACE_TRACEME, 0, NULL, NULL),告诉内核该进程将被其父进程调试。

在进行该调用时,有两种情况:

  1. 该程序已被调试器进程所调试:那么该调用会失败,返回-1,从而执行return 1退出程序。
  2. 该程序还没被调试:那么在调用后,父进程将占据仅有的调试位,其他调试器无法再对程序调试。

因此,起到反调试的目的!


gdb进行演示:

大概可以看出在执行ptrace(PTRACE_TRACEME, 0, NULL, NULL)时,断开了gdb调试。

在这里插入图片描述

阿阿阿卡
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
调试 - ptrace占坑
dafan0的博客
05-12 436
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
Android native调试方式及使用IDA绕过调试
热门推荐
jltxgcy的专栏
01-28 1万+
0x00     为了避免我们的so文件被动态分析,我们通常在so中加入一些调试代码,常见的Android native调试方法有以下几种。     1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。     2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查
ptrace系统调用的实现
imred的专栏
05-12 2696
最近遇到这样一个问题,机器跑着跑着画面冻结了,打开top看到Xorg的cpu占用率100%。想用gdb挂上去看一下,结果gdb一直卡着挂不上去。后来又换用perf分析,结果发现进程99%的时间花在了一个ioctl调用。这个ioctl操作的是nvidia显卡,进程实际上是卡在了nvidia的驱动中。 我对gdb挂不上去这件事感到很好奇,之前除了因为进程已经被另一个gdb调试而导致gdb挂不上去之外,...
ptrace调试
HotIce0
10-03 2933
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
Linux ptrace 原理,安卓|使用ptrace绕过ptrace调试(一)
weixin_28883589的博客
05-15 602
一、LD_PRELOAD(一)原理LD_PRELOAD是linux系统的一个环境变量,它可以影响程序运行时装载的动态链接库。装载动态链接库,一般情况下按照以下顺序进行:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib这里通过编译一个包含ptrace()的动态链接库,并将其设为LD_PRELOAD环境变量,从而...
ptrace 调试
weixin_30355437的博客
12-30 547
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
Linux源码分析之Ptrace
七月冷雨
03-05 7591
本文摘自互联网,如有侵权,请联系我。一、函数说明1.函数使用说明名字ptrace – 进程跟踪形式#include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生
利用ptrace设计一个简单的debugger调试
K1052176873的博客
02-22 1229
1. 程序的设计思路 1.1 设计思路 本次设计实现的debugger针对被调试进程主要实现了6项功能: 可以读取被调试进程CPU所有寄存器的值 可以对被调试进程进行单步调试 可以恢复被调试进程运行 可以查看被调试进程任意内存空间 可以计算被调试进程执行完需要多少条指令 可以在指定地址插入断点 为了在不同的功能之间进行切换,使用循环轮询手动输入参数的方式来决定使用哪一项功能。 系统调用Ptrace的定义: long ptrace(enum __ptrace_request request, pid_t
解决Android加固多进程ptrace调试的思路整理
Fly20141201. 的专栏
12-13 1万+
一、Android多进程调试原理代码 当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种调试的手法,效果还是不错的。 /****************************************************** // 附加目标进程失败,说明目标进程已经被调试 if (ptrace(PTRAC
android拦截native方法,Android native调试方式及使用IDA绕过调试
weixin_30332669的博客
05-25 828
0x00为了避免我们的so文件被动态分析,我们通常在so中加入一些调试代码,常见的Android native调试方法有以下几种。1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如果!=0就退出程...
JNI 调试介绍
u014715599的博客
07-26 952
Author: Crystal 0X01 jni 调试介绍 为了避免我们的so文件被动态分析,我们通常在so中加入一些调试代码,常见的Java native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0)。 2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查下这个值, 如...
