ptrace反调试

ptrace是一个系统调用。它是一个系统提供的很强大的底层服务。用户层的框架是构建在system call之上的。

macOS Sierra大约提供了500个系统调用。通过以下命令来了解你系统上的系统调用的个数:

sudo dtrace -ln 'syscall:::entry' | wc -l

lldb调试原理:debugserver

  1. Xcodelldb之所以能调试App,是因为手机运行Applldb会把调试指令发给手机的debugServer; debugServer是由Xcode第一次运行程序给安装到手机上。

Xcode上查看debugserver:

找到Xcode.app,显示包内容,/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/11.3,找到DeveloperDiskImage.dmg里的usr -> bin -> debugserver机的根目录下的Developer -> usr -> bin里能找到debugserver,越狱手机可以查看

  1. 越狱环境下,lldb连接手机的debugserver,然后就可以通过debugserver调试某个App

  2. debugserver如何调试app?

    debugserver通过ptrace函数调试App
    ptrace是系统函数,此函数提供一个进程去监听和控制另一个进程,并且可以检测被控制进程的内存和寄存器里面的数据。ptrace可以用来实现断点调试和系统调用跟踪。

利用ptrace防护debugserver

ptrace.h导入工程

ptrace头文件不能直接导入App工程,可以新建命令行工程,然后#import 进入到ptrace.h,把内容全部复制到自己工程中新建的header文件MyPtrace.h中,那么自己的工程想调用ptrace就可以导入MyPtrace.h直接进行调用

ptrace防护

ptrace(<#int _request#>, <#pid_t _pid#>, <#caddr_t _addr#>, <#int _data#>)

有四个参数

参数1:要做的事情

参数2:要控制的进程ID

参数3:地址

参数4:数据

参数3参数4都由参数1决定,参数1要传递的地址和数据

参数1的列表:

#define    PT_TRACE_ME    0    /* child declares it's being traced */
#define    PT_READ_I    1    /* read word in child's I space */
#define    PT_READ_D    2    /* read word in child's D space */
#define    PT_READ_U    3    /* read word in child's user structure */
#define    PT_WRITE_I    4    /* write word in child's I space */
#define    PT_WRITE_D    5    /* write word in child's D space */
#define    PT_WRITE_U    6    /* write word in child's user structure */
#define    PT_CONTINUE    7    /* continue the child */
#define    PT_KILL        8    /* kill the child process */
#define    PT_STEP        9    /* single step the child */
#define    PT_ATTACH    ePtAttachDeprecated    /* trace some running process */
#define    PT_DETACH    11    /* stop tracing a process */
#define    PT_SIGEXC    12    /* signals as exceptions for current_proc */
#define PT_THUPDATE    13    /* signal for thread# */
#define PT_ATTACHEXC    14    /* attach to running process with signal exception */

#define    PT_FORCEQUOTA    30    /* Enforce quota for root */
#define    PT_DENY_ATTACH    31

#define    PT_FIRSTMACH    32    /* for machine-specific requests */

要做到反调试,只需参数1PT_DENY_ATTACH, 参数2为自己

这样你的App就不可以用Xcode调试了

具体代码:

OCmain.m

#import 
#import "AppDelegate.h"

#import 
#import 

typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif

void disable_gdb() {
    void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
    ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
    ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
    dlclose(handle);
}

int main(int argc, char * argv[]) {

#ifndef DEBUG
    disable_gdb();
#endif
    
    @autoreleasepool {
        return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
    }
}

Swift中因为没有main,创建一个MyPtraceC文件,再创建一个main.swift文件里面调用相应方法

//  MyPtrace.h
//  SPDBank
//
//  Created by hfk on 2019/8/30.
//  Copyright © 2019 SPDBank.com.cn. All rights reserved.
//

#ifndef MyPtrace_h
#define MyPtrace_h

#include 

void disable_gdb(void);

#endif /* MyPtrace_h */

//
//  MyPtrace.c
//  SPDBank
//
//  Created by hfk on 2019/8/30.
//  Copyright © 2019 SPDBank.com.cn. All rights reserved.
//

