解决多进程ptrace反调试保护的一种方法

最新推荐文章于 2025-09-06 18:01:43 发布
转载 最新推荐文章于 2025-09-06 18:01:43 发布 · 9.7k 阅读 · 2

本文介绍了一种绕过多进程ptrace反调试的技术。通过修改/bionic/libc/bionic/fork.c中的fork函数,使目标进程无法创建子进程,从而实现对加固应用的调试。该方法适用于娜迦等加固系统。

转:http://bbs.pediy.com/showthread.php?p=1436691#post1436691


前言:我们经常看到很多加固都采用多进程ptrace的方式来反调试,这里想到一个小技巧绕过这种保护,测试目标是一款娜迦加固的APK,效果如下:
点击图片以查看大图图片名称: multi.png查看次数: 1文件大小: 7.1 KB文件 ID : 105761

原理:多进程都是通过fork出来的,因此我们修改/bionic/libc/bionic/fork.c里面的fork函数来使得目标进程fork失败,代码如下:
点击图片以查看大图图片名称: source.png查看次数: 2文件大小: 24.5 KB文件 ID : 105759

结果:修改fork函数后,目标APK只剩下一个进程了,使用gdb attach正常,效果如下:
点击图片以查看大图图片名称: single.png查看次数: 0文件大小: 7.5 KB文件 ID : 105760

