ptrace
是一个系统调用。它是一个系统提供的很强大的底层服务。用户层的框架是构建在system call
之上的。
macOS Sierra
大约提供了500个系统调用。通过以下命令来了解你系统上的系统调用的个数:
sudo dtrace -ln 'syscall:::entry' | wc -l
lldb调试原理:debugserver
-
Xcode
的lldb
之所以能调试App
,是因为手机运行App
,lldb
会把调试指令发给手机的debugServer
;debugServer
是由Xcode
第一次运行程序给安装到手机上。
Xcode上查看debugserver:
找到Xcode.app
,显示包内容,/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/11.3
,找到DeveloperDiskImage.dmg
里的usr -> bin -> debugserver
机的根目录下的Developer -> usr -> bin
里能找到debugserver
,越狱手机可以查看
越狱环境下,
lldb
连接手机的debugserver
,然后就可以通过debugserver
调试某个App
-
debugserver
如何调试app
?debugserver
通过ptrace
函数调试App
ptrace
是系统函数,此函数提供一个进程去监听和控制另一个进程,并且可以检测被控制进程的内存和寄存器里面的数据。ptrace
可以用来实现断点调试和系统调用跟踪。
利用ptrace防护debugserver
把ptrace.h
导入工程
ptrace
头文件不能直接导入App
工程,可以新建命令行工程,然后#import
进入到ptrace.h
,把内容全部复制到自己工程中新建的header
文件MyPtrace.h
中,那么自己的工程想调用ptrace
就可以导入MyPtrace.h
直接进行调用
ptrace防护
ptrace(<#int _request#>, <#pid_t _pid#>, <#caddr_t _addr#>, <#int _data#>)
有四个参数
参数1:要做的事情
参数2:要控制的进程ID
参数3:地址
参数4:数据
参数3和参数4都由参数1决定,参数1要传递的地址和数据
参数1的列表:
#define PT_TRACE_ME 0 /* child declares it's being traced */
#define PT_READ_I 1 /* read word in child's I space */
#define PT_READ_D 2 /* read word in child's D space */
#define PT_READ_U 3 /* read word in child's user structure */
#define PT_WRITE_I 4 /* write word in child's I space */
#define PT_WRITE_D 5 /* write word in child's D space */
#define PT_WRITE_U 6 /* write word in child's user structure */
#define PT_CONTINUE 7 /* continue the child */
#define PT_KILL 8 /* kill the child process */
#define PT_STEP 9 /* single step the child */
#define PT_ATTACH ePtAttachDeprecated /* trace some running process */
#define PT_DETACH 11 /* stop tracing a process */
#define PT_SIGEXC 12 /* signals as exceptions for current_proc */
#define PT_THUPDATE 13 /* signal for thread# */
#define PT_ATTACHEXC 14 /* attach to running process with signal exception */
#define PT_FORCEQUOTA 30 /* Enforce quota for root */
#define PT_DENY_ATTACH 31
#define PT_FIRSTMACH 32 /* for machine-specific requests */
要做到反调试,只需参数1
为PT_DENY_ATTACH
, 参数2
为自己
这样你的App
就不可以用Xcode
调试了
具体代码:
OC
在main.m
#import
#import "AppDelegate.h"
#import
#import
typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif
void disable_gdb() {
void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
dlclose(handle);
}
int main(int argc, char * argv[]) {
#ifndef DEBUG
disable_gdb();
#endif
@autoreleasepool {
return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
}
}
Swift
中因为没有main
,创建一个MyPtrace
的C
文件,再创建一个main.swift
文件里面调用相应方法
// MyPtrace.h
// SPDBank
//
// Created by hfk on 2019/8/30.
// Copyright © 2019 SPDBank.com.cn. All rights reserved.
//
#ifndef MyPtrace_h
#define MyPtrace_h
#include
void disable_gdb(void);
#endif /* MyPtrace_h */
//
// MyPtrace.c
// SPDBank
//
// Created by hfk on 2019/8/30.
