linux ptrace反调试之抢占ptrace

最新推荐文章于 2024-07-31 23:54:35 发布
最新推荐文章于 2024-07-31 23:54:35 发布
阅读量1.5k 收藏 3
点赞数

ptrace和debugger原理

ptrace

ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于断点调试和系统调用跟踪.

函数原型:

long ptrace(int request, pid_t pid, void * addr, void * data)

其中,request代表请求类型,pid代表被调试进程的pid.

 

部分ptrace request和wait

PTRACE_TRACEME
表示本进程将被其父进程跟踪,交付给这个进程的所有信号(除SIGKILL之外),都将使其停止,父进程将通过wait()获知这一情况。
它通常总是与 fork/exec 一起使用。对于每一个进程,PTRACE_TRACEME 只能被调用一次。

PTRACE_ATTACH
根据pid将调试进程附加到被调试进程上,PTRACE_ATTACH向被调试进程发送SIGSTOP信号使之停下.
但是在ptrace(PTRACE_ATTACH,pid,0,0)执行完毕时被调试进程可能还没有暂停,可以使用waitpid()等待其停下.

PTRACE_DETACH
将被调试进程与调试进程分离,使被调试进程正常运行.

PTRACE_SYSCALL
使被调试进程继续运行,但是在下一个系统调用的入口处或出口处停下,或者是执行完一条指令后停下.
例如,调试进程可以监视被调试进程系统调用入口处的参数,接着再使用SYSCALL,监视系统调用的返回值.

wait()
wait函数会延迟父进程的执行,直到被调试的进程切换为停止状态或者终止为止.

 

调试器建立调试关系的两种方式:

用gdb调试程序,可以直接gdb ./test,也可以gdb (test的进程号)。这对应着使用ptrace建立跟踪关系的两种方式:

fork:利用fork+execve执行被测试的程序,子进程在执行execve之前调用ptrace(PTRACE_TRACEME),建立了与父进程(debugger)的跟踪关系。

attach: debugger可以调用ptrace(PTRACE_ATTACH,pid,…),建立自己与进程号为pid的进程间的跟踪关系。即利用PTRACE_ATTACH,使自己变成被调试程序的父进程(用ps可以看到)。用attach建立起来的跟踪关系,可以调用ptrace(PTRACE_DETACH,pid,…)来解除。注意attach进程时的权限问题,如一个非root权限的进程是不能attach到一个root进程上的。

 

反调试

ptrace被广泛用于反调试,因为一个进程只能被ptrace一次,如果事先调用了ptrace方法,那就可以防止别人调试我们的程序.

测试程序:

#include<stdio.h>
#include<stdlib.h>
#include<sys/ptrace.h>
int main(int argc, char* argv[])
{
    ptrace(PTRACE_TRACEME);
    while(1){
        printf("Hello Ptrace!\n");
        sleep(1);
    }
    return 0;
}

编译:gcc -g -o hello-ptrace hello-ptrace.c

运行并用gdb调试,发现已经被抢占,不能attach

已经由于PTRACE_TRACEME,被父进程trace

 

检测

#include<stdio.h>
#include<sys/ptrace.h>
int main(int argc, char* argv[])
{
    if(-1 == ptrace(PTRACE_TRACEME))
    {
        printf("Debugger!\n");
        return 1;
    }
    printf("Hello Ptrace!\n");
    return 0;
}

 

反反调试

ptrace用户态源码(位于bionic/libc/bionic/ptrace.c):

long ptrace(int request, pid_t pid, void * addr, void * data)
{
    switch (request) {
        case PTRACE_PEEKUSR:
        case PTRACE_PEEKTEXT:
        case PTRACE_PEEKDATA:
        {
            long word;
            long ret;
            ret = __ptrace(request, pid, addr, &word);
            if (ret == 0) {
                return word;
            } else {
                // __ptrace will set errno for us
                return -1;
            }
        }
        default:
             return __ptrace(request, pid, addr, data);
    }
}

0表示成功,-1表示错误.

单个应用可在ptrace下断点.

定制ROM,可以将ptrace源代码修改为如果是自己的pid调用ptrace,返回-1;否则返回0.

 

 

whatday
关注
ptrace之SMC,调试
lyx2007825的专栏
11-09 929
#include #include #include #include #include #include #include #define PAGE_START(p) ((p) &~4095) #define PAGE_END(p) ((p) + PAGE_START(p)) static char encrypt_shellcode[] = "\x66\xba\xd6\x6
android绕过调试方法,安卓|使用ptrace绕过ptrace调试(二)
weixin_35171513的博客
05-26 1710
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
调试方法二 - 抢占ptrace
attach_114的博客
12-23 727
<blockquote> <p>The ptrace() system call provides a means by which one process (the"tracer") may obs
ptrace
最新发布
MrPeng的博客
07-31 446
进程状态S:Interruptible Sleeping,即可中断睡眠;D:Uninterruptible Sleeping,即不可中断睡眠;R:Running or Runnable,即运行状态;Z:Zombie,即僵尸状态;T:Stopped or Traced,即中止状态(注意是“中止”而非“终止”)。execl语句可以将当前进程替换成一个新进程。在本例中,execl(“/bin/ls”, “ls”, “-l”, “-h”, NULL);语句将原本的子进程替换成了一条ls命令。
Linux 系统调用 Ptrace 详解
freeking101的博客
06-19 1673
From:https://blog.csdn.net/u012417380/article/details/60470075 一、系统调用 操作系统提供一系列系统调用函数来为应用程序提供服务。关于系统调用的详细相关知识,可以查看<<程序员的自我修养》第十二章。 对于x86操作系统来说,用中断命令“int 0x80”来进行系统调用,系统调用前,需要将系统调用号放入到%EAX寄存器中,将系统的参数依次放入到寄存器%ebx、%ecx、%edx以及%esi和%edi中。...
Linux源码分析之Ptrace
七月冷雨
03-05 7596
本文摘自互联网,如有侵权,请联系我。一、函数说明1.函数使用说明名字ptrace – 进程跟踪形式#include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生
linux进程编程(二)-- waitpid()函数使用
保持住思维的鲜活,才能充满活力。
07-31 380
函数简介
iOS安全防护系列之ptrace调试与汇编调用系统方法详解
08-27
本文将深入探讨ptrace调试技术以及汇编调用系统方法,这些都是iOS开发者和安全研究人员必备的知识。 首先,ptrace是一个系统调用,允许一个进程监视和控制另一个进程。在iOS环境中,它被广泛用于调试工具,如lldb...
去掉AlipayWallet的ptrace 调试保护,进行lldb调试(学习demo)
03-16
2.2、为验证是否调用了ptrace 可以 debugserver -x backboard *:1234 /BinaryPath(这里是完整路径),然后下符号断点 b ptrace,c 之后看ptrace第一行代码的位置,然后 p $lr 找到函数返回地址,再根据 image list ...
Anti ptrace:去掉AlipayWallet的ptrace 调试保护,进行lldb调试---仅用于参考学习
weixin_33739646的博客
11-28 1959
新的博客 学习笔记 前言 code 软件环境:Xcode硬件环境:iPhone5越狱手机、Mac开发工具: Cycript、LLDB、logos Tweak、hopper、MonkeyDev、AFLEXLoader、dumpdecrypted、debugserver、ssh、class_dump、hook 本文采用tweak 的方式进行M...
Linux下Ptrace()调用的安全分析.pdf
09-07
"Linux下Ptrace()调用的安全分析" Ptrace()是 Linux 操作系统中的一种系统调用,它提供了对运行中的进程进行跟踪和控制的能力。这项技术广泛应用于程序开发和调试中,但是在安全方面,它也存在一定的隐患。本文将对...
