iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
关于系统调用
ptrace是一个系统调用。那系统调用是什么东东呢?它是一个系统提供的很强大的底层服务。用户层的框架是构建在system call之上的。
macos sierra大约提供了500个系统调用。通过以下命令来了解你系统上的系统调用的个数:
➜ ~ sudo dtrace -ln 'syscall:::entry' | wc -l
这个命令使用了另外一个更强大的工具叫dtrace,暂不详谈它。
一 lldb调试原理:debugserver
1、xcode的lldb之所以能调试app,是因为手机运行app,lldb会把调试指令发给手机的debugserver; debugserver是由xcode第一次运行程序给安装到手机上。
xcode上查看debugserver:
按住command键点击xcode,找到xcode.app显示包内
容/applications/xcode.app/contents/developer/platforms/iphoneos.platform/devicesupport/11.3 找到developerdiskimage.dmg 里的usr -> bin -> debugserver
机的根目录下的 developer -> usr -> bin 里能找到debugserver,越狱手机可以查看
2、越狱环境下,lldb连接手机的debugserver,然后就可以通过debugserver调试某个app
3、debugserver如何调试app?
debugserver通过ptrace函数调试app
ptrace是系统函数,此函数提供一个进程去监听和控制另一个进程,并且可以检测被控制进程的内存和寄存器里面的数据。ptrace可以用来实现断点调试和系统调用跟踪。
推荐书单:《程序员的自我修养》
二 利用ptrace防护debugserver
把ptrace.h导入工程
ptrace头文件不能直接导入app工程,可以新建命令行工程,然后#import <sys/ptrace.h>进入到ptrace.h,把内容全部复制到自己工程中新建的header文件myptrace.h中,那么自己的工程想调用ptrace就可以导入myptrace.h直接进行调用
ptrace防护
ptrace(<#int _request#>, <#pid_t _pid#>, <#caddr_t _addr#>, <#int _data#>)
有四个参数
参数1:要做的事情
参数2:要控制的进程id
参数3:地址
参数4:数据
参数3和参数4都由 参数1决定 参数1要传递的地址和数据
参数1的列表:
#define pt_trace_me 0 /* child declares it's being traced */
#define pt_read_i 1 /* read word in child's i space */
#define pt_read_d 2 /* read word in child's d space */
#define pt_read_u 3 /* read word in child's user structure */
#define pt_write_i 4 /* write word in child's i space */
#define pt_write_d 5 /* write word in child's d space */
#define pt_write_u 6 /* write word in child's user structure */
#define pt_continue 7 /* continue the child */
#define pt_kill 8 /* kill the child process */
#define pt_step 9 /* single step the child */
#define pt_attach eptattachdeprecated /* trace some running process */
#define pt_detach 11 /* stop tracing a process */
#define pt_sigexc 12 /* signals as exceptions for current_proc */
#define pt_thupdate 13 /* signal for thread# */
#define pt_attachexc 14 /* attach to running process with signal exception */#define pt_forcequota 30 /* enforce quota for root */
#define pt_deny_attach 31#define pt_firstmach 32 /* for machine-specific requests */
要做到反调试,只需参数1为pt_deny_attach, 参数2为自己
#import "myptrace.h" //app反调试防护 ptrace(pt_deny_attach, 0, 0, 0);
这样你的app就不可以用xcode调试了
三 反ptrace ,让别人的ptrace失效
就是如果别人的的app进行了ptrace防护,那么你怎么让他的ptrace不起作用,进行调试他的app呢?
由于ptrace是系统函数,那么我们可以用fishhook来hook住ptrace函数,然后让他的app调用我们自己的ptrace函数
- 注入动态库meryindylib
- 在meryindylib中hook住ptrace函数
#import "fishhook.h" #import "myptrace.h" @implementation meryindylib int (*ptrace_p)(int _request, pid_t _pid, caddr_t _addr, int _data); int myptrace(int _request, pid_t _pid, caddr_t _addr, int _data){ if (_request != pt_deny_attach) { return ptrace_p(_request,_pid,_addr,_data); } return 0; } + (void)load { struct rebinding ptracebind; //函数的名称 ptracebind.name = "ptrace"; //新的函数地址 ptracebind.replacement = myptrace; //保存原始函数地址的变量的指针 ptracebind.replaced = (void *)&ptrace_p; //定义数组 struct rebinding rebs[] = {ptracebind}; /* arg1 : 存放rebinding结构体的数组 arg2 : 数组的长度 */ rebind_symbols(rebs, 1); }
四 针对三,要想别人hook自己的app的ptrace失效
思路:别人hook ptrace的时候,自己的ptrace已经调用
想要自己函数调用在最之前:自己写一个framework库
在库中写入ptrace(pt_deny_attach, 0, 0, 0);
库加载顺序:
自己写的库>别人注入的库
自己的库加载顺序:按照 link binary libraries的顺序加载
五 针对四 进行反反调试
就算他的ptrace自己fishhook不到,可以通过修改macho的二进制让他的ptrace失效,然后进行调试.
1、用monkeydev打开,下符号断点trace,然后lldb调试bt,找到ptrace的库antidebug以及其地址0x0000000102165d98,再image list找到antidebug的地址0x0000000102160000,那么真实地址为0x5d98;
2、然后显示包内容,在frameworks中,找到antidebug库的macho,用hopper打开,找到0x5d98
3、更改二进制
可以直接在bl __nslog之后直接函数结束,去除bl __ptrace,不调用ptrace函数
复制ptrace下一条指令0000000000005d94 bl imp___stubs__ptrace,点击bl __nslog的下一行然后alt+a,写入代码bl 0x 0000000000005d94
4、导出新的macho
file --> produce new executable
然后再运行就可以了
六 针对五 我不想暴露自己的ptrace等系统方法,不想被符号断点断住,可以采用汇编进行调用ptrace
//安全防护-反调试 asm( "mov x0,#31\n" "mov x1,#0\n" "mov x2,#0\n" "mov x3,#0\n" "mov w16,#26\n" //26是ptrace "svc #0x80" //0x80触发中断去找w16执行 );
去哪里找26就是ptrace?
在#import <sys/syscall.h>
中有500多个系统函数,都有其编号
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。