AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

iOS Anti-Debug

2016-08-24 2620
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: iOS Anti-Debug 1 iOS Anti-Debug前言       移动平台攻防对抗技术的发展基本是沿着PC端发展轨迹在前进,从windows平台上的加壳到Android平台的APK加固,相信ipa的加固也已经不远了;windows平台下从ring3层到ring0层的反调试技术已经非常成熟,Android平台下的反调试技术已经出现了




iOS Anti-Debug


1 iOS Anti-Debug前言

      移动平台攻防对抗技术的发展基本是沿着PC端发展轨迹在前进,从windows平台上的加壳到Android平台的APK加固,相信ipa的加固也已经不远了;windows平台下从ring3层到ring0层的反调试技术已经非常成熟,Android平台下的反调试技术已经出现了好几套不错的方案,今天来简单聊聊iOS下的反调试技术。

2 PT_DENY_ATTACH

      谈到debug,首先会想到的一个系统调用是ptrace,它主要用于实现断点调试和系统调用跟踪。从man ptrace的结果发现一个有趣的参数——PT_DENY_ATTACH:

iOS Anti-Debug-iOS反调试-阿里聚安全


图 1 man ptrace
      PT_DENY_ATTACH是苹果增加的一个ptrace选项,用以防止gdb等调试器依附到某进程。用法如下:
      ptrace(PT_DENY_ATTACH, 0, 0, 0);
      直接上demo:

iOS Anti-Debug-PT_DENY_ATTACH-阿里聚安全 
图 2 ptrace not found
      那么问题就来了,编译报错:'sys/ptrace.h' file not found。iPhone真实环境下,根本就没有抛出sys/ptrace.h。但是幸运的是,我们依然可以使用dlopen和dlsym拿到ptrace。从man dlopen和man dlsym可以发现,当dlopen的path参数传入NULL时,dlopen将返回一个相当于RTLD_DEFAULT的handle;当dlsym接收到一个RTLD_DEFAULT的handle参数时,dlsym将根据载入的顺序搜索除以dlopen(xxx, RTLD_LOCAL)方式载入的所有mach-o文件。

iOS Anti-Debug-Anti-Debug-阿里聚安全 
图 3 man dlopen
iOS Anti-Debug-ipa加固-阿里聚安全 
图 4 man dlsym
      根据以上的信息,反调试方法基本可以完成了,demo主要代码如下:
iOS Anti-Debug-iOS反调试-阿里聚安全 
图 5 Anti debug Demo
      尝试gdb依附会得到一个Segmentation fault错误:
iOS Anti-Debug-PT_DENY_ATTACH-阿里聚安全 
图 6 运行demo
  iOS Anti-Debug-Anti-Debug-阿里聚安全
图 7 gdb依附
      针对这种ptrace的反反调试方法其实很简单,通过修改ptrace的参数或者内存补丁就可以搞定,具体不在此详述。
      另外,在某亿级用户的APP里面发现了相同的反调试方法,伪代码如下:
iOS Anti-Debug-ipa加固-阿里聚安全 

图 8 某APP反调试伪代码
      注意,在dlfcn.h中有如下定义:
      #define RTLD_GLOBAL 0x8
      #define RTLD_NOW 0x2

3 sysctl

      思路是通过sysctl查看信息进程里的标记,判断自己是否正在被调试。sysctl是用以查询内核状态的接口,并允许具备相应权限的进程设置内核状态。其定义如下:
      int sysctl(int *name, u_int namelen, void *old, size_t *oldlen, void *newp, size_t newlen);
      name参数是一个用以指定查询的信息数组;
namelen用以指定name数组的元素个数;
      old是用以函数返回的缓冲区;
      oldlen用以指定oldp缓冲区长度;
      newp和newlen在设置时使用;
      当进程被调试器依附时,kinfo_proc结构下有一个kp_proc结构域,kp_proc的p_flag的被调试标识将被设置,即会进行类似如下的设置:
      kinfo_proc. kp_proc. p_flag & P_TRACED
      其中P_TRACED的定义如下:
      #define P_TRACED        0x00000800  /* Debugged process being traced */
      我们可以通过sysctl查询进程相应的kinfo_proc信息,查询函数的实现可以这样:

iOS Anti-Debug-iOS反调试-阿里聚安全 
图 9 found debugger
      name参数的4个元素表示通过本进程pid查询本进程信息。在主函数中检索is_debugged的返回值,返回为真时,即进程正在被调试,退出进程。测试结果如下:
iOS Anti-Debug-PT_DENY_ATTACH-阿里聚安全 
图 10 gdb依附demo
iOS Anti-Debug-Anti-Debug-阿里聚安全 
图 11 demo发现debugger并退出
      针对sysctl的反反调试的思路其实很简单,只需要在函数返回时清除p_flag标识位即可,根据sysctl.h文件中的定义:
      #define CTL_KERN 1
      #define KERN_PROC 14
      #define KERN_PROC_PID 1
      以及sysctl的第二个参数为4,对sysctl下条件断点,在sysctl返回后,根据反编译二进制文件找到kproc的首地址,接下来找到p_flag相对kproc首地址的偏移,最后修改对应内存地址的值就OK了。

