使用PTRACE_TRACEME反调试的原理

原创 已于 2024-08-07 17:18:01 修改 · 853 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#系统安全 #linux
于 2024-08-07 17:14:24 首次发布

ptrace 是 Linux 提供的一组系统调用接口,用于实现父进程对子进程的调试和控制。PTRACE_TRACEMEptrace 的一个请求,通常在子进程中调用,以告知内核该进程将被其父进程调试。关键:一个进程仅能被一个进程调试,不能再多了!


编写一个demo:

#include <sys/ptrace.h>
#include <unistd.h>
#include <stdio.h>

int main() {
    int a = 1;
    a += 999;
    // 调用 PTRACE_TRACEME
    if (ptrace(PTRACE_TRACEME, 0, NULL, NULL) == -1) {
        printf("Debugger detected!\n");
        return 1;
    }
    
    // 其他程序逻辑
    printf("No debugger detected.\n");
    sleep(3);
    return 0;
}

在main函数中,调用 ptrace(PTRACE_TRACEME, 0, NULL, NULL),告诉内核该进程将被其父进程调试。

在进行该调用时,有两种情况:

  1. 该程序已被调试器进程所调试:那么该调用会失败,返回-1,从而执行return 1退出程序。
  2. 该程序还没被调试:那么在调用后,父进程将占据仅有的调试位,其他调试器无法再对程序调试。

因此,起到反调试的目的!


gdb进行演示:

大概可以看出在执行ptrace(PTRACE_TRACEME, 0, NULL, NULL)时,断开了gdb调试。

在这里插入图片描述

阿阿阿卡
关注
玩转ptrace(二)
永久指针
12-01 1733
转自:http://blog.csdn.net/silentvoid/article/details/1477515 by Pradeep Padala Created 2002-11-01 02:00 翻译: Magic.D   在第一部分中我们已经看到ptrace怎么获取子进程的系统调用以及改变系统调用的参数。在这篇文章中,我们将要研究如何在子进程中设置断点和往运行中的程序里插入
ptrace系统调用的实现
imred的专栏
05-12 3100
最近遇到这样一个问题,机器跑着跑着画面冻结了,打开top看到Xorg的cpu占用率100%。想用gdb挂上去看一下,结果gdb一直卡着挂不上去。后来又换用perf分析,结果发现进程99%的时间花在了一个ioctl调用。这个ioctl操作的是nvidia显卡,进程实际上是卡在了nvidia的驱动中。 我对gdb挂不上去这件事感到很好奇,之前除了因为进程已经被另一个gdb调试而导致gdb挂不上去之外,...
Linux源码分析之Ptrace
七月冷雨
03-05 8578
本文摘自互联网,如有侵权,请联系我。一、函数说明1.函数使用说明名字ptrace – 进程跟踪形式#include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生
ptrace
lyndon
05-07 1344
任何发给子进程的信号 signal(SIGKILL 除外)将导致子进程暂停运行,而它的父进程会通过 wait() 获得通知。
PTRACE_TRACEME反调试
dilvx的博客
02-06 1664
Linux 的经典反调试手段,因为系统限制调试是独占的,一个进程只能有一个 debugger。静默跟踪:父进程可通过 PTRACE_SEIZE(非侵入式跟踪)或直接忽略跟踪事件,避免触发信号暂停,使子进程看似未被调试。即使父进程不进行任何实际跟踪操作,该插槽已被占用,导致外部调试器无法通过常规手段附加。利用时间差:在子进程调用 PTRACE_TRACEME 前,父进程或外部程序能快速附加调试器,仍可拦截子进程。设置标记不代表子进程立刻就会被中断,必须收到停止信号时才会被父进程捕获。
linux ptrace反调试之抢占ptrace
whatday的专栏
08-17 1803
ptrace和debugger原理 ptrace ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于断点调试和系统调用跟踪. 函数原型: long ptrace(int request, pid_t pid, void * addr, void * data) 其中,request代表请求类型,pid代表被调试进程的pid. 部分...
linux或者android样本ptrace反调试绕过
kernweak的博客
06-16 2039
linux linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的反调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉反调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(反调试程序) #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> void a() { if (ptra
Linux ptrace 原理,安卓|使用ptrace绕过ptrace反调试(一)
weixin_28883589的博客
05-15 869
一、LD_PRELOAD(一)原理LD_PRELOAD是linux系统的一个环境变量,它可以影响程序运行时装载的动态链接库。装载动态链接库,一般情况下按照以下顺序进行:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib这里通过编译一个包含ptrace()的动态链接库,并将其设为LD_PRELOAD环境变量,从而...
解决Android加固多进程ptrace反调试的思路整理
云守护的专栏
04-09 2748
转自:https://blog.csdn.net/QQ1084283172/article/details/53613481 一、Android多进程反调试原理代码 当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种反调试的手法,效果还是不错的。 /*********************************...
Linux系统调用--ptrace函数详解
sourthstar的专栏
09-19 3149
http://hi.baidu.com/ordeder/item/77cf1cdc8ca93fe3795daab0 【ptrace系统调用】 功能描述: 提供父进程观察和控制另一个进程执行的机制,同时提供查询和修改另一进程的核心影像与寄存器的能力。主要用于执行断点调试和系统调用跟踪。父进程可通过调用fork,接着指定所产生的子进程的PTRACE_TRACEME行为
安全模式 提权_PTRACE_TRACEME CVE201913272 本地提权漏洞解析
weixin_39867594的博客
01-05 590
PTRACE_TRACEME 漏洞是 Jann Horn 201907 月发现的内核提权漏洞, 漏洞发现和利用的思路有很多值得学习的地方, 本文记录了个人的学习过程author: Gengjia Chen (chengjia4574@gmail.com) of IceSwordLab, qihoo 360漏洞补丁我们从漏洞补丁ptrace: Fix ->ptracer_cr...
反调试 - ptrace占坑
dafan0的博客
05-12 998
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
Linux ptrace系统调用
小立仔
08-31 3386
Linux ptrace系统调用简介
系统调用ptrace和进程跟踪
guoguangwu的专栏
01-16 2643
为方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace。通过ptrace,一个进程可以动态地读写另一个进程的内存和寄存器,包括其指令空间、数据空间、堆栈以及所有的寄存器。与信号机制(以及其他手段) 。。。。。。 ...
ptrace 反调试
weixin_30355437的博客
12-30 675
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace反调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
ptrace反调试
HotIce0
10-03 3214
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试。 反调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
linux ptrace 图文详解(二) PTRACE_TRACEME 跟踪程序
h_b__k的博客
03-14 1801
本文介绍了gdb加载被调试程序进行调试运行的底层实现原理PTRACE_TRACEME 的实现细节。
GDB之解决ptrace反调试手段(八)
Android系统攻城狮
09-15 597
本篇目的:GDB之破解ptrace反调试
安卓反调试技术-自带调试检测函数及ptrace检测(3)
最新发布
qq_46415382的博客
04-09 748
我们进行动态调试的时候,其中有一个步骤是进行jdb连接操作:jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8600,当接连成功之后,isDebuggerConnected() 这个方法就会为ture。然后我们把三项勾选取消,再点击运行就成功了。
ptrace的常用参数使用
HotIce0
09-23 2635
一、关于ptrace ptrace是一种系统调用。p也就是process进程,trace追踪。也就是进程追踪。用于对进程的执行进行干涉以及寄存器状态(值)的读取以及设置,内存的写入与读取。比如,我们常用的Linux下的gdb调试。这个程序的主要功能实现就是通过ptrace系统调用。 #include &amp;lt;sys/ptrace.h&amp;gt; long ptrace(enum __ptrace_re...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值