[原创]解决多进程ptrace反调试保护的一种方法-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]解决多进程ptrace反调试保护的一种方法

发表于: 2016-7-11 18:39 21821

[原创]解决多进程ptrace反调试保护的一种方法

王正飞

2016-7-11 18:39

21821

前言：我们经常看到很多加固都采用多进程ptrace的方式来反调试，这里想到一个小技巧绕过这种保护，测试目标是一款娜迦加固的APK，效果如下：

原理：多进程都是通过fork出来的，因此我们修改/bionic/libc/bionic/fork.c里面的fork函数来使得目标进程fork失败，代码如下：

结果：修改fork函数后，目标APK只剩下一个进程了，使用gdb attach正常，效果如下：

结束语：有兴趣的同学可以试试其他的加固系统。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

source.png （24.50kb，52次下载）
single.png （7.52kb，22次下载）
multi.png （7.14kb，25次下载）

收藏・29

免费・3

支持

最新回复 (18)
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 2 楼你的思路很活跃啊！！！ 2016-7-11 19:06 0
guijingwen 雪币： 4037 活跃值： (3575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 94 粉丝 0 关注私信	guijingwen 3 楼系统的其他应用也不能fork成功了吧，如果一个app像360手机卫士这类的，多个进程，应该也会不能工作了吧 2016-7-11 19:59 0
学编程雪币： 163 活跃值： (1538) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 4 楼他这个get_target2函数就是作为过滤条件用的。可以考虑结合注入+HOOK 2016-7-11 23:36 0
学编程雪币： 163 活跃值： (1538) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 5 楼 get_target2过滤用的。 2016-7-11 23:39 0
Dsh骗天雪币： 92 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 1 关注私信	Dsh骗天 6 楼 get_target2 调用的 getpid() 未必是加壳的APK所在进程。任何进程都会在 get_target2 处返回1 2016-7-12 10:06 0
学编程雪币： 163 活跃值： (1538) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 7 楼这个函数的实现，可以按照自己的需要修改的。 2016-7-12 20:48 0
龙飞雪雪币： 552 活跃值： (4042) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	龙飞雪 8 楼楼主，真实无私奉献。 2016-7-12 22:12 0
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 9 楼这不科学啊，我fork失败是不运行的 2016-7-13 00:25 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 10 楼人家的只是例子，你可以自己判断下 2016-7-14 09:48 0
不知世事雪币： 3712 活跃值： (1386) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 11 关注私信	不知世事 1 11 楼大神这种思路挺好，从根本上解决问题 2016-7-14 14:37 0
五鬼星雪币： 48 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 1 关注私信	五鬼星 12 楼如何判断启动的进程是反调试的进程，这是个问题 2016-7-15 09:41 0
无名侠雪币： 6890 活跃值： (8944) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 564 关注私信	无名侠 12 13 楼我的想法是：在fork处下断，修改子进程逻辑为死循环，然后步过fork~ 因为子进程逻辑是死循环，可以用IDA去附加，然后修改回原指令。稍麻烦，但是应该可行。 2016-8-2 01:25 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 14 楼嗯，这样还可以防止加固系统对fork失败的处理 2016-8-3 11:38 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 15 楼 1 2016-8-4 20:26 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 16 楼和穿山甲一样，将部分代码故意制造异常处理由父进程接管异常。你可以扒掉代码，可惜你处理不了异常。而且交互方式有很多种~~这样的加固早就有了，楼主有兴趣可以试试。楼主现在做的crack方法其实就和当年hook来对付反调试一样。只要交互复杂一点就没戏了 2016-8-26 22:01 0
AqCxBoM 雪币： 63 活跃值： (324) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	AqCxBoM 17 楼从源码上解决问题，不错！ 2016-8-29 16:16 0
djcsdjcs 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	djcsdjcs 18 楼为啥我的fori在这个位置，kernel/fork.c /* * Ok, this is the main fork-routine. * * It copies the process, and if successful kick-starts * it and waits for it to finish using the VM if required. / long do_fork(unsigned long clone_flags, unsigned long stack_start, struct pt_regs regs, unsigned long stack_size, int __user parent_tidptr, int __user child_tidptr) 长成这样子 2017-2-11 14:03 0
hmlyn 雪币： 19 活跃值： (594) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 48 粉丝 1 关注私信	hmlyn 19 楼请问 /bionic/libc/bionic/fork.c，在哪里啊？ 2017-3-6 17:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

