ptrace 反调
ptrace反调试,阻止LLDB附加调试
在Unix 系统中,提供了一个系统调用 ptrace 用于实现断点调试和对进程进行跟踪和控制,而 PT_DENY_ATTACH 是苹果增加的一个 ptrace 选项,这个参数用来告诉系统,阻止调试器依附,本质就是通过26号系统调用来完成的,目前大多反调试都利用该方案,代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| #import <dlfcn.h>
#import <sys/types.h>
typedef int (*ptrace_ptr_t)(int _request, pid_t pid, caddr_t _addr, int _data);
#if !defined(PT_DENT_ATTACH)
#define PT_DENT_ATTACH 31
#endif
void disable_debug() {
void * handle = dlopen(0, RTLD_GLOBAL|RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
ptrace_ptr(PT_DENT_ATTACH, 0, 0, 0);
dlclose(handle);
}
|
sysctl反调试
当一个进程被调试的时候,该进程会有一个标记来标记自己正在被调试,所以可以通过sysctl去查看当前进程的信息,看有没有这个标记位即可检查当前调试状态。
函数介绍
1
2
3
4
5
6
7
8
9
10
11
12
13
| 函数的返回值若为0时,证明没有错误,其他数字为错误码。
arg1 传入一个数组,该数组中的第一个元素指定本请求定向到内核的哪个子系统。第二个及其后元素依次细化指定该系统的某个部分。
arg2 数组中的元素数目
arg3 一个结构体,指向一个供内核存放该值的缓冲区,存放进程查询结果
arg4 缓冲区的大小
arg5/arg6 为了设置某个新值,arg5参数指向一个大小为arg6参数值的缓冲区。如果不准备指定一个新值,那么arg5应为一个空指针,arg6因为0.
int sysctl(int *, u_int, void *, size_t *, void *, size_t);
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
#import <sys/sysctl.h>
#import <sys/types.h>
#import <unistd.h>
static bool is_debugger_present(void) {
int name[4];//存放字节码,查询信息
struct kinfo_proc info;//接受进程查询结果信息的结构体
size_t info_size = sizeof(info);//结构体的大小
info.kp_proc.p_flag = 0;
name[0] = CTL_KERN;//内核查看
name[1] = KERN_PROC;//进程查看
name[2] = KERN_PROC_PID;//进程ID
name[3] = getpid();//获取pid
int proc_err = sysctl(name, 4, &info, &info_size, NULL, 0);
if (proc_err == -1) { //判断是否出现了异常
exit(-1);
}
//info.kp_proc.p_flag中存放的是标志位(二进制),在proc.h文件中有p_flag的宏定义,通过&运算可知对应标志位的值是否为0。(若结果值为0则对应标志位为0)。其中P_TRACED为正在跟踪调试过程。
return ((info.kp_proc.p_flag & P_TRACED) != 0);
}
|
syscall反调
直接调用这个函数:
其中PT_DENT_ATTACH的值为31,直接填31即可。SYS_ptrace的值为26,可以引入<sys/syscall.h>头文件后直接调用宏定义
1
2
3
| #import <sys/syscall.h>
syscall(SYS_ptrace,PT_DENT_ATTACH,0,0,0);
|
为从实现从用户态切换到内核态,系统提供了一个系统调用函数syscall,上面讲到的ptrace也是通过系统调用去实现的。而ptrace的编号为26,也就是SYS_ptrace的值:
其他函数编号可以在这里Kernel Syscalls查阅
但是syscall在iOS10之后废弃了。代替它的函数在
<sys/kdebug_signpost.h>里,叫kdebug_signpost()
SIGSTOP(当检测到有断点触发时停止调试))
通过捕获系统SIGSTOP信号来判断。
如果程序没有断点。那这个是没有用的
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| dispatch_source_t source = dispatch_source_create(DISPATCH_SOURCE_TYPE_SIGNAL, SIGSTOP, 0, dispatch_get_main_queue());
dispatch_source_set_event_handler(source, ^{
exit(0);
});
dispatch_resume(source);
isatty
isatty方法也可以用来检测是否正在被调试
#import <unistd.h>
if (isatty(1)) {
exit(0);
}
|
isatty
isatty方法也可以用来检测是否正在被调试
1
2
3
4
5
|
if (isatty(1)) {
exit(0);
}
|
ioctl
1
2
3
4
5
6
| #import <sys/ioctl.h>
void Anti_ioctl() {
if (!ioctl(1, TIOCGWINSZ)) {
exit(1);
}
}
|
但是,上述这些方式只能简单地防止 App 被动态调试,其实 ptrace、sysctl、syscall 等函数本身也可以被静态修改或 Hook。而且即便能有效阻止了调试,App 仍然可以通过 tweak 去 Hook App 内部的方法实现,也可以通过 dylib 注入去修改 App 的功能
我们只好从多方面考虑,尽可能提高安全性,比如防止 tweak 依附、防止网络请求抓包、对敏感数据进行加解密、代码混淆、检查二进制 binary 签名是否匹配;关键逻辑用更底层的 C 函数实现(虽然 C 函数也是可以被 Hook,例如 Facebook 开源的 fishhook),等等,同时我们也可以检查手机是否已经越狱,并对越狱机做特殊处理。
内联 svc + ptrace 实现和内联 svc + syscall + ptrace 实现
其实这两种方法都等同于直接或间接使用 ptrace, 此时系统调用号是 SYS_ptrace
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
| static __attribute__((always_inline)) void AntiDebugASM() {
#ifdef __arm__
asm volatile(
"mov r0,#31\n"
"mov r1,#0\n"
"mov r2,#0\n"
"mov r12,#26\n"
"svc #80\n"
);
#endif
#ifdef __arm64__
asm volatile(
"mov x0,#26\n"
"mov x1,#31\n"
"mov x2,#0\n"
"mov x3,#0\n"
"mov x16,#0\n"
"svc #128\n"
);
#endif
}
|
内联汇编调用exit函数
1
2
3
4
5
6
7
8
9
10
11
12
| static __attribute__((always_inline)) void OPENME() {
asm volatile(
"mov x0,#0\n"
"mov x16,#1\n"
"svc #80\n"
"mov x1, #0\n"
"mov sp, x1\n"
"mov x29, x1\n"
"mov x30, x1\n"
"ret"
);
}
|
对于fishhook交换系统函数的绕过方式,我们可以通过将sysctl等函数调用放到动态库中,以保证检测函数可以在进攻注入的代码之前执行。动态库的加载顺序为Build Phases下的Link Binary With Libaraies中的排列顺序。
svc + syscall + ptrace 反反调试
1
| https://blog.csdn.net/youshaoduo/article/details/83688732
|