1. 反调试与反-反调试
1.1 常用反调试
1.1.1 ptrace
为了方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,即ptrace()。
通过ptrace可以对另一个进程实现调试跟踪,还提供了一个对反调试非常重要的参数PT_DENY_ATTACH,从名字就可以看出来是阻止调试器附着的。
iOS默认不提供头文件
我们随便建一个macOS的工程,然后把头文件拷出来。
或者直接找到文件:
/Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/MacOSX.sdk/usr/include/sys/ptrace.h
又或者你对dlopen和dlsym比较熟悉:
#import <dlfcn.h>
#ifndef PT_DENY_ATTACH
#define PT_DENY_ATTACH 31
#endif
typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
void *handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
ptrace_ptr_t ptrace_ptr = (ptrace_ptr_t)dlsym(handle, "ptrace");
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
在项目中配置
#import "ViewController.h"
#import "ptrace.h"
@implementation ViewController
- (void)viewDidLoad {
[super viewDidLoad];
ptrace(PT_DENY_ATTACH, 0, 0, 0);
}
@end
我们采用第一种方式,后构建运行这个App。
我们可以看到用Xcode构建运行的时候发生了闪退,而直接点开App是不会闪退的。
- 这是因为我们用Xcode构建运行时是调试模式,默认会使用LLDB进行调试附着到这个进程上,这时候
ptrace配置的PT_DENY_ATTACH生效,所以发生了闪退。 - 我们直接点击运行,这时候是没有
LLDB附着的,所以没有发生闪退。
1.1.2 sysctl
长久以来,iTunes都是用PT_DENY_ATTACH的方式来反调试的。iTunes v12.7.0的时候,开始用另一种方式来反调试了。
它使用sysctl函数来检测它是否在被反调试,如果是的话就关闭程序。sysctl像ptrace一样是另一个系统调用。iTunes在运行时利用一个NSTimer来反复调用sysctl执行检测。
下面是一个简单的Swift代码来展示iTunes做了什么:
func checkDebug() {
let mib = UnsafeMutablePointer<Int32>.allocate(capacity: 4)
mib[0] = CTL_KERN
mib[1] = KERN_PROC
mib[2] = KERN_PROC_PID
mib[3] = getpid()
var size: Int = MemoryLayout<kinfo_proc>.size
var info: kinfo_proc? = nil
sysctl(mib, 4, &info, &size, nil, 0)
if (info.unsafelyUnwrapped.kp_proc.p_flag & P_TRACED) > 0 {
exit(1)
}
}
1.1.3 syscall
基础原理还是ptrace,我们从用户区切换到内核区,使用系统调用syscall来完成对ptrace的调用。
#import <sys/syscall.h>
syscall(26, 31, 0, 0 ,0);
26这个数字看着可能不太明白,我们来sys/syscall.h里面看一下:
...
#define SYS_ptrace 26
...
26就是我们的ptrace。31之前1.1应该已经看到了,就是我们的PT_DENY_ATTACH。
syscall(SYS_ptrace, PT_DENY_ATTACH, 0, 0 ,0);
那这个参数是怎么确定的呢?ptrace(PT_DENY_ATTACH, 0, 0, 0);我们有4个参数,这里最前面传入需要调用的函数值,所以这里是5个参数。可以看到的,除了第一位是SYS_ptrace,其他参数和使用ptrace直接调用时一样。
1.1.4 汇编
基础原理还是ptrace和syscall。syscall是通过软中断来实现从用户区到内核区,我们通过汇编一样可以。
ptrace
这种方法等同于直接使用 ptrace,此时系统调用号是 SYS_ptrace。
#ifdef __arm64__
asm volatile("mov x0, #31\n"
"mov x1, #0\n"
"mov x2, #0\n"
"mov x3, #0\n"
"mov x16, #26\n"
"svc #0x80");
#endif
syscall
这种方法等同于使用 syscall(SYS_ptrace, PT_DENY_ATTACH, 0, 0, 0)。这里需要注意,此时的系统调用号是 0,也就是 SYS_syscall。
#ifdef __arm64__
asm volatile("mov x0, #26\n"
"mov x1, #31\n"
"mov x2, #0\n"
"mov x3, #0\n"
"mov x4, #0\n"
"mov x16, #0\n"
"svc #0x128");
#endif
1.2 不常用反调试
1.2.1 isatty
#import <unistd.h>
- (void)check
{
if (isatty(STDOUT_FILENO)) {
exit(1);
}
}
1.2.2 ioctl
ioctl需要配合NSTimer进行检测。可参考1.1.2 sysctl的描述。
#import <sys/ioctl.h>
- (void)check
{
if (!ioctl(STDOUT_FILENO, TIOCGWINSZ)) {
exit(1);
}
}
1.2.3 task_get_exception_ports
#import <mach/mach_init.h>
#import <mach/task.h>
struct macosx_exception_info{
exception_mask_t masks[EXC_TYPES_COUNT];
mach_port_t ports[EXC_TYPES_COUNT];
exception_behavior_t behaviors[EXC_TYPES_COUNT];
thread_state_flavor_t flavors[EXC_TYPES_COUNT];
mach_msg_type_number_t cout;
};
struct macosx_exception_info *info = malloc(sizeof(struct macosx_exception_info));
