背景

可能我的想法是错的，只是来求证一下，看我的思路对不对

用ptrace来做反调试，在Android的反调试里面算比较常见的。然后我又一个想法，是否可以利用frida来主动调用ptrace的PTRACE_DETACH来取消ptrace的附加。

想法证明步骤

应用有三个进程，主进程被其中的一个进程attach上的，以我这个为例(由于是客户的产品，所以此处做了模糊处理):

其中6521这个是主进程，6545这个进程附加了6521。

因为6521这个已经被ptrace附加了，所以用frida去附加会失败。我的想法是能不能附加到6545这个进程，然后对6521这个进程进行detach操作。于是我写了下面这一段脚本。

var ptrace_ptr = Module.getExportByName(null, 'ptrace');
var ptrace = new SystemFunction(ptrace_ptr, 'int', ['int', 'int', 'int', 'int']);

var PTRACE_TRACEME = 0;
var PTRACE_PEEKTEXT = 1;
var PTRACE_PEEKDATA = 2;
var PTRACE_PEEKUSR = 3;
var PTRACE_POKETEXT = 4;
var PTRACE_POKEDATA = 5;
var PTRACE_POKEUSR = 6;
var PTRACE_CONT = 7;
var PTRACE_KILL = 8;
var PTRACE_SINGLESTEP = 9;
var PTRACE_ATTACH = 16;
var PTRACE_DETACH = 17;
var PTRACE_SYSCALL = 24;
var PTRACE_SETOPTIONS = 0x4200;
var PTRACE_GETEVENTMSG = 0x4201;
var PTRACE_GETSIGINFO = 0x4202;
var PTRACE_SETSIGINFO = 0x4203;
var PTRACE_GETREGSET = 0x4204;
var PTRACE_SETREGSET = 0x4205;
var PTRACE_SEIZE = 0x4206;
var PTRACE_INTERRUPT = 0x4207;
var PTRACE_LISTEN = 0x4208;
var PTRACE_PEEKSIGINFO = 0x4209;

console.log("ptrace " + ptrace_ptr);
console.log("run ptrae PTRACE_DETACH");
var ret = ptrace(PTRACE_DETACH, 6521, 0, 0);
console.log("ptrace return value = " + ret.value);
console.log("errno " + ret.errno);

输出的结果如下:

Attaching...
ptrace 0xe7a76e85
run ptrae PTRACE_DETACH
ptrace return value = -1
errno 3
[Remote::PID::6545]->

这个errno为3，这个错误说的是No such process。就是没有这个进程。确实没搞懂为什么会报这个错。当然我的想法不一定正确，只是让各位帮忙分析一下这个思路是否可行。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)