一 lldb調試原理:debugserver
- xcode的lldb之所以能調試app,是因為手機運行app,lldb會把調試指令發給手機的debugServer; debugServer是由Xcode第一次運行程序給安裝到手機上。
Xcode上查看debugserver:
按住command鍵點擊Xcode,找到xcode.app顯示包內容/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/11.3找到DeveloperDiskImage.dmg 里的usr -> bin -> debugserver
手機的根目錄下的 Developer -> usr -> bin 里能找到debugserver,越獄手機可以查看 - 越獄環境下,lldb連接手機的debugserver,然后就可以通過debugserver調試某個app
- debugserver如何調試app?
debugserver通過ptrace函數調試app
ptrace是系統函數,此函數提供一個進程去監聽和控制另一個進程,并且可以檢測被控制進程的內存和寄存器里面的數據。ptrace可以用來實現斷點調試和系統調用跟蹤。
推薦書單:《程序員的自我修養》
二 利用ptrace防護debugserver
- 把ptrace.h導入工程
ptrace頭文件不能直接導入app工程,可以新建命令行工程,然后#import <sys/ptrace.h>進入到ptrace.h,把內容全部復制到自己工程中新建的header文件MyPtrace.h中,那么自己的工程想調用ptrace就可以導入MyPtrace.h直接進行調用 - ptrace防護
ptrace(<#int _request#>, <#pid_t _pid#>, <#caddr_t _addr#>, <#int _data#>)有四個參數
參數1:要做的事情
參數2:要控制的進程ID
參數3:地址
參數4:數據
參數3和參數4都由 參數1決定 參數1要傳遞的地址和數據
參數1的列表:
#define PT_TRACE_ME 0 /* child declares it's being traced */
#define PT_READ_I 1 /* read word in child's I space */
#define PT_READ_D 2 /* read word in child's D space */
#define PT_READ_U 3 /* read word in child's user structure */
#define PT_WRITE_I 4 /* write word in child's I space */
#define PT_WRITE_D 5 /* write word in child's D space */
#define PT_WRITE_U 6 /* write word in child's user structure */
#define PT_CONTINUE 7 /* continue the child */
#define PT_KILL 8 /* kill the child process */
#define PT_STEP 9 /* single step the child */
#define PT_ATTACH ePtAttachDeprecated /* trace some running process */
#define PT_DETACH 11 /* stop tracing a process */
#define PT_SIGEXC 12 /* signals as exceptions for current_proc */
#define PT_THUPDATE 13 /* signal for thread# */
#define PT_ATTACHEXC 14 /* attach to running process with signal exception */
#define PT_FORCEQUOTA 30 /* Enforce quota for root */
#define PT_DENY_ATTACH 31
#define PT_FIRSTMACH 32 /* for machine-specific requests */
要做到反調試,只需參數1為PT_DENY_ATTACH, 參數2為自己
#import "MyPtrace.h"
//app反調試防護
ptrace(PT_DENY_ATTACH, 0, 0, 0);
這樣你的app就不可以用Xcode調試了
三 反ptrace ,讓別人的ptrace失效
就是如果別人的的app進行了ptrace防護,那么你怎么讓他的ptrace不起作用,進行調試他的app呢?
由于ptrace是系統函數,那么我們可以用fishhook來hook住ptrace函數,然后讓他的app調用我們自己的ptrace函數
- 注入動態庫meryinDylib
- 在meryinDylib中hook住ptrace函數
#import "fishhook.h"
#import "MyPtrace.h"
@implementation meryinDylib
int (*ptrace_p)(int _request, pid_t _pid, caddr_t _addr, int _data);
int myPtrace(int _request, pid_t _pid, caddr_t _addr, int _data){
if (_request != PT_DENY_ATTACH) {
return ptrace_p(_request,_pid,_addr,_data);
}
return 0;
}
+ (void)load
{
struct rebinding ptraceBind;
//函數的名稱
ptraceBind.name = "ptrace";
//新的函數地址
ptraceBind.replacement = myPtrace;
//保存原始函數地址的變量的指針
ptraceBind.replaced = (void *)&ptrace_p;
//定義數組
struct rebinding rebs[] = {ptraceBind};
/*
arg1 : 存放rebinding結構體的數組
arg2 : 數組的長度
*/
rebind_symbols(rebs, 1);
}
四 針對三,要想別人hook自己的app的ptrace失效
思路:別人hook ptrace的時候,自己的ptrace已經調用
想要自己函數調用在最之前:自己寫一個framework庫
在庫中寫入ptrace(PT_DENY_ATTACH, 0, 0, 0);
-
庫加載順序:
自己寫的庫>別人注入的庫
自己的庫加載順序:按照 Link Binary Libraries的順序加載
五 針對四 進行反反調試
就算他的ptrace自己fishhook不到,可以通過修改macho的二進制讓他的ptrace失效,然后進行調試.
- 用MonkeyDev打開,下符號斷點trace,然后lldb調試
bt,找到ptrace的庫antiDebug以及其地址0x0000000102165d98,再image list找到antiDebug的地址0x0000000102160000,那么真實地址為0x5d98; -
然后顯示包內容,在Frameworks中,找到antiDebug庫的macho,用hopper打開,找到0x5d98
- 更改二進制
可以直接在bl __NSlog之后直接函數結束,去除bl __ptrace,不調用ptrace函數
復制ptrace下一條指令0000000000005d94 bl imp___stubs__ptrace,點擊bl __NSlog的下一行然后Alt+a,寫入代碼bl 0x 0000000000005d94
- 導出新的macho
File --> Produce New Executable
然后再運行就可以了
六 針對五 我不想暴露自己的ptrace等系統方法,不想被符號斷點斷住,可以采用匯編進行調用ptrace
//安全防護-反調試
asm(
"mov x0,#31\n"
"mov x1,#0\n"
"mov x2,#0\n"
"mov x3,#0\n"
"mov w16,#26\n" //26是ptrace
"svc #0x80" //0x80觸發中斷去找w16執行
);
- 去哪里找26就是ptrace?
在#import <sys/syscall.h>中有500多個系統函數,都有其編號