task_get_exception_ports(mach_task_self(),
EXC_MASK_ALL,
info->masks,
&info->cout,
info->ports,
info->behaviors,
info->flavors);
for(uint32_t i = 0; i < info->cout; i ++){
if(info->ports[i] != 0 || info->flavors[i] == THREAD_STATE_NONE) {
free(info);
exit(1);
}
}
free(info);
这个方式,我在模拟器上使用不行,不管是不是调试都会退出。真机可行。
1.2.4 SIGSTOP
static dispatch_source_t source;
source = dispatch_source_create(DISPATCH_SOURCE_TYPE_SIGNAL, SIGSTOP, 0, dispatch_get_main_queue());
dispatch_source_set_event_handler(source, ^{
NSLog(@"SIGSTOP!!!");
exit(1);
});
dispatch_resume(source);
这个方式不会在启动的时候退出,但是如果收到SIGSTOP信号的时候,就会退出。就是我们使用断点之后,继续运行的时候退出。
2. 反-反调试
这里介绍适用于ptrace、sysctl、syscall函数调用的反-反调试方法。
对这几个函数调用的处理方法类似,下面用ptrace举例:
设置符号断点
断点断住之后有几种不同的处理方法。
2.1 直接返回
断点断住之后,不管是什么参数,我们都直接返回。
(lldb) thread return 0
2.2 修改RDI寄存器
(lldb) po $rdi
31
(lldb) p $rdi = 0
(unsigned long) $0 = 0
2.3 fishhook
#import "fishhook.h"
static int(*sys_ptrace)(int _request, pid_t _pid, caddr_t _addr, int _data);
int my_ptrace(int _request, pid_t _pid, caddr_t _addr, int _data)
{
if (_request == PT_DENY_ATTACH) {
_request = 0;
}
return sys_ptrace(_request, _pid, _addr, _data);
}
struct rebinding ptraceBinding;
ptraceBinding.name = "ptrace";
ptraceBinding.replacement = my_ptrace;
ptraceBinding.replaced = (void *)&sys_ptrace;
struct rebinding rebs[1] = {ptraceBinding};
rebind_symbols(rebs, 1);
2.4 C hook
由于ptrace实际是要经过符号绑定的,我们可以优先于其他的模块先进行绑定。比如在AppDelegate中声明:
#import <dlfcn.h>
#ifndef PT_DENY_ATTACH
#define PT_DENY_ATTACH 31
#endif
int ptrace(int _request, pid_t _pid, caddr_t _addr, int _data)
{
static void *handle;
static int (*sys_ptrace)(int _request, pid_t _pid, caddr_t _addr, int _data);
static dispatch_once_t onceToken;
dispatch_once(&onceToken, ^{
handle = dlopen("/usr/lib/system/libsystem_kernel.dylib", RTLD_NOW);
assert(handle);
sys_ptrace = dlsym(handle, "ptrace");
});
if (_request == PT_DENY_ATTACH) {
_request = 0;
}
return sys_ptrace(_request, _pid, _addr, _data);
}
这样处理后,在ViewController中调用,也不会有问题。
@implementation ViewController
- (void)viewDidLoad {
[super viewDidLoad];
ptrace(PT_DENY_ATTACH, 0, 0, 0);
}
@end
但是这样依赖的是其他库不会优先调用ptrace。
函数插入
原理可以参考我的这篇文章Mach-O小试牛刀。在Build Phases的Run Script中配置:
echo """
#define DYLD_INTERPOSE(_replacment,_replacee) \
__attribute__((used)) static struct{ const void* replacment; const void* replacee; } _interpose_##_replacee \
__attribute__ ((section (\"__DATA,__interpose\"))) = { (const void*)(unsigned long)&_replacment, (const void*)(unsigned long)&_replacee };
#import <dlfcn.h>
#import <dispatch/dispatch.h>
#ifndef PT_DENY_ATTACH
#define PT_DENY_ATTACH 31
#endif
int ptrace(int _request, int _pid, char * _addr, int _data);
int my_ptrace(int _request, int _pid, char * _addr, int _data)
{
if (_request == PT_DENY_ATTACH) {
_request = 0;
}
return ptrace(_request, _pid, _addr, _data);
}
DYLD_INTERPOSE(my_ptrace, ptrace)
""" > /tmp/lolz.c
clang /tmp/lolz.c -shared -fpic -isysroot `xcrun --show-sdk-path -sdk iphonesimulator` -o /tmp/lolz.dylib && codesign --force --sign - /tmp/lolz.dylib
然后在Scheme的环境变量中配置DYLD_INSERT_LIBRARIES和脚本生成的动态库/tmp/lolz.dylib:
