在 iPhone 上运行 App,然后通过 GDB 进行动态调试,是大多数攻击者的首选。 本文主要介绍两种反调试的方法。
1.ptrace反调试,阻止GDB依附
//ptrace反调试
#import
#import
typedef int (*ptrace_ptr_t)(int _request, pid_t pid, caddr_t _addr, int _data);
#if !defined(PT_DENT_ATTACH)
#define PT_DENT_ATTACH 31
#endif
void disable_gdb() {
void * handle = dlopen(0, RTLD_GLOBAL|RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
ptrace_ptr(PT_DENT_ATTACH, 0, 0, 0);
dlclose(handle);
}
2.sysctl反调试
//sysctl反调试
#import
#import
#import
/*
函数的返回值若为0时,证明没有错误,其他数字为错误码。
arg1 传入一个数组,该数组中的第一个元素指定本请求定向到内核的哪个子系统。第二个及其后元素依次细化指定该系统的某个部分。
arg2 数组中的元素数目
arg3 一个结构体,指向一个供内核存放该值的缓冲区,存放进程查询结果
arg4 缓冲区的大小
arg5/arg6 为了设置某个新值,arg5参数指向一个大小为arg6参数值的缓冲区。如果不准备指定一个新值,那么arg5应为一个空指针,arg6因为0.
*/
//int sysctl(int *, u_int, void *, size_t *, void *, size_t);
static bool is_debugger_present(void) {
int name[4];//存放字节码,查询信息
struct kinfo_proc info;//接受进程查询结果信息的结构体
size_t info_size = sizeof(info);//结构体的大小
info.kp_proc.p_flag = 0;
name[0] = CTL_KERN;//内核查看
name[1] = KERN_PROC;//进程查看
name[2] = KERN_PROC_PID;//进程ID
name[3] = getpid();//获取pid,据说这个可以直接传0?
int proc_err = sysctl(name, 4, &info, &info_size, NULL, 0);
if (proc_err == -1) { //判断是否出现了异常
exit(-1);
}
3.syscall
#import
syscall(SYS_ptrace,PT_DENT_ATTACH,0,0,0);
4.ioctl
#import
void Anti_ioctl()
{
if (!ioctl(1, TIOCGWINSZ))
{
exit(1);
}
}
5.内联 svc + ptrace 实现和内联 svc + syscall + ptrace 实现
static __attribute__((always_inline)) void AntiDebugASM() {
#ifdef __arm__
asm volatile(
"mov r0,#31\n"
"mov r1,#0\n"
"mov r2,#0\n"
"mov r12,#26\n"
"svc #80\n"
);
#endif
#ifdef __arm64__
asm volatile(
"mov x0,#26\n"
"mov x1,#31\n"
"mov x2,#0\n"
"mov x3,#0\n"
"mov x16,#0\n"
"svc #128\n"
);
#endif
}