linux ptrace II
weixin_30919429的博客
11-10 73
第一篇 linux ptrace I 在之前的文章中我们用ptrace函数实现了查看系统调用参数的功能。在这篇文章中,我们会用ptrace函数实现设置断点,跟代码注入功能。 参考资料 Playing with ptrace, Part I Playing with ptrace, Part II 英文好的推荐直接看老外的文章。但是其代码是运行在x86系统上的,本文中将其移植到了x86_6...
[Pthread] Linux程序调试的基石(二)--Inside GDB
Javadino的专栏
09-06 3048
3. GDB的实现GDB是GNU发布的一个强大的程序调试工具,用以调试C/C++程序。可以使程序员在程序运行的时候观察程序在内存/寄存器中的使用情况。它的实现也是基于ptrace系统调用来完成的。其原理是利用ptrace系统调用,在被调试程序和gdb之间建立跟踪关系。然后所有发送给被调试程序的信号(除SIGKILL)都会被gdb截获,gdb根据截获的信号,查看被调试程序相应的内存地址,并控制被调试
gdb的原理:ptrace系统调用
sy_123a的专栏
09-08 725
attach到一个指定的进程,使其成为当前进程跟踪的子进程,而子进程的行为等同于它进行了一次PTRACE_TRACEME操作。但是,需要注意的是,虽然当前进程成为被跟踪进程的父进程,但是子进程使用getppid()的到的仍将是其原始父进程的pid。 当你在gdb中使用attach命令来跟踪一个指定进程/线程的时候,gdb就自动成为改进程的父进程,而被跟踪的进程则使用了一次PTRACE_TRACEME,gdb也就顺理成章的接管了这个进程。 gdb调试的实现都是建立...
[buuctf.reverse] 152-154
weixin_52640415的博客
07-05 415
152_[watevrCTF 2019]Hacking For Vodka 153_[watevrCTF 2019]sabataD 154_[HackIM2020]returminator
对ptrace运行机制的理解
weixin_57140753的博客
03-18 539
掌握系统中程序执行过程对安全员来说是非常重要的。本人小白,在观摩过许多大佬的文章后,对ptrace运行机制有了一些自己的理解,结合CTF比赛相关知识,想谈谈自己的看法,不足之处欢迎指正! 详细参考:(15条消息) ptrace运行原理及使用详解_忧郁的废物_Addy的博客-CSDN博客_ptrace 一、ptrace的整体概念 ptrace是一种系统函数,可以实现父进程对子进程的一系列操作,比如查看寄存器值,修改数据段等。 函数包含四个参数 long ptrace(enum __ptrace_re
ptrace调试
HotIce0
10-03 2939
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
strace: ptrace(PTRACE_TRACEME, ...): Operation not permitted
liucheng的博客
10-21 5047
在docker容器中,运行strace 发现错误: [root@cc2ca6c035d7 /]# strace -o log /bin/ls strace: ptrace(PTRACE_TRACEME, ...): Operation not permitted 解决方法添加 --cap-add=SYS_PTRACE nvidia-docker run -it --cap-add=SYS_P...
Andorid APK逆向解决方案:梆梆加固原理探寻【存档】
panfanglin的专栏
06-26 967
目前Android市场充斥着大量的盗版软件,开发者的官方应用被“打包党”们恶意篡改。如何使程序代码免受盗版篡改就成了开发者面临的头等大事,今天我们将分析一个不错的解决方案——梆梆加固。 通过对App进行加固保护,梆梆可以有效防止移动应用在运营推广过程中被破解、盗版、二次打包、注入、编译等破坏,保障程序的安全性、稳定性,对移动应用的整体逻辑结构进行保护,保证了移动应用的用户体验。
iOS安全:ptrace调试与系统调用深度解析
"iOS安全防护系列的文章,主要探讨了ptrace调试技术和汇编调用系统方法,适用于iOS应用的安全开发和逆向分析学习。文中通过实例详细解释了ptrace系统调用的工作原理,以及在iOS设备上lldb调试的机制,特别是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值