#include "MyPtrace.h"
#import 
#import 
#import 
#define A(c)            (c) - 0x19
#define UNHIDE_STR(str) do { char *p = str;  while (*p) *p++ += 0x19; } while (0)
#define HIDE_STR(str)   do { char *p = str;  while (*p) *p++ -= 0x19; } while (0)
typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif

    void disable_gdb() {
#ifndef DEBUG
    void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
    char str[  ] = {
        A('p'), A('t'), A('r'), A('a'), A('c'),
        A('e'), 0
    };
    UNHIDE_STR(str);
    char string[6];
    int i;
    for(i=0;i<6;i++){
        string[i]=str[i];
    }
    string[i]='\0';
    ptrace_ptr_t ptrace_ptr = dlsym(handle, string);
    ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
    dlclose(handle);
#endif
}
}

import Foundation
import UIKit

disable_gdb()

autoreleasepool {
    UIApplicationMain(
        CommandLine.argc,
        UnsafeMutableRawPointer(CommandLine.unsafeArgv)
            .bindMemory(
                to: UnsafeMutablePointer.self,
                capacity: Int(CommandLine.argc)),
        nil,
        NSStringFromClass(AppDelegate.self)
    )
}

反ptrace,让别人的ptrace失效

ptrace是系统函数,那么我们可以用fishhookhookptrace函数,然后让他的app调用我们自己的ptrace函数

  1. 注入动态库meryinDylib

  2. meryinDylibhookptrace函数

     #import "fishhook.h"
     #import "MyPtrace.h"
      
     @implementation meryinDylib
     int (*ptrace_p)(int _request, pid_t _pid, caddr_t _addr, int _data);
     int myPtrace(int _request, pid_t _pid, caddr_t _addr, int _data){
      if (_request != PT_DENY_ATTACH) {
       return ptrace_p(_request,_pid,_addr,_data);
      }
      return 0;
     }
     + (void)load
     {
      struct rebinding ptraceBind;
      //函数的名称
      ptraceBind.name = "ptrace";
      //新的函数地址
      ptraceBind.replacement = myPtrace;
      //保存原始函数地址的变量的指针
      ptraceBind.replaced = (void *)&ptrace_p;
      //定义数组
      struct rebinding rebs[] = {ptraceBind};
      /*
       arg1 : 存放rebinding结构体的数组
       arg2 : 数组的长度
       */
      rebind_symbols(rebs, 1);
     }
    

要想别人hook自己的app的ptrace失效

办法:别人hook ptrace的时候,自己的ptrace已经调用

想要自己函数调用在最之前:自己写一个framework库,在库中写入ptrace(PT_DENY_ATTACH, 0, 0, 0);

库加载顺序:自己写的库>别人注入的库

自己的库加载顺序:按照 Link Binary Libraries的顺序加载

进行反反调试

就算他的ptrace自己fishhook不到,可以通过修改macho的二进制让他的ptrace失效,然后进行调试.

  1. MonkeyDev打开,下符号断点trace,然后lldb调试bt,找到ptrace的库antiDebug以及其地址0x0000000102165d98,再image list找到antiDebug的地址0x0000000102160000,那么真实地址为0x5d98;
  2. 然后显示包内容,在Frameworks中,找到antiDebug库的macho,用hopper打开,找到0x5d98
  1. 更改二进制
    可以直接在bl __NSlog之后直接函数结束,去除bl __ptrace,不调用ptrace函数
    复制ptrace下一条指令0000000000005d94 bl imp___stubs__ptrace,点击bl __NSlog的下一行然后Alt+a,写入代码bl 0x 0000000000005d94
  1. 导出新的macho,然后再运行就可以了

     File --> Produce New Executable
    

不暴露ptrace等系统方法,不想被符号断点断住,可以采用汇编进行调用ptrace

//安全防护-反调试
 asm(
  "mov x0,#31\n"
  "mov x1,#0\n"
  "mov x2,#0\n"
  "mov x3,#0\n"
  "mov w16,#26\n" //26是ptrace
  "svc #0x80" //0x80触发中断去找w16执行
 );

你可能感兴趣的:(ptrace反调试)