一、前言
上次学习到ptrace反调试,我是将反调试的代码放在主程序的main函数内部,最近学习了一下dyld加载的流程,了解到了main函数之前还发生了非常多的事情,所以感觉反调试代码放在main函数内安全度不够,很容易被hook,因为在main函数之前就有一步是加载依赖库、动态库并链接到主程序,结合之前学习到的动态库注入,思考能否通过注入自己的动态库来hook住ptrace函数进行反反调试。
二、准备反调试应用
这里我使用上次编写的反调试Demo,并且打包成ipa,再用重签名脚本来动态调试该ipa包,如下:
Xcode动态调试
使用Xcode重签名该ipa并且运行调试,可以发现运行后会立即退出并且中断调试。
AntiDebug
上图最后两个app是同一ipa安装的结果,后者是重签名安装的,能够在正常打开运行,但是在Xcode上运行调试就会闪退,确实是达到了反调试(防止他人重签名调试我们的app)的效果。下面我们尝试着动态库注入来hook住ptrace,干掉反调试。
三、反反调试
流程大概分为:
- 重签名ipa
- 动态库编写hook代码
- 注入动态库
重签名跟注入动态库在这里不再赘述,可以查看之前的笔记,我们主要工作是针对ptrace与dlsym进行hook,这里使用的是fishhook,具体如下:
//保存原函数地址
static int (*orig_ptrace)(int , pid_t , caddr_t , int ) = NULL;
static void* (*orig_dlsym)(void * __handle, const char* __symbol);
int my_ptrace(int _request, pid_t _pid, caddr_t _addr, int _data) {
if (_request != PT_DENY_ATTACH) {
return orig_ptrace(_request,_pid,_addr,_data);
}
NSLog(@"源程序做了反调试----已hook!");
return 0;
}
void* my_dlsym(void * __handle, const char* __symbol) {
if (strcmp(__symbol, "ptrace") != 0) {
//如果不是"ptrace"符号
return orig_dlsym(__handle,__symbol);
}
//dlsym调用ptrace,走我们的hook ptrace
return my_ptrace;
}
+ (void)load {
//使用fishhook
struct rebinding ptraceRebind;
//需要hook的函数
ptraceRebind.name = "ptrace";
//传入替换函数地址
ptraceRebind.replacement = my_ptrace;
//保存原函数调用地址
ptraceRebind.replaced = (void *)&orig_ptrace;
struct rebinding dlsym;
dlsym.name = "dlsym";
dlsym.replacement = my_dlsym;
dlsym.replaced = (void *)&orig_dlsym;
//重新绑定符号表
rebind_symbols((struct rebinding[2]){ptraceRebind,dlsym}, 2);
}
先注释掉hook部分的代码,添加符号断点ptrace,运行重签名工程,如下:
先不hook
从下图可以看到,ptrace系统调用被断住,可以知道源程序做了ptrace反调试,这是一种检测方式。
ptrace被断住
接着将hook代码注释去掉,让其绕过反调试的检测
成功反反调试
四、小结
通过上述这种方式的反反调试,一般能绕过写在main函数里面的ptrace,整个流程可以从dyld加载的顺序解释,dyld先加载程序需要的依赖库、动态库,其中包括我们注入的动态库,因此在加载动态库的时候我们的hook方法比程序main函数里的ptrace反调试更早执行,所以能够绕过。但是,如果原应用把ptrace反调试写在动态库里,我们通过这种方式反反调试就会失效,先留个思考点。
