iOS Anti-Debug





1 iOS Anti-Debug前言

      移动平台攻防对抗技术的发展基本是沿着PC端发展轨迹在前进,从windows平台上的加壳到Android平台的APK加固,相信ipa的加固也已经不远了;windows平台下从ring3层到ring0层的反调试技术已经非常成熟,Android平台下的反调试技术已经出现了好几套不错的方案,今天来简单聊聊iOS下的反调试技术。

2 PT_DENY_ATTACH

      谈到debug,首先会想到的一个系统调用是ptrace,它主要用于实现断点调试和系统调用跟踪。从man ptrace的结果发现一个有趣的参数——PT_DENY_ATTACH:

iOS Anti-Debug-iOS反调试-阿里聚安全


图 1 man ptrace
      PT_DENY_ATTACH是苹果增加的一个ptrace选项,用以防止gdb等调试器依附到某进程。用法如下:
      ptrace(PT_DENY_ATTACH, 0, 0, 0);
      直接上demo:

iOS Anti-Debug-PT_DENY_ATTACH-阿里聚安全 
图 2 ptrace not found
      那么问题就来了,编译报错:'sys/ptrace.h' file not found。iPhone真实环境下,根本就没有抛出sys/ptrace.h。但是幸运的是,我们依然可以使用dlopen和dlsym拿到ptrace。从man dlopen和man dlsym可以发现,当dlopen的path参数传入NULL时,dlopen将返回一个相当于RTLD_DEFAULT的handle;当dlsym接收到一个RTLD_DEFAULT的handle参数时,dlsym将根据载入的顺序搜索除以dlopen(xxx, RTLD_LOCAL)方式载入的所有mach-o文件。

iOS Anti-Debug-Anti-Debug-阿里聚安全 
图 3 man dlopen
iOS Anti-Debug-ipa加固-阿里聚安全 
图 4 man dlsym
      根据以上的信息,反调试方法基本可以完成了,demo主要代码如下:
iOS Anti-Debug-iOS反调试-阿里聚安全 
图 5 Anti debug Demo
      尝试gdb依附会得到一个Segmentation fault错误:
iOS Anti-Debug-PT_DENY_ATTACH-阿里聚安全 
图 6 运行demo
  iOS Anti-Debug-Anti-Debug-阿里聚安全
图 7 gdb依附
      针对这种ptrace的反反调试方法其实很简单,通过修改ptrace的参数或者内存补丁就可以搞定,具体不在此详述。
      另外,在某亿级用户的APP里面发现了相同的反调试方法,伪代码如下:
iOS Anti-Debug-ipa加固-阿里聚安全 

图 8 某APP反调试伪代码
      注意,在dlfcn.h中有如下定义:
      #define RTLD_GLOBAL 0x8
      #define RTLD_NOW 0x2

3 sysctl

      思路是通过sysctl查看信息进程里的标记,判断自己是否正在被调试。sysctl是用以查询内核状态的接口,并允许具备相应权限的进程设置内核状态。其定义如下:
      int sysctl(int *name, u_int namelen, void *old, size_t *oldlen, void *newp, size_t newlen);
      name参数是一个用以指定查询的信息数组;
namelen用以指定name数组的元素个数;
      old是用以函数返回的缓冲区;
      oldlen用以指定oldp缓冲区长度;
      newp和newlen在设置时使用;
      当进程被调试器依附时,kinfo_proc结构下有一个kp_proc结构域,kp_proc的p_flag的被调试标识将被设置,即会进行类似如下的设置:
      kinfo_proc. kp_proc. p_flag & P_TRACED
      其中P_TRACED的定义如下:
      #define P_TRACED        0x00000800  /* Debugged process being traced */
      我们可以通过sysctl查询进程相应的kinfo_proc信息,查询函数的实现可以这样:

iOS Anti-Debug-iOS反调试-阿里聚安全 
图 9 found debugger
      name参数的4个元素表示通过本进程pid查询本进程信息。在主函数中检索is_debugged的返回值,返回为真时,即进程正在被调试,退出进程。测试结果如下:
iOS Anti-Debug-PT_DENY_ATTACH-阿里聚安全 
图 10 gdb依附demo
iOS Anti-Debug-Anti-Debug-阿里聚安全 
图 11 demo发现debugger并退出
      针对sysctl的反反调试的思路其实很简单,只需要在函数返回时清除p_flag标识位即可,根据sysctl.h文件中的定义:
      #define CTL_KERN 1
      #define KERN_PROC 14
      #define KERN_PROC_PID 1
      以及sysctl的第二个参数为4,对sysctl下条件断点,在sysctl返回后,根据反编译二进制文件找到kproc的首地址,接下来找到p_flag相对kproc首地址的偏移,最后修改对应内存地址的值就OK了。

4 iOS Anti-Debug小节

      iOS平台下的Anti-Debug方法相对于Linux下的要少很多,例如fork一个子进程,ptrace父进程进行检测方式不再奏效。而且,要完全防止程序被调试或者被逆向,理论上来说是不可能的。


作者 轩夏


  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值