在逆向和保护的过程中,总会涉及到反调试和反反调试的问题,这篇文章主要是总结一下几种常见的反调试手段。
首先感谢一下猴子大佬的无私奉献AloneMonkey
本文主要参考了Haris Andrianakis的文章
马万旻在掘金上发表的文章
KANGZUBIN的博客
当我们上线一个 App,当然是不希望自己的 App 被攻击者研究透彻。虽然说没有绝对的安全,但是我们可以做一些防护措施,增加攻击的成本和难度,延缓攻击者的脚步。
在 iPhone 上运行 App,然后通过 GDB 进行动态调试,是大多数攻击者的首选。
本文主要介绍两种反调试的方法。
ptrace反调试,阻止GDB依附
在Unix 系统中,提供了一个系统调用 ptrace 用于实现断点调试和对进程进行跟踪和控制,而 PT_DENY_ATTACH 是苹果增加的一个 ptrace 选项,这个参数用来告诉系统,阻止调试器依附,用法如下:
//ptrace反调试
#import <dlfcn.h>
#import <sys/types.h>
typedef int (*ptrace_ptr_t)(int _request, pid_t pid, caddr_t _addr, int _data);
#if !defined(PT_DENT_ATTACH)
#define PT_DENT_ATTACH 31
#endif
void disable_gdb() {
void * handle = dlopen(0, RTLD_GLOBAL|RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
ptrace_ptr(PT_DENT_ATTACH, 0, 0, 0);
dlclose(handle);
}
sysctl反调试
当一个进程被调试的时候,该进程会有一个标记来标记自己正在被调试,所以可以通过sysctl去查看当前进程的信息,看有没有这个标记位即可检查当前调试状态。
//sysctl反调试
#import <sys/sysctl.h>
#import <sys/types.h>
#import <unistd.h>
/*
函数的返回值若为0时,证明没有错误,其他数字为错误码。
arg1 传入一个数组,该数组中的第一个元素指定本请求定向到内核的哪个子系统。第二个及其后元素依次细化指定该系统的某个部分。
arg2 数组中的元素数目
arg3 一个结构体,指向一个供内核存放该值的缓冲区,存放进程查询结果
arg4 缓冲区的大小
arg5/arg6 为了设置某个新值,arg5参数指向一个大小为arg6参数值的缓冲区。如果不准备指定一个新值,那么arg5应为一个空指针,arg6因为0.
*/
//int sysctl(int *, u_int, void *, size_t *, void *, size_t);
static bool is_debugger_present(void) {
int name[4];//存放字节码,查询信息
struct kinfo_proc info;//接受进程查询结果信息的结构体
size_t info_size = sizeof(info);//结构体的大小
info.kp_proc.p_flag = 0;
name[0] = CTL_KERN;//内核查看
name[1] = KERN_PROC;//进程查看
name[2] = KERN_PROC_PID;//进程ID
name[3] = getpid();//获取pid,据说这个可以直接传0?
int proc_err = sysctl(name, 4, &info, &info_size, NULL, 0);
if (proc_err == -1) { //判断是否出现了异常
exit(-1);
}
//info.kp_proc.p_flag中存放的是标志位(二进制),在proc.h文件中有p_flag的宏定义,通过&运算可知对应标志位的值是否为0。(若结果值为0则对应标志位为0)。其中P_TRACED为正在跟踪调试过程。
return ((info.kp_proc.p_flag & P_TRACED) != 0);
}
syscall
直接调用这个函数:
其中PT_DENT_ATTACH的值为31,直接填31即可。SYS_ptrace的值为26,可以引入<sys/syscall.h>头文件后直接调用宏定义
#import <sys/syscall.h>
syscall(SYS_ptrace,PT_DENT_ATTACH,0,0,0);
为从实现从用户态切换到内核态,系统提供了一个系统调用函数syscall,上面讲到的ptrace也是通过系统调用去实现的。而ptrace的编号为26,也就是SYS_ptrace的值:
26. ptrace 801e812c T
其他函数编号可以在这里Kernel Syscalls查阅,维基百科,需要翻墙。。
但是syscall在iOS10之后废弃了。代替它的函数在<sys/kdebug_signpost.h>里,叫kdebug_signpost(),但是搜遍全网也没找到如何去替代syscall(26,31,0,0,0)。。这里是源代码,希望有大牛可以研究一下。
SIGSTOP(当检测到有断点触发时停止调试)
通过捕获系统SIGSTOP信号来判断。
如果程序没有断点。那这个是没有用的。。
dispatch_source_t source = dispatch_source_create(DISPATCH_SOURCE_TYPE_SIGNAL, SIGSTOP, 0, dispatch_get_main_queue());
dispatch_source_set_event_handler(source, ^{
exit(0);
});
dispatch_resume(source);
isatty
isatty方法也可以用来检测是否正在被调试
#import <unistd.h>
if (isatty(1)) {
exit(0);
}
但是,上述这些方式只能简单地防止 App 被动态调试,其实 ptrace、sysctl、syscall 等函数本身也可以被静态修改或 Hook。而且即便能有效阻止了调试,App 仍然可以通过 tweak 去 Hook App 内部的方法实现,也可以通过 dylib 注入去修改 App 的功能。
我们只好从多方面考虑,尽可能提高安全性,比如防止 tweak 依附、防止网络请求抓包、对敏感数据进行加解密、代码混淆、检查二进制 binary 签名是否匹配;关键逻辑用更底层的 C 函数实现(虽然 C 函数也是可以被 Hook,例如 Facebook 开源的 fishhook),等等,同时我们也可以检查手机是否已经越狱,并对越狱机做特殊处理。
下面介绍几个比较特殊的写法,其实原理都一样,调用专门的函数去检测,只是调用方法不同:
内联 svc + ptrace 实现和内联 svc + syscall + ptrace 实现
其实这两种方法都等同于直接或间接使用 ptrace, 此时系统调用号是 SYS_ptrace
static __attribute__((always_inline)) void AntiDebugASM() {
#ifdef __arm__
asm volatile(
"mov r0,#31\n"
"mov r1,#0\n"
"mov r2,#0\n"
"mov r12,#26\n"
"svc #80\n"
);
#endif
#ifdef __arm64__
asm volatile(
"mov x0,#26\n"
"mov x1,#31\n"
"mov x2,#0\n"
"mov x3,#0\n"
"mov x16,#0\n"
"svc #128\n"
);
#endif
}
安全性比较高的防护策略
对于fishhook交换系统函数的进攻方式,我们可以通过将sysctl等函数调用放到动态库中,以保证检测函数可以在进攻注入的代码之前执行。动态库的加载顺序为Build Phases下的Link Binary With Libaraies中的排列顺序。