反调试技术 linux,Linux下的反调试技术.pdf

Linux下的反调试技术.pdf

Linux 下的反调试技术

如何防止自己的程序被调试器跟踪，这是一个很有趣的话题，也是反逆向工程中的一个重要

话题。这里简单介绍一下Linux 平台上的反调试技术。

( 本 文 主 要 参 考 ：

/2006/10/05/37-tecnicas-anti-debugging-sencillas-para-gnu-linux/。

做人要厚道，转载请指明出处！)

一. int3 指令

Intel Software Developer’s Manual Volume 2A 中提到：

The INT 3 instruction generates a special one byte opcode (CC) that is intended for

calling the debug exception handler. (This one byte form is valuable because it can be

used to replace the first byte of any instruction with a breakpoint, including other one

byte instructions, without over-writing other code).

int3 是一个特殊的中断指令(从名字上也看得出来)，专门用来给调试器使用。这时，我们

应该很容易想到，要反调试，只要插入 int3 来迷惑调试器即可。不过，这会不会影响正常

的程序？会！因为int3 会在用户空间产生SIGTRAP 。没关系，我们只要忽略这个信号就可以

了。

1. #include

2. #include

3.

4. void handler(int signo)

5. {}

6.

7. int main(void)

8. {

9. signal(SIGTRAP, handler);

10. __asm__("nop\n\t"

11. "int3\n\t");

12. printf("Hello from main!\n");

13. return 0;

14. }

二. 文件描述符

这是一个很巧妙的办法，不过它只对gdb 之类的调试器有效。方法如下：

1. #include

2. #include

3. #include

4.

5. int main(void)

6. {

7. if(close(3) == -1) {

8. printf("OK\n");

9. } else {

10. printf("traced!\n");

11. exit(-1);

12. }

13. return 0;

14. }

gdb 要调试这个程序时会打开一个额外的文件描述符来读这个可执行文件，而这个程序正是

利用了这个“弱点”。当然，你应该能猜到，这个技巧对strace 是无效的。

三. 利用getppid

和上面一个手法类似，不过这个更高明，它利用 getppid 来进行探测。我们知道，在 Linux

上要跟踪一个程序，必须是它的父进程才能做到，因此，如果一个程序的父进程不是意料之

中的bash 等(而是gdb ，strace 之类的)，那就说明它被跟踪了。程序代码如下：

1. #include

2. #include

3. #include

4. #include

5. #include

6. #include

7.