4 iOS Anti-Debug小节

      iOS平台下的Anti-Debug方法相对于Linux下的要少很多,例如fork一个子进程,ptrace父进程进行检测方式不再奏效。而且,要完全防止程序被调试或者被逆向,理论上来说是不可能的。


作者 轩夏


文章标签:
iOS开发
NoSQL
Android开发
Linux
Windows
安全
浪途
目录
相关文章
AokSend接口-API
|
API Python
邮件发送API使用方法?代码应该怎么编辑
邮件发送API简化了编程式邮件发送,如SendGrid、Mailgun、Amazon SES是常见提供商。获取API密钥后,以Python和SendGrid为例,发送邮件涉及设置API密钥、创建客户端、定义邮件内容及发送。运行代码得到发送响应,确保邮件成功发送。AokSend提供高触达、触发式SMTP/API发信服务。集成API能快速高效地在应用中实现邮件功能。
AokSend接口-API
361 2
暮角
|
存储 DataWorks Unix
Dataworks数据集成之“文本数据”
Dataworks不是支持文本数据导入么?为什么Excel数据不能导入?CSV文件不就是Excel文件么?关于这些问题,我整理了一篇文章进行解释。
暮角
1292 2
黑客网络安全
|
Web App开发 安全 iOS开发
TrollStore巨魔商店永久安装APP 可实现IOS应用双开 安装任意APP
TrollStore 是一个永久签名的监禁应用程序,可以永久安装您在其中打开的任何 IPA。
黑客网络安全
14161 0
卡尔特斯
|
数据安全/隐私保护 iOS开发 开发者
iOS 逆向编程(十八)Reveal 详细安装(以及安装问题解决)(上)
iOS 逆向编程(十八)Reveal 详细安装(以及安装问题解决)
卡尔特斯
987 0
九月天空
|
运维 监控 jenkins
Jenkins有哪些优势和劣势
【10月更文挑战第18天】Jenkins有哪些优势和劣势
九月天空
492 2
蚂蚁小黑
|
安全 Java 数据安全/隐私保护
java JDWP调试接口任意命令执行漏洞
java JDWP调试接口任意命令执行漏洞
蚂蚁小黑
853 1
BetterBench
|
机器学习/深度学习 人工智能 数据可视化
【2024美国大学生数学建模竞赛】2024美赛C题网球运动中的势头,网球教练4.0没人比我更懂这个题了!!!
本文是一位自称对网球规则和比赛数据非常熟悉的计算机博士对2024美国大学生数学建模竞赛C题"网球运动中的势头"的全面解析,包括问题分析、数学模型构建、代码实现,以及完整论文的逐步更新过程。
BetterBench
335 1
【2024美国大学生数学建模竞赛】2024美赛C题网球运动中的势头,网球教练4.0没人比我更懂这个题了!!!
weixin_836869520
|
Java 测试技术
Java反射之Method的invoke方法详解
Java反射之Method的invoke方法详解
weixin_836869520
749 1
微wx笑
|
Web App开发 Java 数据库
Java三大器之监听器(Listener)的工作原理和代码演示
    现在来说说Servlet的监听器Listener,它是实现了javax.servlet.ServletContextListener 接口的服务器端程序,它也是随web应用的启动而启动,只初始化一次,随web应用的停止而销毁。
微wx笑
5026 0
sunLand
|
Web App开发 网络协议 算法
HTTP2协议性能测试
sunLand
2003 0

热门文章

最新文章

  • 1
    linux下ffmpeg安装
  • 2
    overleaf 插入图片,引用图片,图标标题Fig与文章引用Figure不一致解决
  • 3
    364 页 PyTorch 版《动手学深度学习》PDF 开源了(全中文,支持 Jupyter 运行)
  • 4
    阿里云上的几种数据备份方式
  • 5
    用深度神经网络修复H漫:看完这篇你就能眼中无码
  • 6
    MySQL · 引擎特性 · 像NOSQL那样使用MySQL
  • 7
    解决GitHub文件无法下载的问题
  • 8
    OpenSearch大模型实践之Havenask篇
  • 9
    SpringBoot整合Java Mail实现Outlook / Office365发送邮件
  • 10
    2019阿里云双11来袭,价格非常重要,但是懂得上云攻略更重要
  • 1
    AI Agent框架
    53
  • 2
    AI Agent:从工具到伙伴的智能进化
    55
  • 3
    计算机网络--TCP和UDP学习
    30
  • 4
    LBA-ECO ND-30 营养分析和气体通量,森林年代序列,巴西帕拉州
    30
  • 5
    2025年测试工程师的核心能力:掌握Dify工作流编排AI测试智能体
    52
  • 6
    有了解过 SpringBoot 的参数配置吗?
    42
  • 7
    分类模型校准:ROC-AUC不够?用ECE/pMAD评估概率质量
    23
  • 8
    把服务器当代码写:IaC 让部署变得又稳又香
    43
  • 9
    SDN 和 NFV:把网络“拆开重做”的底层革命,到底牛在哪?
    40
  • 10
    用数据“掘地三尺”,为零碳排放找出一条最靠谱的路
    31

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云弹性公网IP线路类型【BGP(多线)_精品】是什么意思?