一种绕过PTRACE反调试的办法

最新推荐文章于 2023-03-10 13:49:51 发布
最新推荐文章于 2023-03-10 13:49:51 发布
阅读量1.3k 收藏 2
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/gm-201705/p/9864051.html
版权

Linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的反调试手段。

调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉反调试。下面提供另一种思路,降低手工操作复杂度:

测试代码(反调试程序):

#include <stdio.h>
#include <stdlib.h>
#include <sys/ptrace.h>

void a()
{
    if (ptrace(PTRACE_TRACEME, 0, 1, 0) == -1) 
    {
        printf("don't trace me !!\n");
        exit(1);
    }
    // normal execution
    puts("hello girl.");
}

int main()
{
    a();
    return 0;
}

编写辅助库:

/* Type of the REQUEST argument to `ptrace.'  */
enum __ptrace_request
{
    PTRACE_TRACEME = 0,
#define PT_TRACE_ME PTRACE_TRACEME
};

long ptrace(enum __ptrace_request request, unsigned long pid,
                   void *addr, void *data)
{
    return 0;
}

gcc -shared -fPIC helper.c -o helper.so 编译动态库。

设置环境变量:


export LD_PRELOAD=$PWD/helper.so


测试:

 

(gdb) r
Starting program: /home/kiiim/lab/a.out 
hello girl.
During startup program exited normally.

以上,将helper.so放到APP的libs目录,并设置LD_PRELOAD环境变量,即可绕过所有ptrace的反调试。

也可以patch一些其它函数,如open函数我们需要patch后不影响其正常功能:

#define _GNU_SOURCE
#include <dlfcn.h>
 
typedef int (*_open)(const char *pathname, int flags);
 
int open(const char *pathname, int flags, ...)
{
    /* Some evil injected code goes here. */
 
    _open fake_open;
    fake_open = (_open)dlsym(RTLD_NEXT,"open");
    return fake_open(pathname,flags);
}