结束语:有兴趣的同学可以试试其他的加固系统。 

注:
这个get_target2函数就是作为过滤条件用的。
可以考虑结合注入+HOOK 


越狱开发笔记(五)—— ptrace反调试&反反调试
zhuxincheng_1218的专栏
03-06 1054
文章目录debugserver 连接APPLLDB 启动LLDB 启动原理LLDB下断点命令行工具的权限文件反调试PtracePtrace通过framework防护调试 debugserver 连接APP $sh usbLogin.sh链接手机,root# cd /Developer/usr/bin可以看的目录下有个debugserver,在链接之前可以$ps -A查看进程。 $ ./deb...
《iOS防护01》ptrace防护
不仅仅是个程序员的博客
10-29 401
获取ptrace.h头文件 prace.h是系统的C语言文件。 首先用Xcode创建一个命令行程序 截屏2020-10-29下午5.33.45.png 命令行程序的 mian.m 中导入 ptrace 头文件 import <sys/ptrace.h> 截屏2020-10-29下午5.38.06.png 查看 ptrace.h 的定义,复制ptrace...
解决Android加固多进程ptrace反调试的思路整理
云守护的专栏
04-09 2663
转自:https://blog.youkuaiyun.com/QQ1084283172/article/details/53613481 一、Android多进程反调试的原理代码 当ptrace附加目标进程时出现失败,正常情况下有理由认为目标进程已经被别的进程ptrace附加了。像梆梆加固就是采用的这种反调试的手法,效果还是不错的。 /*********************************...
ptrace系统调用及示例
最新发布
悟空看八戒烤熟了没的专栏c)4Upqt4SeVk
09-06 926
摘要:本文详细介绍了Linux系统的ptrace系统调用,它允许一个进程(跟踪者)监控和控制另一个进程(被跟踪者)。文章涵盖函数原型、参数说明、操作类型(如PTRACE_TRACEME、PTRACE_ATTACH等)、返回值处理和常见错误码,并解释了被跟踪进程的状态变化机制。最后提供示例代码演示如何跟踪子进程系统调用,包括寄存器读取和系统调用名称转换功能。ptrace是调试器、系统调用跟踪和安全监控等工具的核心实现基础。
ptrace 反调试
weixin_30355437的博客
12-30 646
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace反调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
尝试绕过ptrace保护 不知道算不算成功
lixiangminghate的专栏
11-04 7349
源码如下 #include int main() {     int i=0;     if(ptrace(PTRACE_TRACEME,0,0,0)     {         printf("failed\n");         return 0;     }     printf("succ\n");     i=1;     return 0; } gcc
反调试方法二 - 抢占ptrace
attach_114的博客
12-23 782
<blockquote> <p>The ptrace() system call provides a means by which one process (the"tracer") may obs
Anti ptrace:去掉AlipayWallet的ptrace 反调试保护,进行lldb调试---仅用于参考学习
weixin_33739646的博客
11-28 2080
新的博客 学习笔记 前言 code 软件环境:Xcode硬件环境:iPhone5越狱手机、Mac开发工具: Cycript、LLDB、logos Tweak、hopper、MonkeyDev、AFLEXLoader、dumpdecrypted、debugserver、ssh、class_dump、hook 本文采用tweak 的方式进行M...
使用PTRACE_TRACEME反调试的原理
aka_yoo的博客
08-07 751
介绍和演示使用(PTRACE_TRACEME, 0, NULL, NULL)进行反调试的底层原理
反调试技术深入解析:ptrace反注入与sysctl检测的汇编实现
资源摘要信息:《反调试技术进阶:ptrace反注入与sysctl检测的汇编级实现》是一篇专注于移动与桌面系统安全防护领域的技术文档,深入探讨了在iOS/macOS平台下,如何通过ptrace与sysctl机制实现高级反调试策略,并...
安卓反调试技术教程及其解决方案
在安卓平台上,最直接的一种反调试手段是使用ptrace系统调用检测trace状态。ptrace是Linux系统中的一个系统调用,用于允许一个进程观察和控制另一个进程的执行,检查其调用的参数、更改其执行条件等。在安卓应用中,...
Android中的反调试代码
05-29
例如,`SIGTRAP`信号通常用于触发断点,因此检测该信号的出现也能作为反调试一种方式。 **反调试策略二:混淆和加密** 1. **混淆代码**:使用混淆工具(如ProGuard或R8)对代码进行混淆,使攻击者难以理解原始...
ptrace注入实例
01-01
ptrace注入实例代码,
ptrace注入游戏介绍
qq_19982783的博客
06-28 1059
转自游戏安全实验室(GSLAB.QQ.COM) Android系统采用的是Linux内核,很多Linux系统上的技术都可以应用在Android系统上,Android系统上ptrace注入远程进程的技术就是其中一种。本章节将对ptrace注入的完整流程进行介绍。 一、ptrace函数介绍 ptrace注入技术的核心就是ptrace函数,在ptrace注入过程中,将多次调用ptrace函数。
iOS逆向之【Anti ptrace】去掉ptrace反调试保护进行lldb调试1、断点ptrace,return 2、hook替换disable_gdb函数3、修改 PT_DENY_ATTACH
热门推荐
专注于计算机研发知识和资讯分享
10-14 1万+
前言Makefile文件 的配置新增一个自己的文件1)testTweakDemo_FILES设置工程需要引用的文件,如果你还需要加入一些自己写的文件,多个文件之间以空格分隔:testTweakDemo_FILES = Tweak.xm MyClass1.m MyClass2.m 是我们要包含的需要被编译的文件,格式就是 工程名FILES = 要编译的文件名如果文件放在新增的目录,则声明格式如下:Ta
《iOS防护02》破解ptrace防护
不仅仅是个程序员的博客
10-30 334
本文接上一篇《iOS防护01》ptrace防护 ,实现破解ptrace防护。 创建动态库 因动态库的加载在main函数之前,所以通过动态库中编写代码实现hook。 按照下图步骤创建动态库 截屏2020-10-30上午10.48.33.png 截屏2020-10-30上午10.52.25.png 按照上图创建完后,targets会多出来一个动态库(我创建的动态库名称为In...
MrleeProtect游戏保护
不歪的专栏
02-25 1112
MrleeProtect驱动保护,是我写的一个功能较为完善且稳定的一个保护。因为MP保护的文件有很多,而且还有R3层的部分,经过讲解视频的讲解和配合完善的注释,可以让大家对于保护的流程和功能有更清晰更快的理解。 注意: 1. 此套保护仅在Windows XP SP3系统上做过测试。 2. 保护程序是在VS2010环境下编译的。 MrleeProtect效果: 1. 防止受保护进程
android绕过反调试方法,安卓|使用ptrace绕过ptrace反调试(二)
weixin_35171513的博客
05-26 1929
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
ptrace:不被允许的操作
wo 的专栏
10-28 2438
在root权限下  输入 sudo echo 0 >/proc/sys/kernel/yama/ptrace_scope 在root下 要用exit 退出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值