Android安全防护之旅---应用"调试"操作的几种方案解析
尼古拉斯.赵四的博客
04-18 915
​一、前言 在之前介绍了很多破解相关的文章,在这个过程中我们难免会遇到一些调试策略,当时只是简单的介绍了如何去解决调试,其实在去年我已经介绍了一篇关于Android中的安全逆向防护之战的文章:Android安全逆向防护解析;那么这篇文章就来详细总结一下,现阶段比较流行的几种调试解决方案。 二、调试方案分析 第一种:先占坑,自己附加 代码非常简单,在so中加上这行代码即可:pt...
Android逆向之旅---应用的"调试"方案解析(附加修改IDA调试端口和修改内核信息)
尼古拉斯.赵四的博客
04-19 1457
一、前言 在前一篇文章中详细介绍了Android现阶段可以采用的几种调试方案策略,我们在破解逆向应用的时候,一般现在第一步都回去解决调试,不然后续步骤无法进行,当然如果你是静态分析的话获取就没必要了。但是有时候必须要借助动态调试方可破解,就需要进行操作了。现阶段调试策略主要包括以下几种方式: 第一、自己附加进程,先占坑,ptrace(PTRACE_TRACEME, 0, 0, 0)...
Andorid APK逆向解决方案:梆梆加固原理探寻【存档】
panfanglin的专栏
06-26 966
目前Android市场充斥着大量的盗版软件,开发者的官方应用被“打包党”们恶意篡改。如何使程序代码免受盗版篡改就成了开发者面临的头等大事,今天我们将分析一个不错的解决方案——梆梆加固。 通过对App进行加固保护,梆梆可以有效防止移动应用在运营推广过程中被破解、盗版、二次打包、注入、编译等破坏,保障程序的安全性、稳定性,对移动应用的整体逻辑结构进行保护,保证了移动应用的用户体验。
解决多进程ptrace调试保护的一种方法
zhangmiaoping23的专栏
07-11 8838
转:http://bbs.pediy.com/showthread.php?p=1436691#post1436691 前言:我们经常看到很多加固都采用多进程ptrace的方式来调试,这里想到一个小技巧绕过这种保护,测试目标是一款娜迦加固的APK,效果如下: 原理:多进程都是通过fork出来的,因此我们修改/bionic/libc/bionic/fork.c里面的
【学习记录】各种调试手段总结
weixin_34192993的博客
09-30 346
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 调试 虚拟机 android java层 常见的Android native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。 2、根据上面说的/proc/$pid/status中T...
linux ptrace调试之抢占ptrace
whatday的专栏
08-17 1510
ptracedebugger原理 ptrace ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于断点调试和系统调用跟踪. 函数原型: long ptrace(int request, pid_t pid, void * addr, void * data) 其中,request代表请求类型,pid代表被调试进程的pid. 部分...
使用ptrace PTRACE_PEEKUSER获取rip寄存器的值,C语言,x64架构
最新发布
05-25
在64位架构下,rip寄存器是指令指针寄存器,保存着下一条将要执行的指令的地址。可以使用ptrace系统调用和PTRACE_PEEKUSER参数来获取rip寄存器的值。 以下是一个获取rip寄存器值的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> #include <sys/reg.h> #include <sys/user.h> #include <sys/wait.h> int main() { pid_t pid; long long rip; pid = fork(); if (pid == 0) { // child process execl("/bin/ls", "ls", NULL); } else if (pid > 0) { // parent process waitpid(pid, NULL, 0); // attach to the child process ptrace(PTRACE_ATTACH, pid, NULL, NULL); waitpid(pid, NULL, 0); // get the rip register value struct user_regs_struct regs; ptrace(PTRACE_GETREGS, pid, NULL, &regs); rip = regs.rip; // detach from the child process ptrace(PTRACE_DETACH, pid, NULL, NULL); printf("rip = %llx\n", rip); } else { perror("fork"); exit(1); } return 0; } ``` 这个程序会启动一个子进程并执行`/bin/ls`命令,然后使用ptrace系统调用获取子进程的rip寄存器的值,并打印出来。需要注意的是,在使用ptrace系统调用时需要以超级用户权限运行程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值