ptrace之SMC,反调试

最新推荐文章于 2025-03-17 18:57:05 发布
最新推荐文章于 2025-03-17 18:57:05 发布
阅读量965 收藏
点赞数
分类专栏: unix
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lyx2007825/article/details/53106979
版权
这篇博客探讨了如何利用ptrace系统调用来实现反调试技术。通过解密shellcode并修改其权限,然后调用mprotect和ptrace(PTRACE_TRACEME)来检查是否被调试。当ptrace TRACEME失败时,程序会提示并退出。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <sys/ptrace.h>
#include <sys/mman.h>
#include <asm/unistd.h>

#define PAGE_START(p)	((p) &~4095)
#define PAGE_END(p) 	((p) + PAGE_START(p))

static char encrypt_shellcode[] = "\x66\xba\xd6\x65\x60\xb8\x66\x23\xb8\x76\x3b\xb8\x7e\x3f\xb8\x46\x27\xba\xf0\x83\x29\xfe\xb3\x68\x6d\x6e\xf0";

static void decrypt_shellcode() {
	int i;
	size_t len = strlen(encrypt_shellcode);
	int code;
	for (i = 0; i < len; i++) {
		code = encrypt_shellcode[i] & 0xff;
		code = code ^ 0x33;
		encrypt_shellcode[i] = code;
	}
}

int main() {
	int ret;
	decrypt_shellcode();
	int (*p_ptrace)(int, pid_t, void *, int) = (int (*)(int, pid_t, void *, int))encrypt_shellcode;
	int pagesize = getpagesize();


	if ( (ret = mprotect((void *)PAGE_START((int)encrypt_shellcode),pagesize,PROT_READ | PR
最低0.47元/天 解锁文章
玩转Android10源码开发定制(七)修改ptrace绕过反调试
xiaomaNo01的专栏
12-31 1314
一、安卓10中ptrace介绍 1.源码位置追踪 在Android10中,ptrace函数定义文件路径为: bionic/libc/include/sys/ptrace.h 函数原型定义如下: long ptrace(int __request, ...); ptrace函数实现文件路径为: bionic/libc/bionic/ptrace.cpp 函数实现代码如下: long ptrace(int ...
越狱开发笔记(五)—— ptrace反调试&反反调试
zhuxincheng_1218的专栏
03-06 989
文章目录debugserver 连接APPLLDB 启动LLDB 启动原理LLDB下断点命令行工具的权限文件反调试PtracePtrace通过framework防护调试 debugserver 连接APP $sh usbLogin.sh链接手机,root# cd /Developer/usr/bin可以看的目录下有个debugserver,在链接之前可以$ps -A查看进程。 $ ./deb...
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
08-27
主要给大家介绍了关于iOS安全防护系列之ptrace反调试与汇编调用系统方法的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ptrace 反调试
weixin_30355437的博客
12-30 607
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace反调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
CTF逆向学习之SMC自修改
最新发布
2302_79797828的博客
03-17 1594
SMC是指:一种将可执行文件中的代码或数据进行加密,防止别人使用逆向工程工具对程序进行静态分析的方法,只有程序运行时才对代码和数据进行解 密,从而正常运行程序和访问数据。是一种程序在运行时修改自身代码的技术。然而,SMC 也带来了复杂性和潜在的安全风险,因此需要谨慎使用。SMC 的核心思想是程序在运行时修改自身的指令。
浅谈Android反调试PTRACE_TRACEME
weixin_34014277的博客
05-01 481
浅谈Android反调试PTRACE_TRACEME 反调试原理:关于Ptrace: http://www.cnblogs.com/tangr206/articles/3094358.htmlptrace函数原型为: #include <sys/ptrace.h>long ptrace(enum __ptrace_r...
ptrace反调试
HotIce0
10-03 3043
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试。 反调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
反调试 - ptrace占坑
dafan0的博客
05-12 681
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
使用PTRACE_TRACEME反调试的原理
aka_yoo的博客
08-07 551
介绍和演示使用(PTRACE_TRACEME, 0, NULL, NULL)进行反调试的底层原理
android绕过反调试方法,安卓|使用ptrace绕过ptrace反调试(二)
weixin_35171513的博客
05-26 1817
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
网鼎杯-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎杯-第三场-逆向-simpleSMC-------
linux ptrace反调试之抢占ptrace
whatday的专栏
08-17 1638
ptrace和debugger原理 ptrace ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于断点调试和系统调用跟踪. 函数原型: long ptrace(int request, pid_t pid, void * addr, void * data) 其中,request代表请求类型,pid代表被调试进程的pid. 部分...
linux或者android样本ptrace反调试绕过
kernweak的博客
06-16 1691
linux linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的反调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉反调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(反调试程序) #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> void a() { if (ptra
CTF-SMC 逆向练习
weixin_40729735的博客
11-28 5476
SMC代码修改逆向分析--小白学习
SMC代码自修改逆向分析(仅针对汇编语言分析)
Y1seco的博客
06-03 2770
文章目录实验分析 实验分析 用IDA打开7-3的实验练习.exe,进入主函数如图:
linux 自修改代码 smc,记一次逆向工程作业——SMC代码自修改程序的逆向分析
weixin_36400198的博客
05-12 679
第一次发帖,由于刚开始学习逆向工程,所以文中可能有些错误或者描述不完善的地方,欢迎大家在评论中批评指正或者提出问题进行讨论。环境主机:Windows10 64位 专业版虚拟机软件:VMWare 15.1.0虚拟机环境:Windows XP软件:IDA VSCode Notepad++编程语言:Python3 C/C++文件:7-3.exe SMC.idcSMC.zip(30.98 KB, 下载次数...
[安卓逆向]常见调试和反调试及解决方案
杰孑的博客
04-09 3221
我们在逆向软件时难免会遇到一些反调试策略,这篇文章就来详细总结下,现阶段比较流行的几种反调试策略及解决方案。
IOS-反调试绕过的技巧
细心程度决定你的成败
12-25 1691
出自IOSRe论坛的一篇干货 收藏起来以免忘记。
iOS安全:ptrace反调试与系统调用深度解析
"iOS安全防护系列的文章,主要探讨了ptrace反调试技术和汇编调用系统方法,适用于iOS应用的安全开发和逆向分析学习。文中通过实例详细解释了ptrace系统调用的工作原理,以及在iOS设备上lldb调试的机制,特别是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值