转载于:https://www.cnblogs.com/gm-201705/p/9864051.html

weixin_30914981
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ptrace调试
HotIce0
10-03 2915
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
Linux ptrace 原理,安卓|使用ptrace绕过ptrace调试(一)
weixin_28883589的博客
05-15 575
一、LD_PRELOAD(一)原理LD_PRELOAD是linux系统的一个环境变量,它可以影响程序运行时装载的动态链接库。装载动态链接库,一般情况下按照以下顺序进行:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib这里通过编译一个包含ptrace()的动态链接库,并将其设为LD_PRELOAD环境变量,从而...
调试绕过的奇淫技巧
u011661836的博客
09-05 2988
调试绕过的奇淫技巧 Essence Sharing | 干货分享 Aug 30 1 / 6 Aug 30 17h ago 转:http://www.iosre.com/t/to
ptrace 调试
weixin_30355437的博客
12-30 536
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
ptrace的使用流程
海棠花的博客
12-31 2859
参考链接: https://blog.csdn.net/imred/article/details/90141080 一、tracer和tracee的跟踪状态建立 两种方式:一种情况是tracer是tracee的父进程,进程tracee主动调用PTRACE_TRACEME.另外一种是进程tracer调用PTRACE_ATTACH或者或PTRACE_SEIZE。 处理PTRACE_ATTACH请求...
iOS安全防护系列之ptrace调试与汇编调用系统方法详解
08-27
本文将深入探讨ptrace调试技术以及汇编调用系统方法,这些都是iOS开发者和安全研究人员必备的知识。 首先,ptrace是一个系统调用,允许一个进程监视和控制另一个进程。在iOS环境中,它被广泛用于调试工具,如lldb...
去掉AlipayWallet的ptrace 调试保护,进行lldb调试(学习demo)
03-16
2.2、为验证是否调用了ptrace 可以 debugserver -x backboard *:1234 /BinaryPath(这里是完整路径),然后下符号断点 b ptrace,c 之后看ptrace第一行代码的位置,然后 p $lr 找到函数返回地址,再根据 image list ...
安卓调试-解决方案一
06-22
总结来说,安卓调试一种重要的安全实践,它通过多种方式检测并防止应用被调试,从而保护应用的内部逻辑和数据不被非法获取。在进行安卓开发时,了解并掌握这些调试技术,不仅有助于提升应用的安全性,也是提升...
Android中的调试代码
05-29
2. **利用`ptrace()`函数**:`ptrace()`系统调用是Linux内核提供的一种挂载调试器的功能。通过检查`ptrace()`返回值,可以检测是否有其他进程(如调试器)尝试挂载到我们的应用上。 3. **监控异常处理**:当应用被...
ptrace注入实例
01-01
在IT行业中,ptrace是一个非常重要的系统调用,主要用于进程调试和系统监控。它允许一个进程(tracer)观察和控制另一个进程(tracee),从而获取其执行细节或影响其行为。"ptrace注入"则是利用ptrace系统调用来实现...
ptrace
u011661836的博客
11-21 1184
Anti ptrace 20 DEC 2015 学习了 http://www.iosre.com/t/7-2-0-ios/770 和 http://bbs.iosre.com/t/ptrace/371 两篇文章后,上手操作了下。 发现高德地图7.5.4版本已经没有了sub函数,而是直接在start中加入了ptrace的动态加载。如下图: 想来可以直接hook dlsym,当第二个参数为”
Linux系统调用--ptrace函数详解
sourthstar的专栏
09-19 2598
http://hi.baidu.com/ordeder/item/77cf1cdc8ca93fe3795daab0 【ptrace系统调用】 功能描述: 提供父进程观察和控制另一个进程执行的机制,同时提供查询和修改另一进程的核心影像与寄存器的能力。主要用于执行断点调试和系统调用跟踪。父进程可通过调用fork,接着指定所产生的子进程的PTRACE_TRACEME行为
【内核定制】超详细华为Honor 9i(LLD-AL20)重新编译内核(解除ptrace禁用)以使用Frida
书山有路勤为径
05-19 7798
目录 所需资料 详细步骤 检查手机版本 开启大小写敏感(仅限WSL) 安装make-3.81(已是该版本可以跳过) 编译内核 制作修补后的内核镜像文件 刷入制作的内核镜像文件 最终测试 最终成品 参考 所需资料 1.LLD-AL20-AL30-L22_OREO_EMUI8.0_Opensource.tar.gz 2.android-ndk-r16-beta1-linux-x86_64.zip 3.make-3.81.tar.gz 4.Linux环境(我这里用的是...
一种Linux下ptrace隐藏注入shellcode技术和防御方法
小王的储物间
03-10 653
最后如果之前的检查没有拒绝使用ptrace功能,则允许使用。首先定义控制进程(tracer)和被控制进程(tracee),tracer可以观察和控制tracee的执行流程,检查和修改tracee的内存和寄存器内容,一个tracee只能关联(attach)一个tracer,一个tracer可以关联多个tracee。此外,根据一个tracee只能关联一个tracer的规则,可以在程序开始使用PTRACE_TRACEME功能将当前线程变成tracee,之后其它进程不能再对其使用PTRACE_ATTACH功能。
ptrace跟踪子进程
zuihoudebingwen的专栏
06-17 4765
引子: 1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态? 2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的? 3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么? 所有这
Linux调试小记(二)
博客
05-13 256
四、利用环境变量 在Linux中,bash有一个环境变量叫$_,它保存的是上一个执行的命令的最后一个参数。如果在被跟踪的状态下,这个变量的值会发生变化。下面是可能产生变化的几种情况: 程序名 参数argv[0] 环境变量getenv("_") shell ./test ./test strace ./test /usr/bin/strace ltrace ./test /usr/bin/ltrace gdb /home/user/te
android绕过调试方法,安卓|使用ptrace绕过ptrace调试(二)
weixin_35171513的博客
05-26 1668
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
linux ptrace调试之抢占ptrace
whatday的专栏
08-17 1495
ptrace和debugger原理 ptrace ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于断点调试和系统调用跟踪. 函数原型: long ptrace(int request, pid_t pid, void * addr, void * data) 其中,request代表请求类型,pid代表被调试进程的pid. 部分...
玩转Android10源码开发定制(七)修改ptrace绕过调试
xiaomaNo01的专栏
12-31 1009
一、安卓10中ptrace介绍 1.源码位置追踪 在Android10中,ptrace函数定义文件路径为: bionic/libc/include/sys/ptrace.h 函数原型定义如下: long ptrace(int __request, ...); ptrace函数实现文件路径为: bionic/libc/bionic/ptrace.cpp 函数实现代码如下: long ptrace(int ...
ptrace 作弊
最新发布
09-09
在操作系统层面,ptrace 可以让一个进程监视另一个进程的状态和行为,提供了强大的调试和追踪功能。 在作弊中,ptrace 可以用来检测和防止一些常见的作弊行为。例如,通过 ptrace,可以监视一个游戏进程的内存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值