iOS安全防护系列之ptrace反调试与汇编调用系统方法详解_IOS

关于系统调用

ptrace是一个系统调用。那系统调用是什么东东呢？它是一个系统提供的很强大的底层服务。用户层的框架是构建在system call之上的。

macos sierra大约提供了500个系统调用。通过以下命令来了解你系统上的系统调用的个数：

				?

									➜ ~ sudo dtrace -ln 'syscall:::entry' | wc -l

这个命令使用了另外一个更强大的工具叫dtrace，暂不详谈它。

一 lldb调试原理：debugserver

1、xcode的lldb之所以能调试app，是因为手机运行app，lldb会把调试指令发给手机的debugserver; debugserver是由xcode第一次运行程序给安装到手机上。

xcode上查看debugserver：

按住command键点击xcode，找到xcode.app显示包内

容/applications/xcode.app/contents/developer/platforms/iphoneos.platform/devicesupport/11.3 找到developerdiskimage.dmg 里的usr -> bin -> debugserver

机的根目录下的 developer -> usr -> bin 里能找到debugserver，越狱手机可以查看

2、越狱环境下，lldb连接手机的debugserver,然后就可以通过debugserver调试某个app

3、debugserver如何调试app？

debugserver通过ptrace函数调试app

ptrace是系统函数，此函数提供一个进程去监听和控制另一个进程，并且可以检测被控制进程的内存和寄存器里面的数据。ptrace可以用来实现断点调试和系统调用跟踪。

推荐书单：《程序员的自我修养》

二利用ptrace防护debugserver

把ptrace.h导入工程

ptrace头文件不能直接导入app工程，可以新建命令行工程，然后#import <sys/ptrace.h>进入到ptrace.h，把内容全部复制到自己工程中新建的header文件myptrace.h中，那么自己的工程想调用ptrace就可以导入myptrace.h直接进行调用

ptrace防护

ptrace(<#int _request#>, <#pid_t _pid#>, <#caddr_t _addr#>, <#int _data#>)有四个参数

参数1:要做的事情

参数2:要控制的进程id

参数3:地址

参数4:数据

参数3和参数4都由参数1决定参数1要传递的地址和数据

参数1的列表：

#define    pt_trace_me    0    /* child declares it's being traced */
#define    pt_read_i    1    /* read word in child's i space */
#define    pt_read_d    2    /* read word in child's d space */
#define    pt_read_u    3    /* read word in child's user structure */
#define    pt_write_i    4    /* write word in child's i space */
#define    pt_write_d    5    /* write word in child's d space */
#define    pt_write_u    6    /* write word in child's user structure */
#define    pt_continue    7    /* continue the child */
#define    pt_kill        8    /* kill the child process */
#define    pt_step        9    /* single step the child */
#define    pt_attach    eptattachdeprecated    /* trace some running process */
#define    pt_detach    11    /* stop tracing a process */
#define    pt_sigexc    12    /* signals as exceptions for current_proc */
#define pt_thupdate    13    /* signal for thread# */
#define pt_attachexc    14    /* attach to running process with signal exception */

#define    pt_forcequota    30    /* enforce quota for root */
#define    pt_deny_attach    31

#define    pt_firstmach    32    /* for machine-specific requests */

要做到反调试，只需参数1为pt_deny_attach，参数2为自己

				?

									#import "myptrace.h"

									 //app反调试防护

									 ptrace(pt_deny_attach, 0, 0, 0);

这样你的app就不可以用xcode调试了

三反ptrace ，让别人的ptrace失效

就是如果别人的的app进行了ptrace防护，那么你怎么让他的ptrace不起作用，进行调试他的app呢？

由于ptrace是系统函数，那么我们可以用fishhook来hook住ptrace函数，然后让他的app调用我们自己的ptrace函数

注入动态库meryindylib
在meryindylib中hook住ptrace函数

				?

									#import "fishhook.h"

									#import "myptrace.h"

									@implementation meryindylib

									int (*ptrace_p)(int _request, pid_t _pid, caddr_t _addr, int _data);

									int myptrace(int _request, pid_t _pid, caddr_t _addr, int _data){

									 if (_request != pt_deny_attach) {

									  return ptrace_p(_request,_pid,_addr,_data);

									 }

									 return 0;

									}

									+ (void)load

									{

									 struct rebinding ptracebind;

									 //函数的名称

									 ptracebind.name = "ptrace";

									 //新的函数地址

									 ptracebind.replacement = myptrace;

									 //保存原始函数地址的变量的指针

									 ptracebind.replaced = (void *)&ptrace_p;

									 //定义数组

									 struct rebinding rebs[] = {ptracebind};

									 /*

									  arg1 : 存放rebinding结构体的数组

									  arg2 : 数组的长度

									  */

									 rebind_symbols(rebs, 1);

									}

四针对三，要想别人hook自己的app的ptrace失效

思路：别人hook ptrace的时候，自己的ptrace已经调用

想要自己函数调用在最之前：自己写一个framework库

在库中写入ptrace(pt_deny_attach, 0, 0, 0);

库加载顺序：

自己写的库>别人注入的库

自己的库加载顺序：按照 link binary libraries的顺序加载

iOS安全防护系列之ptrace反调试与汇编调用系统方法详解

五针对四进行反反调试

就算他的ptrace自己fishhook不到，可以通过修改macho的二进制让他的ptrace失效，然后进行调试.

1、用monkeydev打开，下符号断点trace，然后lldb调试bt，找到ptrace的库antidebug以及其地址0x0000000102165d98，再image list找到antidebug的地址0x0000000102160000，那么真实地址为0x5d98;

2、然后显示包内容，在frameworks中，找到antidebug库的macho，用hopper打开，找到0x5d98

iOS安全防护系列之ptrace反调试与汇编调用系统方法详解

3、更改二进制

可以直接在bl __nslog之后直接函数结束，去除bl __ptrace，不调用ptrace函数

复制ptrace下一条指令0000000000005d94 bl imp___stubs__ptrace，点击bl __nslog的下一行然后alt+a,写入代码bl 0x 0000000000005d94

iOS安全防护系列之ptrace反调试与汇编调用系统方法详解

4、导出新的macho

file --> produce new executable

然后再运行就可以了

六针对五我不想暴露自己的ptrace等系统方法，不想被符号断点断住，可以采用汇编进行调用ptrace

				?

									//安全防护-反调试

									 asm(

									  "mov x0,#31\n"

									  "mov x1,#0\n"

									  "mov x2,#0\n"

									  "mov x3,#0\n"

									  "mov w16,#26\n" //26是ptrace

									  "svc #0x80" //0x80触发中断去找w16执行

									 );