王正飞

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 2 楼你的思路很活跃啊！！！ 2016-7-11 19:06 0
guijingwen 雪币： 4037 活跃值： (3575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 94 粉丝 0 关注私信	guijingwen 3 楼系统的其他应用也不能fork成功了吧，如果一个app像360手机卫士这类的，多个进程，应该也会不能工作了吧 2016-7-11 19:59 0
学编程雪币： 163 活跃值： (1538) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 4 楼他这个get_target2函数就是作为过滤条件用的。可以考虑结合注入+HOOK 2016-7-11 23:36 0
学编程雪币： 163 活跃值： (1538) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 5 楼 get_target2过滤用的。 2016-7-11 23:39 0
Dsh骗天雪币： 92 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 1 关注私信	Dsh骗天 6 楼 get_target2 调用的 getpid() 未必是加壳的APK所在进程。任何进程都会在 get_target2 处返回1 2016-7-12 10:06 0
学编程雪币： 163 活跃值： (1538) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 7 楼这个函数的实现，可以按照自己的需要修改的。 2016-7-12 20:48 0
龙飞雪雪币： 552 活跃值： (4042) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 204 粉丝 3 关注私信	龙飞雪 8 楼楼主，真实无私奉献。 2016-7-12 22:12 0
jieniruyan 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	jieniruyan 9 楼这不科学啊，我fork失败是不运行的 2016-7-13 00:25 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 10 楼人家的只是例子，你可以自己判断下 2016-7-14 09:48 0
不知世事雪币： 3712 活跃值： (1386) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 11 关注私信	不知世事 1 11 楼大神这种思路挺好，从根本上解决问题 2016-7-14 14:37 0
五鬼星雪币： 48 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 1 关注私信	五鬼星 12 楼如何判断启动的进程是反调试的进程，这是个问题 2016-7-15 09:41 0
无名侠雪币： 6890 活跃值： (8944) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 564 关注私信	无名侠 12 13 楼我的想法是：在fork处下断，修改子进程逻辑为死循环，然后步过fork~ 因为子进程逻辑是死循环，可以用IDA去附加，然后修改回原指令。稍麻烦，但是应该可行。 2016-8-2 01:25 0
王正飞雪币： 398 活跃值： (286) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 42 粉丝 32 关注私信	王正飞 14 楼嗯，这样还可以防止加固系统对fork失败的处理 2016-8-3 11:38 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 15 楼 1 2016-8-4 20:26 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 16 楼和穿山甲一样，将部分代码故意制造异常处理由父进程接管异常。你可以扒掉代码，可惜你处理不了异常。而且交互方式有很多种~~这样的加固早就有了，楼主有兴趣可以试试。楼主现在做的crack方法其实就和当年hook来对付反调试一样。只要交互复杂一点就没戏了 2016-8-26 22:01 0
AqCxBoM 雪币： 63 活跃值： (324) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	AqCxBoM 17 楼从源码上解决问题，不错！ 2016-8-29 16:16 0
djcsdjcs 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	djcsdjcs 18 楼为啥我的fori在这个位置，kernel/fork.c /* * Ok, this is the main fork-routine. * * It copies the process, and if successful kick-starts * it and waits for it to finish using the VM if required. / long do_fork(unsigned long clone_flags, unsigned long stack_start, struct pt_regs regs, unsigned long stack_size, int __user parent_tidptr, int __user child_tidptr) 长成这样子 2017-2-11 14:03 0
hmlyn 雪币： 19 活跃值： (594) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 48 粉丝 1 关注私信	hmlyn 19 楼请问 /bionic/libc/bionic/fork.c，在哪里啊？ 2017-3-6 17:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复