Linux反调试小记(一)

最新推荐文章于 2023-10-10 15:50:17 发布
最新推荐文章于 2023-10-10 15:50:17 发布
阅读量653 收藏 1
点赞数
分类专栏: # Linux反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39387233/article/details/116545208
版权
本文介绍了Linux程序的反调试策略,包括忽略int3指令以防止调试器介入,通过检查getppid来探测是否被gdb、strace等跟踪,以及利用session id的特性来判断是否处于调试状态。通过这些方法,开发者可以增强程序的安全性。
摘要由CSDN通过智能技术生成

在编写Linux程序过程中,考虑到自己写的程序可能会被别人调试,因此对Linux的反调试技术进行了一些研究,这里一共总结了9种方法,我将分三篇文章对这些方法进行说明。当然了,如果在这个过程中你有更好的、更加新颖的思路与方法,欢迎交换。现在开始进入正题啦。

一、忽略int3指令

我们知道,X86从它的第一代产品8086开始就提供了int 3作为它的调试指令,int 3又叫做断点指令,专门用来给调试器使用。那么如果这样的话,很容易就能够联想到,要反调试,只要插入int 3来迷惑调试器即可。但是这会影响正常的程序吗?当然了,因为int 3会在用户空间产生SIGTRAP。其实这个很简单,我们只要忽略这个信号就可以啦。

#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <signal.h>
#include <dirent.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/stat.h>

void handler(int signo)
{
  
}

void PassByInt3()
{
  signal(SIGTRAP, handler);
  __asm__("nop\n\t"
    "int3\n\t");
  printf("Hello from main!\n");
}


