越狱开发笔记(五)—— ptrace反调试&反反调试

最新推荐文章于 2025-07-10 13:41:52 发布
最新推荐文章于 2025-07-10 13:41:52 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: iOS安全攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhuxincheng_1218/article/details/88250244
本文介绍了iOS越狱开发中如何进行反调试与反反调试,涉及debugserver连接APP、LLDB启动原理及下断点、权限文件设置、ptrace函数的使用以及如何通过hook动态库来破解ptrace反调试。同时提到了支付宝和微信等应用的防护策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

debugserver 连接APP

  • $sh usbLogin.sh链接手机,root# cd /Developer/usr/bin可以看的目录下有个debugserver,在链接之前可以$ps -A查看进程。
$ ./debugserver *:12346 -a WeChat
  • root# ./debugserver运行debugserver
  • *:端口号:使用手机的某个端口提供服务
  • -a 进程:连接的APP (进程ID,进程名称–MachO文件的名称)

LLDB 启动

LLDB 启动原理

  • XCode安装程序包里==/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport==目录下,每个版本有个DeveloperDiskImage.dmg安装包,联机调试的时候会安装到手机
了解本专栏 订阅专栏 解锁全文
玩转Android10源码开发定制()修改ptrace绕过反调试
xiaomaNo01的专栏
12-31 1379
一、安卓10中ptrace介绍 1.源码位置追踪 在Android10中,ptrace函数定义文件路径为: bionic/libc/include/sys/ptrace.h 函数原型定义如下: long ptrace(int __request, ...); ptrace函数实现文件路径为: bionic/libc/bionic/ptrace.cpp 函数实现代码如下: long ptrace(int ...
反调试 - ptrace占坑
dafan0的博客
05-12 774
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占坑。ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷入自己手机。
ptrace 反调试
weixin_30355437的博客
12-30 630
  前言:   在动手尝试MBE系列课程第一天中的小程序时,遇到了一个ptrace反调试的问题,当然简单的做一次patch也是可以的。但是本着打破沙锅问到底的精神,到网上查看了一些资料,整理到这里。   分别转载自 如何调试加入了ptrace的程序以及 玩转ptrace。   以及,一下内容我并未亲自尝试。难免会有不足之处,后面会慢慢补充,有错之处请大家指出,谢谢分享。 ptr...
Frida进阶——libnesec.so反调试机制绕过
最新发布
w987333120的博客
07-10 914
本文介绍了利用Frida工具绕过安卓安全加固库libnesec.so反调试检测的实战方法。主要步骤包括:1)通过Hook android_dlopen_ext函数监控目标库加载时机;2)Hook pthread_create函数捕获反调试线程创建;3)分析线程入口点的偏移地址,将关键反调试函数替换为空函数。文章提供了完整的Frida脚本实现,展示了如何通过早期注入、动态监控和函数替换等技术组合,有效突破libnesec.so的反调试保护机制。该方法适用于安卓应用逆向分析场景,为安全研究人员提供了实用的技术参
ptrace反调试
HotIce0
10-03 3081
ptrace PTRACE_ATTACH可以附加到目标进程上,对其进行调试。 反调试的方式 跟踪自己:因为,一个进程在同一时间只能被一个进程跟踪。如果进程在启动时,就调用ptrace PTRACE_TRACEME跟踪了自己。那么这个进程将无法被其他进程附加。 如果对方调用的是exec()的时候,暂停你的程序呢。这个时候调用ptrace跟踪。也就是在你调用ptrace之前。 这种情况很好解决...
ptrace之SMC,反调试
lyx2007825的专栏
11-09 984
#include #include #include #include #include #include #include #define PAGE_START(p) ((p) &~4095) #define PAGE_END(p) ((p) + PAGE_START(p)) static char encrypt_shellcode[] = "\x66\xba\xd6\x6
浅谈Android反调试PTRACE_TRACEME
weixin_34014277的博客
05-01 494