// Copyright © 2019 SPDBank.com.cn. All rights reserved.
//
#include "MyPtrace.h"
#import
#import
#import
#define A(c) (c) - 0x19
#define UNHIDE_STR(str) do { char *p = str; while (*p) *p++ += 0x19; } while (0)
#define HIDE_STR(str) do { char *p = str; while (*p) *p++ -= 0x19; } while (0)
typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif
void disable_gdb() {
#ifndef DEBUG
void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
char str[ ] = {
A('p'), A('t'), A('r'), A('a'), A('c'),
A('e'), 0
};
UNHIDE_STR(str);
char string[6];
int i;
for(i=0;i<6;i++){
string[i]=str[i];
}
string[i]='\0';
ptrace_ptr_t ptrace_ptr = dlsym(handle, string);
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
dlclose(handle);
#endif
}
}
import Foundation
import UIKit
disable_gdb()
autoreleasepool {
UIApplicationMain(
CommandLine.argc,
UnsafeMutableRawPointer(CommandLine.unsafeArgv)
.bindMemory(
to: UnsafeMutablePointer.self,
capacity: Int(CommandLine.argc)),
nil,
NSStringFromClass(AppDelegate.self)
)
}
反ptrace,让别人的ptrace失效
ptrace
是系统函数,那么我们可以用fishhook
来hook
住ptrace
函数,然后让他的app
调用我们自己的ptrace
函数
注入动态库
meryinDylib
-
在
meryinDylib
中hook
住ptrace
函数#import "fishhook.h" #import "MyPtrace.h" @implementation meryinDylib int (*ptrace_p)(int _request, pid_t _pid, caddr_t _addr, int _data); int myPtrace(int _request, pid_t _pid, caddr_t _addr, int _data){ if (_request != PT_DENY_ATTACH) { return ptrace_p(_request,_pid,_addr,_data); } return 0; } + (void)load { struct rebinding ptraceBind; //函数的名称 ptraceBind.name = "ptrace"; //新的函数地址 ptraceBind.replacement = myPtrace; //保存原始函数地址的变量的指针 ptraceBind.replaced = (void *)&ptrace_p; //定义数组 struct rebinding rebs[] = {ptraceBind}; /* arg1 : 存放rebinding结构体的数组 arg2 : 数组的长度 */ rebind_symbols(rebs, 1); }
要想别人hook自己的app的ptrace失效
办法:别人hook
ptrace
的时候,自己的ptrace
已经调用
想要自己函数调用在最之前:自己写一个framework
库,在库中写入ptrace(PT_DENY_ATTACH, 0, 0, 0)
;
库加载顺序:自己写的库>别人注入的库
自己的库加载顺序:按照 Link Binary Libraries的顺序加载
进行反反调试
就算他的ptrace
自己fishhook
不到,可以通过修改macho
的二进制让他的ptrace
失效,然后进行调试.
- 用
MonkeyDev
打开,下符号断点trace
,然后lldb
调试bt
,找到ptrace
的库antiDebug
以及其地址0x0000000102165d98,再image list
找到antiDebug
的地址0x0000000102160000
,那么真实地址为0x5d98
; - 然后显示包内容,在
Frameworks
中,找到antiDebug
库的macho
,用hopper
打开,找到0x5d98
- 更改二进制
可以直接在bl __NSlog
之后直接函数结束,去除bl __ptrace
,不调用ptrace
函数
复制ptrace
下一条指令0000000000005d94
bl imp___stubs__ptrace
,点击bl __NSlog
的下一行然后Alt+a
,写入代码bl 0x 0000000000005d94
-
导出新的macho,然后再运行就可以了
File --> Produce New Executable
不暴露ptrace等系统方法,不想被符号断点断住,可以采用汇编进行调用ptrace
//安全防护-反调试
asm(
"mov x0,#31\n"
"mov x1,#0\n"
"mov x2,#0\n"
"mov x3,#0\n"
"mov w16,#26\n" //26是ptrace
"svc #0x80" //0x80触发中断去找w16执行
);