反ptrace反调试

一、前言

上次学习到ptrace反调试,我是将反调试的代码放在主程序的main函数内部,最近学习了一下dyld加载的流程,了解到了main函数之前还发生了非常多的事情,所以感觉反调试代码放在main函数内安全度不够,很容易被hook,因为在main函数之前就有一步是加载依赖库、动态库并链接到主程序,结合之前学习到的动态库注入,思考能否通过注入自己的动态库来hook住ptrace函数进行反反调试。

二、准备反调试应用

这里我使用上次编写的反调试Demo,并且打包成ipa,再用重签名脚本来动态调试该ipa包,如下:

反ptrace反调试
Xcode动态调试

使用Xcode重签名该ipa并且运行调试,可以发现运行后会立即退出并且中断调试。

反ptrace反调试
AntiDebug

上图最后两个app是同一ipa安装的结果,后者是重签名安装的,能够在正常打开运行,但是在Xcode上运行调试就会闪退,确实是达到了反调试(防止他人重签名调试我们的app)的效果。下面我们尝试着动态库注入来hook住ptrace,干掉反调试。

三、反反调试

流程大概分为:

  • 重签名ipa
  • 动态库编写hook代码
  • 注入动态库

重签名跟注入动态库在这里不再赘述,可以查看之前的笔记,我们主要工作是针对ptracedlsym进行hook,这里使用的是fishhook,具体如下:

//保存原函数地址
static int (*orig_ptrace)(int , pid_t , caddr_t , int ) = NULL;
static void* (*orig_dlsym)(void * __handle, const char* __symbol);

int my_ptrace(int _request, pid_t _pid, caddr_t _addr, int _data) {
    if (_request != PT_DENY_ATTACH) {
        return orig_ptrace(_request,_pid,_addr,_data);
    }
    NSLog(@"源程序做了反调试----已hook!");
    return 0;
}

void* my_dlsym(void * __handle, const char* __symbol) {
    if (strcmp(__symbol, "ptrace") != 0) {
        //如果不是"ptrace"符号
        return orig_dlsym(__handle,__symbol);
    }
    //dlsym调用ptrace,走我们的hook ptrace
    return my_ptrace;
}

+ (void)load {
    //使用fishhook
    struct rebinding ptraceRebind;
    //需要hook的函数
    ptraceRebind.name = "ptrace";
    //传入替换函数地址
    ptraceRebind.replacement = my_ptrace;
    //保存原函数调用地址
    ptraceRebind.replaced = (void *)&orig_ptrace;
    
    struct rebinding dlsym;
    dlsym.name = "dlsym";
    dlsym.replacement = my_dlsym;
    dlsym.replaced = (void *)&orig_dlsym;
    
    //重新绑定符号表
    rebind_symbols((struct rebinding[2]){ptraceRebind,dlsym}, 2);
}

先注释掉hook部分的代码,添加符号断点ptrace,运行重签名工程,如下:

反ptrace反调试
先不hook

从下图可以看到,ptrace系统调用被断住,可以知道源程序做了ptrace反调试,这是一种检测方式。

反ptrace反调试
ptrace被断住

接着将hook代码注释去掉,让其绕过反调试的检测

反ptrace反调试
成功反反调试

Demo

四、小结

通过上述这种方式的反反调试,一般能绕过写在main函数里面的ptrace,整个流程可以从dyld加载的顺序解释,dyld先加载程序需要的依赖库、动态库,其中包括我们注入的动态库,因此在加载动态库的时候我们的hook方法比程序main函数里的ptrace反调试更早执行,所以能够绕过。但是,如果原应用把ptrace反调试写在动态库里,我们通过这种方式反反调试就会失效,先留个思考点。

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据