浅谈Android反调试PTRACE_TRACEME 反调试原理:关于Ptrace: http://www.cnblogs.com/tangr206/articles/3094358.htmlptrace函数原型为: #include <sys/ptrace.h>long ptrace(enum __ptrace_r...
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
PTRACE_TRACEME 与反调试
dilvx的博客
02-06 1278
是 Linux 的经典反调试手段,因为系统限制调试是独占的,一个进程只能有一个 debugger。静默跟踪:父进程可通过 PTRACE_SEIZE(非侵入式跟踪)或直接忽略跟踪事件,避免触发信号暂停,使子进程看似未被调试。即使父进程不进行任何实际跟踪操作,该插槽已被占用,导致外部调试器无法通过常规手段附加。利用时间差:在子进程调用 PTRACE_TRACEME 前,父进程或外部程序能快速附加调试器,仍可拦截子进程。设置标记不代表子进程立刻就会被中断,必须收到停止信号时才会被父进程捕获。
反调试
mslieng1011的博客
11-05 324
PEB BeginDebug : 调试标记位,当值为1,说明本进程处于被调试状态 //获取调试标记位的值 bool begindebug = IsDebuggerPresent(); if(begindebug) { //被调试 } 反反调试方法 : 修改PEB为原始值,OD插件自带了 原始API int info; NtQueryInfomationProcess(GetC
反调试方法二 - 抢占ptrace
attach_114的博客
12-23 765
<blockquote> <p>The ptrace() system call provides a means by which one process (the"tracer") may obs
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
08-27
主要给大家介绍了关于iOS安全防护系列之ptrace反调试与汇编调用系统方法的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
反调试技术(以OD为例附核心原代码)
06-05
反调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
各种反调试技术原理与实例 VC版[学习CK].
11-10
反调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
反调试技巧总结-原理和实现
weixin_30535843的博客
06-07 518
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习反调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
Frida 反反调试
TF的博客
08-09 2949
2. 指定端口启动: ./frida-server -l 0.0.0.0:30000。1. 对 frida-server 重命名。
使用PTRACE_TRACEME反调试的原理
aka_yoo的博客
08-07 617
介绍和演示使用(PTRACE_TRACEME, 0, NULL, NULL)进行反调试的底层原理
反调试合集
2301_79688571的博客
10-14 1031
反调试是一种用于阻碍程序动态调试的技术,首先大致说明一下反调试的工作原理。在操作系统内部提供了一些API,用于调试器调试。当调试器调用这些API时系统就会在被调试的进程内存中留下与调试器相关的信息。一部分信息是可以被抹除的,也有一部分信息是难以抹除的。当调试器附加到目标程序后,用户的很多行为将优先被调试器捕捉和处理。其中大部分是通过异常捕获通信的,包括断点的本质就是异常。如果调试器遇到不想处理的信息,一种方式是忽略,另一种方式是交给操作系统处理。检测内存中是否有调试器的信息。
反调试总结
weixin_52369224的博客
03-03 741
目录 PEB: 函数检测: 数据检测: PEB: 利用PEB结构体信息可以判断当前进程是否处于被调试状态。其中与反调试密切相关的成员。 +0x002 BeingDebugged : UChar 调试标志 +0x00c Ldr : Ptr32 _PEB_LDR_DATA 进程加载模块链表 +0x018 ProcessHeap : Ptr32 Void +0x068 NtGlobalFlag : Uint4B 函数检测: sDebuggerPresent(): 函数检测就是通..
iOS安全:ptrace反调试与系统调用深度解析
&quot;iOS安全防护系列的文章,主要探讨了ptrace反调试技术和汇编调用系统方法,适用于iOS应用的安全开发和逆向分析学习。文中通过实例详细解释了ptrace系统调用的工作原理,以及在iOS设备上lldb调试的机制,特别是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

群野

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值