一、检测调试
当一个应用被调试的时候,会给进程设置一个标识(P_TRACED),我们可以通过检测该进程是否有设置这个标识来检测进程是否正在被调试以保护好我们的应用。
1
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
#include <sys/types.h>
#include <sys/sysctl.h> static int check_debugger( ) __attribute__((always_inline)); int check_debugger( ) { size_t size = sizeof(struct kinfo_proc); struct kinfo_proc info; int ret,name[4]; memset(&info, 0, sizeof(struct kinfo_proc)); name[0] = CTL_KERN; name[1] = KERN_PROC; name[2] = KERN_PROC_PID; name[3] = getpid(); if((ret = (sysctl(name, 4, &info, &size, NULL, 0)))){ return ret; //sysctl() failed for some reason } return (info.kp_proc.p_flag & P_TRACED) ? 1 : 0; } |
为了让这个函数以inline方式编译,需要设置编译器的优化选项,-0z(函数以inline方式编译),-fast(加快编译速度)。
如果你不确信产生的目标代码以inline的方式编译该函数,你也可以将其转化成宏的方式。
1
2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
#define DEBUGGER_CHECK { \
size_t size = sizeof(struct kinfo_proc); \ struct kinfo_proc info; \ int ret,name[4]; \ \ memset(&info, 0, sizeof(struct kinfo_proc)); \ \ name[0] = CTL_KERN; \ name[1] = KERN_PROC; \ name[2] = KERN_PROC_PID; \ name[3] = getpid(); \ \ if(ret = (sysctl(name, 4, &info, &size, NULL, 0))){ \ return (EXIT_FAILURE); \ } \ \ if(info.kp_proc.p_flag & P_TRACED){ \ /* Code to react to debugging goes here */ \ } \ } |
当前该方法只能检测debugger或dtrace的调试,而不能阻止非法代码注入或者cycript依附。
二、阻止调试
调用ptrace设置参数PT_DENY_ATTACH,如果有调试器依附,则会产生错误并退出。关于PT_DENY_ATTACH的说明如下:
这时再使用gdb attach的话会产生错误:
Segmentation fault: 11
或者使用gdb run该应用也会产生错误:
Program exited with code 055.
Mac OS X系统中,可以这样使用:
1
2 3 4 5 |
#include <sys/ptrace.h>
int main( ) { ptrace(PT_DENY_ATTACH, 0, 0, 0); ... } |
但是在IPhone中,<sys/ptrace>是不可用的,所以我们可以用下面的方式来代替:
1
2 3 4 5 6 7 8 9 10 11 12 13 14 |
#import <dlfcn.h>
#import <sys/types.h> typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data); #if !defined(PT_DENY_ATTACH) #define PT_DENY_ATTACH 31 #endif // !defined(PT_DENY_ATTACH) void disable_gdb() { void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW); ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace"); ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0); dlclose(handle); } |
当然该方法也会被调试者下断点的方式来动态绕过或者使用IDA等反汇编工具打补丁绕过,所以我们应该在程序的多处地方调用该方式。
相关推荐
iOS与Mac反调试, 反逆向工具
Reveal是Mac os平台上的一款开发者调试IOS应用的Mac开发软件,reveal Mac版它能够在运行时调试和修改iOS应用程序。Reveal能连接到应用程序,并允许开发者编辑各种用户界面参数,这反过来会立即反应在程序的UI上。
ios调试 这是iOS反调试技术的集合。
主要给大家介绍了关于iOS安全防护系列之ptrace反调试与汇编调用系统方法的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
iOS逆向其实有很多技巧跟途径,本书对于研究系统...都是需要重点保护的,于是,开发人员通过反调试、 数据加密、代码混淆等各种手段重重保护自己App, 为的就是增加逆向工程的难度,避免类似的安全问题 影响用户体验。
IOS内存管理与软件调试,本文档介绍了iOS内存管理和软件调试方法,如何找到crash的原因,文档为英文的,不喜欢的请勿下载。
1.2.1 与安全相关的iOS 逆向工程 4 1.2.2 与开发相关的iOS 逆向工程 5 1.3 iOS 软件逆向工程的一般过程 6 1.3.1 系统分析 7 1.3.2 代码分析 7 1.4 iOS 软件逆向工程用到的工具 8 1.4.1 监测工具 8 ...
打个比喻,iOS逆向工程就像一杆长矛,专门刺 ...都是需要重点保护的,于是,开发人员通过反调试、 数据加密、代码混淆等各种手段重重保护自己App, 为的就是增加逆向工程的难度,避免类似的安全问题 影响用户体验。
iOS应用逆向工程(第2版) 第一部分 概 念 篇 第1章 iOS逆向工程简介 3 1.1 iOS逆向工程的要求 3 1.2 iOS应用逆向工程的作用 4 1.2.1 安全相关的iOS逆向工程 5 1.2.2 开发相关的iOS逆向工程 6 1.3 iOS应用...
iOS13.0真机调试包。 放置到xcode包里目录下的/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport 然后重启xcode即可。
课时02.iOS系统安全机制 课时03.认识越狱设备 课时04.越狱环境配置 课时05.第一章文档总结 课时06.App结构与构建过程 课时07.寻找控件背后的代码 课时08.数据存储 课时09.类与方法 课时10.runtime特性 课时...
主要给大家介绍了关于iOS安全防护系列之重签名防护与sysctl反调试的相关资料,文中通过示例代码以及图文介绍的非常详细,对各位iOS开发者们具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
简谈Windows下的反调试技术 简谈Windows下的反调试技术 简谈Windows下的反调试技术 简谈Windows下的反调试技术 简谈Windows下的反调试技术 简谈Windows下的反调试技术
本书是智捷iOS课堂团队编写iOS系列丛书中的一本,目的是使一个有Objective-C基础的程序员通过本书的学习,能够从零基础到在App Store发布一款应用。全书分为4篇: 第一部分基础篇,介绍了iOS一些基础的知识。 第1...
DVIA-v2 用Swift编写的DVIA-v2以及其他漏洞 该死的易受攻击的iOS应用程序...反反钩子/调试 二进制保护 触摸/脸部ID绕过 网络钓鱼 侧通道数据泄漏 IPC问题 破碎的密码学 Webview问题 网络层安全 应用补丁 记忆中的敏感
iOS-Debug-Hacks:iOS项目开发过程中使用的高级调试技巧,涉及动态调试,静态分析和第三方库的反编译。 iOS项目开发过程中用到的高级调试技巧,涉及三方库动态调试,静态分析和反编译等领域
2、去掉ptrace的思路: 2.1、 当程序运行后,使用 debugserver *:1234 -a BinaryName 附加进程出现 segmentfault 11 时,一般说明程序内部调用了ptrace 。 2.2、为验证是否调用了ptrace 可以 debugserver -x ...
iOS高级内存管理ARC模式手动模式英文文档含示例工程,本压缩包包含国外众多高手的内存管理心得和工程示例,文档为英文,不喜欢的请勿下载。