首页
社区
课程
招聘
[原创]bypass svc 0 PTRACE_TRACEME
发表于: 2016-8-25 15:04 19447

[原创]bypass svc 0 PTRACE_TRACEME

2016-8-25 15:04
19447

最近在研究一个crackme,已经获取到了check的地址,本想IDA附加单步分析,不过它在壳代码里面调用了PTRACE_TRACEME,首先想到的是hook ptrace,过滤掉PTRACE_TRACEME,不过ptrace似乎从来没有调用过,所以判定有可能是svc的方式调用了PTRACE_TRACEME。尝试过IDA单步壳代码,不过花指令太多,始终跟不到目标位置。最后通过ptrace解决:(好吧,对付ptrace还得靠它自己)

首先必须在壳代码运行之前attach,我的方法是注入zygote,然后用PTRACE_O_TRACEFORK,在zygote fork的时候,会自动attach到子进程,然后用PTRACE_GETEVENTMSG获取子进程pid ,最后detach zygote。参考了adbi的hijack里面的代码。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (13)
雪    币: 53
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
很不错,赞一个。
2016-8-25 15:19
0
雪    币: 25
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不错。

您输入的信息太短,您发布的信息至少为 4 个字符。
2016-8-25 18:07
0
雪    币: 88
活跃值: (156)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
顶,这种才是精华级别的
2016-8-25 19:07
0
雪    币: 4761
活跃值: (4184)
能力值: ( LV8,RANK:138 )
在线值:
发帖
回帖
粉丝
6
楼主把apk传上来吧
2016-8-25 22:37
0
雪    币: 130
活跃值: (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
very nice, 思路很好
2016-8-26 09:21
0
雪    币: 3712
活跃值: (1401)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
8
楼主把样本放一下吧
2016-8-26 10:39
0
雪    币: 94
活跃值: (2397)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
感谢分享~!
2016-8-26 11:22
0
雪    币: 35
活跃值: (75)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
已经上传crackme
2016-8-26 12:01
0
雪    币: 191
活跃值: (195)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
谢谢分享,多谢提醒,然怪给ptrace下断点没反应的,原来还可以通过svc我咋就把他给忘记了呢,以前反gdb调试就用的这货,,,不过还可以通过改源码,用更简单的方式解决TracerPid不为0的情况,一劳永逸
2016-8-26 20:27
0
雪    币: 25
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
论一本正经的xxx系列,我只服你。
2016-9-7 15:23
0
雪    币: 46
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
楼主厉害 我们第二波crackme已经准备好 过段时间会放出 最近太忙啦
2016-9-10 11:42
0
雪    币: 5
活跃值: (1045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
当无法解密so,且text地址也被隐藏了,明确知道使用的是SVC调用syscall, 对于SVC如何做到通杀hook呢(有啥方案可以直接hook 系统so呢,做到通杀?)
2021-11-30 15:28
0
游客
登录 | 注册 方可回帖
返回
//