能力值:
( LV3,RANK:20 )
|
-
-
26 楼
关注大佬了
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
珍惜Any
为什么我觉得,你这篇文章在模仿我的
你格局大很多,感谢你
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
|
能力值:
( LV3,RANK:20 )
|
-
-
29 楼
saliey
注册一个sigaction处理逻辑,并使用 sigqueue函数发送信号量
```
#include
#include
#include
#include
void sig ...
你需要先设置一下SECCOMP_RET_TRAP,然后再注册处理器,最后使用sigqueue或者raise发送信号。我的例子与之前的帖子描述唯一不同的就是我的例子里面调用了open去产生的SIGSYS,这两种方法都可以。
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
//检测SECCOMP_RET_TRACE的seccomp filter
127|HWCOL:/data/local/tmp $ ./bpf -a arm64 2.txt
line OP JT JF K
=================================
0000: 0x20 0x00 0x00 0x00000000 ld $data[0]
0001: 0x15 0x00 0x01 0x00000038 jeq openat true:0002 false:0003
0002: 0x06 0x00 0x00 0x7ff00000 ret TRACE(0)
0003: 0x06 0x00 0x00 0x7fff0000 ret ALLOW
{
29: [
30, [31], //检测SECCOMP_RET_TRACE,waitpid拦截到系统调用后,检查寄存器regs->regs[1]路径是否为原路径
34: [35], //通过PTRACE_SYSCALL检测PTRACE
37, //通过SIGSYS信号检测SECCOMP_RET_TRAP
67, //检测su(/system/bin/su、/system/xbin/su、/system/sbin/su、/sbin/su、/vendor/bin/su、/su/bin/su、/odm/bin/su、/vendor/xbin/su)
]
//检测多开(app文件路径)
}
//检测SECCOMP_RET_TRAP的seccomp filter
HWCOL:/data/local/tmp $ ./bpf -a arm64 3.txt
line OP JT JF K
=================================
0000: 0x20 0x00 0x00 0x00000000 ld $data[0]
0001: 0x15 0x00 0x01 0x00000038 jeq openat true:0002 false:0003
0002: 0x06 0x00 0x00 0x00030000 ret TRAP
0003: 0x06 0x00 0x00 0x7fff0000 ret ALLOW 使用proot轻松过
|
能力值:
( LV3,RANK:20 )
|
-
-
31 楼
樊辉
//检测SECCOMP_RET_TRACE的seccomp filter
127|HWCOL:/data/local/tmp $ ./bpf&a ...
最后于 2023-4-29 17:23
被LivedForward编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
就喜欢你四处问,后删帖的感觉,所以删帖的必要在哪?
|
能力值:
( LV3,RANK:20 )
|
-
-
33 楼
老哥,问,别人回答你是情分不回答是本分,而且关键是你跟我之间素不相识,也不是朋友关系。问了,即使我问了别人不回答,我觉得理所当然,这时候需要自己去研究思考。我之前帖子有分析相关的思路和部分代码,你可以自己去看。
最后于 2023-4-29 14:58
被LivedForward编辑
,原因:
|
能力值:
( LV1,RANK:0 )
|
-
-
34 楼
whulzz
这种文章,我不清楚发表在看雪论坛当前板块的意义是什么@LowRebSwrd?另外这些手段我不清楚哪个是真正能打的,基本都是老掉牙的手段。另外RET_TRAP信号量我以为很不错,但是你信号量的注册在容器 ... 非常赞同,个人觉得论坛是个学习的地方,要么就开源代码,或者提供工具,不开源也不提供工具至少提供下检测/破检测的思路,什么都不提供就在那里,天天发布Crackme(感觉就是在打广告,吸引一些安全公司购买其源码),********************
最后于 2023-7-19 14:09
被kanxue编辑
,原因: 请注意语气和用词,人身攻击语句删除
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
大佬,请问你是怎么检测libart.so的修改的,能展开讲讲嘛
|
能力值:
( LV3,RANK:30 )
|
-
-
36 楼
光速虚拟机, Android 7,未检测到 SECCOMP_RET_TRAP
但是 `/proc/pid/status` 中的 `Seccomp` 是 2
|
|
|