浅谈Android反调试 之 PTRACE_TRACEME

最新推荐文章于 2024-05-12 17:04:11 发布
最新推荐文章于 2024-05-12 17:04:11 发布
阅读量432 收藏
点赞数
文章标签: 移动开发
原文链接:http://www.cnblogs.com/jiaoxiake/p/6793906.html
版权
浅谈Android反调试 之 PTRACE_TRACEME

反调试原理:

ptrace函数  原型为:    
#include <sys/ptrace.h>
long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);
ptrace有四个参数: 
 1). enum __ptrace_request request:指示了ptrace要执行的命令。
 2). pid_t pid: 指示ptrace要跟踪的进程。
 3). void *addr: 指示要监控的内存地址。
 4). void *data: 存放读取出的或者要写入的数据。
ptrace是如此的强大,以至于有很多大家所常用的工具都基于ptrace来实现,如strace和gdb。

参数为reqest为PTRACE_TRACCEME,表示父进程和子进程是Trace关系。如下图:
1118630-20170501235355976-127912821.png

我们知道调试Android应用程序,必须调用附加进城,此刻必须调用 ptrace(PTRACE_ATTACH). 此刻进程从程序已经被Tracce, 此刻ptrace必会失败。利用这一点我们就可以做反调试。
实现代码如下:
1118630-20170501235356570-1266351707.png

解决方案:NOP调用 ptrace(PTRACE_TRACEME)这个代码
 








posted on 2017-05-01 23:54 蕉下客--) 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/jiaoxiake/p/6793906.html

weixin_34014277
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ptrace调试
HotIce0
10-03 2900
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
ptrace之SMC,调试
lyx2007825的专栏
11-09 924
#include #include #include #include #include #include #include #define PAGE_START(p) ((p) &~4095) #define PAGE_END(p) ((p) + PAGE_START(p)) static char encrypt_shellcode[] = "\x66\xba\xd6\x6
调试 - ptrace占坑
最新发布
dafan0的博客
05-12 386
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
ptrace 调试
weixin_30355437的博客
12-30 526
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
玩转ptrace(二)
永久指针
12-01 1234
转自:http://blog.csdn.net/silentvoid/article/details/1477515 by Pradeep Padala Created 2002-11-01 02:00 翻译: Magic.D   在第一部分中我们已经看到ptrace怎么获取子进程的系统调用以及改变系统调用的参数。在这篇文章中,我们将要研究如何在子进程中设置断点和往运行中的程序里插入
linux或者android样本ptrace调试绕过
kernweak的博客
06-16 1358
linux linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(调试程序) #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> void a() { if (ptra
Linux ‘PTRACE_TRACEME’提权漏洞(CVE-2019-13272)分析 .pdf
09-05
Linux中的`PTRACE_TRACEME`是一个系统调用,允许一个进程(tracer)调试另一个进程(tracee)。在分析的`CVE-2019-13272`漏洞中,`PTRACE_TRACEME`被滥用,导致了一个权限提升的问题。此漏洞主要与Linux内核中的...
iOS安全防护系列之ptrace调试与汇编调用系统方法详解
08-27
本文将深入探讨ptrace调试技术以及汇编调用系统方法,这些都是iOS开发者和安全研究人员必备的知识。 首先,ptrace是一个系统调用,允许一个进程监视和控制另一个进程。在iOS环境中,它被广泛用于调试工具,如lldb...
ptrace_32.rar_Linux/Unix编程_Unix_Linux_
08-11
2. **PTRACE_PEEKDATA/PTRACE_POKEDATA**:这些命令分别用于读取和修改被追踪进程的内存。由于是32位进程,内存访问需要考虑地址对齐和数据宽度的问题。 3. **PTRACE_SYSCALL**:这个命令用来拦截和控制被追踪进程...
Android中的调试代码
05-29
Android应用开发中,调试技术是保护应用安全的重要手段之一。它主要用于防止恶意的逆向工程分析,保护代码不被篡改或盗用。本文将深入探讨Android应用中的调试策略及其实施方法。 首先,我们需要理解调试的...
去掉AlipayWallet的ptrace 调试保护,进行lldb调试(学习demo)
03-16
2.2、为验证是否调用了ptrace 可以 debugserver -x backboard *:1234 /BinaryPath(这里是完整路径),然后下符号断点 b ptrace,c 之后看ptrace第一行代码的位置,然后 p $lr 找到函数返回地址,再根据 image list ...
越狱开发笔记(五)—— ptrace调试&调试
zhuxincheng_1218的专栏
03-06 807
文章目录debugserver 连接APPLLDB 启动LLDB 启动原理LLDB下断点命令行工具的权限文件调试PtracePtrace通过framework防护调试 debugserver 连接APP $sh usbLogin.sh链接手机,root# cd /Developer/usr/bin可以看的目录下有个debugserver,在链接之前可以$ps -A查看进程。 $ ./deb...
玩转Android10源码开发定制(七)修改ptrace绕过调试
xiaomaNo01的专栏
12-31 990
一、安卓10中ptrace介绍 1.源码位置追踪 在Android10中,ptrace函数定义文件路径为: bionic/libc/include/sys/ptrace.h 函数原型定义如下: long ptrace(int __request, ...); ptrace函数实现文件路径为: bionic/libc/bionic/ptrace.cpp 函数实现代码如下: long ptrace(int ...
Linux ptrace系统调用
小立仔
08-31 1594
Linux ptrace系统调用简介
ptrace系统调用的实现
imred的专栏
05-12 2649
最近遇到这样一个问题,机器跑着跑着画面冻结了,打开top看到Xorg的cpu占用率100%。想用gdb挂上去看一下,结果gdb一直卡着挂不上去。后来又换用perf分析,结果发现进程99%的时间花在了一个ioctl调用。这个ioctl操作的是nvidia显卡,进程实际上是卡在了nvidia的驱动中。 我对gdb挂不上去这件事感到很好奇,之前除了因为进程已经被另一个gdb调试而导致gdb挂不上去之外,...
利用Ptrace在Android平台实现应用程序控制
weixin_34004576的博客
04-10 123
利用Ptrace在Android平台实现应用程序控制 http://hi.baidu.com/harry_lime/item/9a23bbd9ebd936b1260ae7db 但凡做过安全软件的人都知道,APIHook和AppControl是经常要实现的功能。 为了实现这两个功能,最常用的方法就是写driver,在kernel中拦截检查相应的调用。这种做法...
linux ptrace 内核源码分析,linux 3.5.4 ptrace源码分析分析(系列一)
weixin_35908791的博客
05-13 367
ptrace是linux系统中为了调试专门设立的一种系统调用。要想调试调试一个进程,有两种方式:PTRACE_TRACEME和PTRACE_ATTACH。这两种方式的主要区别可以概括为:PTRACE_TRACEME是子进程主动申请被TRACE。而PTRACE_ATTACH是父进程自己要attach到子进程,相当于子进程是被动的trace。PTRACE_TRACEME程序设置的框架大概为:if(pi...
android绕过调试方法,安卓|使用ptrace绕过ptrace调试(二)
weixin_35171513的博客
05-26 1657
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
PTRACE_PEEKUSER
05-31
`PTRACE_PEEKUSER` 是一个 `ptrace` 系统调用,用于读取目标进程中的用户空间寄存器值。它的调用方式如下: ```c long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); ``` 其中,`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值