iOS安全防护之ptrace反调试

一、debugserver如何调试app？

debugserver通过ptrace函数调试app
ptrace是系统函数，此函数提供一个进程去监听和控制另一个进程，并且可以检测被控制进程的内存和寄存器里面的数据。ptrace可以用来实现断点调试和系统调用跟踪。

二、利用ptrace防护debugserver

1.把ptrace.h导入工程
ptrace头文件不能直接导入app工程，可以新建命令行工程，然后#import 进入到ptrace.h，把内容全部复制到自己工程中新建的header文件MyPtrace.h中，那么自己的工程想调用ptrace就可以导入MyPtrace.h直接进行调用

2.ptrace防护
ptrace(<#int _request#>, <#pid_t _pid#>, <#caddr_t _addr#>, <#int _data#>)有四个参数
参数1:要做的事情
参数2:要控制的进程ID
参数3:地址
参数4:数据
参数3和参数4都由 参数1决定 参数1要传递的地址和数据
参数1的列表：

#define    PT_TRACE_ME    0    /* child declares it's being traced */
#define    PT_READ_I    1    /* read word in child's I space */
#define    PT_READ_D    2    /* read word in child's D space */
#define    PT_READ_U    3    /* read word in child's user structure */
#define    PT_WRITE_I    4    /* write word in child's I space */
#define    PT_WRITE_D    5    /* write word in child's D space */
#define    PT_WRITE_U    6    /* write word in child's user structure */
#define    PT_CONTINUE    7    /* continue the child */
#define    PT_KILL        8    /* kill the child process */
#define    PT_STEP        9    /* single step the child */
#define    PT_ATTACH    ePtAttachDeprecated    /* trace some running process */
#define    PT_DETACH    11    /* stop tracing a process */
#define    PT_SIGEXC    12    /* signals as exceptions for current_proc */
#define PT_THUPDATE    13    /* signal for thread# */
#define PT_ATTACHEXC    14    /* attach to running process with signal exception */

#define    PT_FORCEQUOTA    30    /* Enforce quota for root */
#define    PT_DENY_ATTACH    31

#define    PT_FIRSTMACH    32    /* for machine-specific requests */

要做到反调试，只需参数1为PT_DENY_ATTACH， 参数2为要操作的进程

  /*
     arg1:ptrace 要做的事情
     arg2:要操作的进程的id
     arg3(地址)\arg4(数据)：取决于第一个参数
     */
    ptrace(PT_DENY_ATTACH, 0, 0, 0);

三、反ptrace ，让别人的ptrace失效

就是如果别人的的app进行了ptrace防护，那么你怎么让他的ptrace不起作用，进行调试他的app呢？
由于ptrace是系统函数，那么我们可以用fishhook来hook住ptrace函数，然后让他的app调用我们自己的ptrace函数

1.注入动态库JensenDylib
2.在JensenDylib中hook住ptrace函数

#import "InjectCode.h"
#import "fishhook.h"
#import "MyPtraceHeader.h"

@implementation InjectCode

//定义指针，保存原来的函数地址
int (*ptrace_p)(int _request, pid_t _pid, caddr_t _addr, int _data);

//自定义的ptrace
int my_ptrace(int _request, pid_t _pid, caddr_t _addr, int _data){
    if (_request != PT_DENY_ATTACH) {//如果不是拒绝附加
        return ptrace_p(_request,_pid,_addr,_data);
    }
    //如果是拒绝附加，就直接return 不执行。
    return 0;
}

+(void)load
{
    //交换
    struct rebinding ptraceBd;
    ptraceBd.name = "ptrace";
    ptraceBd.replacement = my_ptrace;
    ptraceBd.replaced = (void *)&ptrace_p;
    struct rebinding binds[] = {ptraceBd};
    rebind_symbols(binds, 1);
    
}
@end

四、针对三,要想别人hook自己的app的ptrace失效

思路：别人hook ptrace的时候，自己的ptrace已经调用
想要自己函数调用在最之前：自己写一个framework库
在库中写入ptrace(PT_DENY_ATTACH, 0, 0, 0);

库加载顺序：
自己写的库>别人注入的库
自己的库加载顺序：按照 Link Binary Libraries的顺序加载.

五、针对四 进行反反调试

fishhook hook不到ptrace，我们还可以通过修改macho的二进制让他的ptrace失效，然后进行调试，关键是要找到防护的关键代码。

1.用MonkeyDev打开，下符号断点ptrace，然后lldb调试指令bt，找到ptrace的调用库和调用地址0x0000000100cf7de4

1.png

2.再image list找到antiDebug库的地址0x0000000100cf0000，

3.png

3.将0x0000000100cf7de4 - 0x0000000100cf0000 = 0x5d98
那么防护的关键代码在文件中的偏地址为0x7DE4;

然后显示包内容，在Frameworks中，找到antiDebug库的macho，用hopper打开，找到0x7DE4

4.png

4.更改二进制
可以直接在bl指令，跳过防护代码，让防护代码不执行
Alt+a,写入代码bl 0x7de8

2.png

5.导出新的macho
File --> Produce New Executable
然后再运行就可以了

六、针对五 我不想暴露自己的ptrace等系统方法，不想被符号断点断住，可以采用汇编进行调用ptrace

  asm(
        "mov x0,#31\n"
        "mov x1,#0\n"
        "mov x2,#0\n"
        "mov x3,#0\n"
        "mov w16,#26\n" //26是ptrace
        "svc #0x80" //0x80触发中断去找w16执行
    );