int main(int argc, char *argv[])
{
  PassByInt3();
}
最低0.47元/天 解锁文章
人而已
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux调试小记(三)
博客
05-23 1229
接着上面的文章,继续讨论关于Linux调试技术。 七:检查进程运行状态 调试器可以通过attach到某个已有进程的方法进行调试。这种情况下,被调试进程的父进程便不是调试器了。 在这种情况下,我们可以通过直接检查进程的运行状态来判断是否被调试。而这里使用到的依然是/proc文件系统。具体地,我们检查/proc/self/status文件。 当由非调试状态转变为调试状态时,进程状态由sleeping变为tracing stop,TracerPid也由0变为非0的数,即调试器的PID。由此,我们便可通过.
Liunux调试
小小鱼的博客
02-14 180
常见的思路: 关闭gdb使用的文件描述符3,close(3) 可以逆向分析可执行文件,通过patch可执行文件中的close函数来绕过 隐藏进程pid或者使用fork+kill不断刷新进程pid 使用ptrace调试自身,防止被gdb等使用ptrace系统调用的调试器的调试 可以逆向分析可执行文件,patch可执行文件中的ptrace操作来绕过 去除对程序运行无影响的段,用readelf无法分析可执行文件,gdb也就无法获取调试需要的文件相关信息 ...
调试技术 linux,Linux下的调试技术.pdf
weixin_35437202的博客
05-16 197
Linux下的调试技术.pdfLinux 下的调试技术如何防止自己的程序被调试器跟踪,这是一个很有趣的话题,也是逆向工程中的一个重要话题。这里简单介绍一下Linux 平台上的调试技术。( 本 文 主 要 参 考 :/2006/10/0...
Linux下的调试技术
11-09 2477
转自  http://wangcong.org/blog/archives/310   如何防止自己的程序被调试器跟踪,这是一个很有趣的话题,也是逆向工程中的一个重要话题。这里简单介绍一下Linux平台上的调试技术。 (本文主要参考:http://blog.txipinet.com/2006/10/05/37-tecnicas-anti-debugging-sencillas-para-
linux调试代码,linux调试方法
weixin_39607836的博客
05-14 259
如何防止自己的程序被调试器跟踪,这是一个很有趣的话题,也是逆向工程中的一个重要话题。这里简单介绍一下Linux平台上的调试技术。(本文主要参考:http://blog.txipinet.com/2006/10/05/37-tecnicas-anti-debugging-sencillas-para-gnu-linux/。做人要厚道,转载请指明出处!)一. int3指令Intel Softwar...
Linux调试小记(二)
博客
05-13 261
四、利用环境变量 在Linux中,bash有一个环境变量叫$_,它保存的是上一个执行的命令的最后一个参数。如果在被跟踪的状态下,这个变量的值会发生变化。下面是可能产生变化的几种情况: 程序名 参数argv[0] 环境变量getenv("_") shell ./test ./test strace ./test /usr/bin/strace ltrace ./test /usr/bin/ltrace gdb /home/user/te
红队专题-REVERSE汇编/二进制PWN/逆向/编译
最新发布
aming小老弟
10-10 1214
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
CSDN前1000名博主
热门推荐
无知人生,记录点滴
05-26 7万+
博主 简介 stpeace 排名:1 原创:2166 粉丝:7180 积分:181660 等级:10stpeace的专栏中国本博客供大家交流,欢迎各抒己见。博文中的内容禁止用 yuanmeng001 排名:2 原创:5286 粉丝:10660 积分:170616 等级:10袁萌专栏无穷小微积分倡导者–北大教授null老师 yjclsx 排名:3 原创:162...
调试技术 linux,动态调试技术
weixin_31014835的博客
05-16 366
一、异常1. SEH2. SetUnhandledExceptionFilter()进程中发生异常,若SEH未处理或者注册的SEH不存在,此时会调用执行系统的kernel32!UnhandledExceptionFilter()API.该函数内部会运行系统的最后一个异常处理器(名为Top Level Exception Filter或Last Exception Filter).系统最后的异常处理...
linux进程防止调试,VS2017创建并调试LINUX程序
weixin_29165465的博客
05-06 197
原创,转载请申明宇宙第一IDE以前没办法用在linux程序先,现在不仅能在python上调试也能调试linux程序。1.VS安装2.SSH3.创建linux工程4.头文件5.连接库1.VS安装这里我就不详细说了,网上都有安装时候把linux组件选上就好了。image.png2.SSHSSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 ...
linux pid nr ns,尝试绕过TracerPID调试
weixin_42305163的博客
05-18 363
安装MinGW, 在官网下好之后, 右键按下图选中要下载的,之后直接在Installation中直接选中Apply change即可。进入安装目录\MinGW\bin, 将gcc.exe重命名为cc.exe, 就短暂地这样改就好了,之后用完make工具再改回来。正我没找到哪里可以改Makefile的内容(小辣鸡)。不这样修改的话会出现如下报错:具体原因好像是MinGW的bug, 在Linux环境...
Linux /proc目录下和ELF调试有关的文件
siphre
11-05 866
wchan /proc/[pid]/wchan显示进程sleep时,kernel当前运行的函数。调试状态下,wchan文件会显示ptrace_stop。 cmdline /proc/[pid]/cmdline文件存放进程的命令内容。使用GDB这类的调试器时,调试会fork一个子进程,然后执行ELF程序。此时,ELF文件就可以通过getppid()获取父进程pid,然后检测cmdline...
者旨於陽 Linux内核调试方法总结之汇编
一口Linux的专栏
03-18 323
Linux汇编调试方法 Linux内核模块或者应用程序经常因为各种各样的原因而崩溃,一般情况下都会打印函数调用栈信息,那么,这种情况下,我们怎么去定位问题呢?本文档介绍了一种汇编的方法辅助定位此类问题。 代码示例如下: #include <signal.h> #include <stdio.h> #include <stdlib.h> #include <execinfo.h> #include <fcntl.h> #inclu
linux驱动调试方法汇编,内核调试的方法
weixin_31925811的博客
05-13 695
驱动程序的调试一. 打印: prink, 自制proc文件UBOOT传入console=ttySAC0 console=tty11. 内核处理UBOOT传入的参数console_setupadd_preferred_console // 我想用名为"ttySAC0"的控制台,先记录下来2. 硬件驱动的入口函数里:drivers/serial/s3c2410.cregister_console(&a...
一些调试手段及对应的逆向思路
iopoint的专栏
07-06 1531
实践还少,暂且没遇到,不过先来打个预防针,熟悉下。 首先什么是调试:防止程序被调试,保护代码。一种加固手段。 万事无绝对,不能阻止,但能缓解,让破解者消费精力。一般的,该手段会与加壳并用。 如何来调试呢?大方向有两类:检测,攻击。 1. 检测 检测程序是否被调试,若是的话做出一些“”措施,例如退出,跳到其他位置等。 2. 攻击 让调试器崩溃,阻止调试。 1.一般的,大多通过另启进程或线程。 基础知识:一个进程最多只能被一个进程ptrace:调试状态下,linux向/proc/p.
Linux ptrace 原理,安卓|使用ptrace绕过ptrace调试(一)
weixin_28883589的博客
05-15 600
一、LD_PRELOAD(一)原理LD_PRELOAD是linux系统的一个环境变量,它可以影响程序运行时装载的动态链接库。装载动态链接库,一般情况下按照以下顺序进行:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib这里通过编译一个包含ptrace()的动态链接库,并将其设为LD_PRELOAD环境变量,从而...
调试技术
nareku的博客
06-21 860
思来想去还是先写调试,壳的话打算在PE文件内容里写调试顾名思义就是用尽一切手段防止运行时对程序的非法篡改和窥视,加大代码的复杂度和分析等以下只是遇到的一些调试,其中有一些知识都没有学习到,不过慢慢来也慢慢补坑。
protobuff使用小记
05-31
例如,下面是一个示例代码,将一个Person对象序列化为字节数组,并将其序列化为另一个Person对象: ``` Person person = Person.newBuilder() .setName("Alice") .setAge(25) .build(); byte[] bytes = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值