上一篇文章: "幽径探寻:Dylib动态库注入技巧"
在当今数字化的世界中,安全问题日益突出,特别是在软件开发和应用程序领域。随着技术的不断更新,反调试技术的研究和应用显得尤为重要。
本文将探讨反调试技术。
反调试
- 注入检测
调试检查的方式多样性,通过匹配模块,检测是否有动态库注入.
BOOL checkInject(){
int imageCount = _dyld_image_count();
for(int i = 0; i <imageCount;i++){
const char * image_name = _dyld_get_image_name(i);
printf("%s\n",image_name);
if(strstr(image_name, "DynamicLibraries") || strstr(image_name,"CydiaSubstrate")){
printf("动态库注入!!!%s\n",image_name);
return YES;
}
}
return NO;
}
- 动态 check dylib
+(void)load{
_dyld_register_func_for_add_image(&image_check);
}
static void image_check(const struct mach_header *mh,intptr_t slide){
Dl_info imageInfo;
int result = dladdr(mh,&imageInfo);
if(result == 0){
return;
}
const char *image_name = imageInfo.dli_fname;
if(strstr(image_name, "DynamicLibraries") || strstr(image_name,"CydiaSubstrate")){
printf("动态库注入!!!%s\n",image_name);
}
}
使用_dyld_register_func_for_add_image注册回调后,在任意时刻只要dyli被加载,都会进入此回调.
- 通过URLSchemes检测
通过检测cyida是否在设备安装,可以知道是否越狱,从而进行防护处理
BOOL isJailbreak(){
if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://"] ]){
NSLog(@"cydia");
return YES;
}
return NO;
}
- 加载命令的检测
加载命令检测Mach-O文件的LoadCommand中的LC_LOAD_DYLIB或LC_LOAD_WEAK_DYLIB是否存在异常
static BOOL CheckLoadDylib() {
struct mach_header_64 *header = (struct mach_header_64 *)&_mh_execute_header;
if (header->magic == MH_MAGIC_64) {
struct segment_command_64 *cur_seg_cmd;
uintptr_t cur = (uintptr_t)header + sizeof(struct mach_header_64);
for (uint i = 0; i < header->ncmds; i++,cur += cur_seg_cmd->cmdsize) {
cur_seg_cmd = (struct segment_command_64*)cur;
if(cur_seg_cmd->cmd == LC_LOAD_DYLIB || cur_seg_cmd->cmd == LC_LOAD_WEAK_DYLIB) {
struct dylib_command *dylib = (struct dylib_command*)cur_seg_cmd;
char* name = (char*)((uintptr_t)dylib + dylib->dylib.name.offset);
printf("dylib_name=%s\n", name);
// return YES;
}
}
}
return NO;
}
- 代码检测
通过检测_TEXT,_text是否被修改
static NSString *GetTextSectionHash() {
unsigned long size;
uint8_t *ptr = getsectiondata(&_mh_execute_header, "__TEXT", "__text", &size);
if (!ptr) {
return @"";
}
unsigned char digest[CC_MD5_DIGEST_LENGTH];
CC_MD5(ptr, (CC_LONG)size, digest);
NSMutableString *result = [NSMutableString stringWithCapacity:CC_MD5_DIGEST_LENGTH * 2];
for(int i = 0; i < CC_MD5_DIGEST_LENGTH; i++){
[result appendFormat:@"%02x", digest[I]];
}
return result;
}
通过获取Section的内存地址及大小,经过CC_MD5加密,把hash值保存到服务器或者保存本地,进行校验和匹配.
- 检测签名信息
签名信息检测通过校验LC_CODE_SIGNATURE中信息是否与自己签名信息匹配
static void CheckTeamID(const char *szTeamID) {
struct load_command *lc;
struct mach_header_64 *header = (struct mach_header_64 *)&_mh_execute_header;
if (header->magic == MH_MAGIC_64) {
uintptr_t cur = (uintptr_t)header + sizeof(struct mach_header_64);
for (uint i = 0; i < header->ncmds; i++, cur += lc->cmdsize) {
lc = (struct load_command *)cur;
if (lc->cmd == LC_CODE_SIGNATURE) {
NSLog(@"CMD==LC_CODE_SIGNATURE");
char *codeSignature = (char *)header + ((struct linkedit_data_command *)lc)->dataoff;
int codeSignatureSize = ((struct linkedit_data_command *)lc)->datasize;
void *p = memmem(codeSignature, codeSignatureSize, szTeamID, strlen(szTeamID));
if(!p) {
printf("校验失败\n");
// 退出
}
break;
}
}
}
}
- ptrace
ptrace经常用于防止lldb附加的情况。其原理是一个进程只能被ptrace一次,如果在其他进程调用ptrace之前先调用了ptrace,那么就可以防止其他进程对其进行附加。
ptrace(PT_DENY_ATTACH, 0, 0, 0);
- syscall 执行系统调用
syscall(SYS_ptrace, PT_DENY_ATTACH, 0, 0, 0);
和上面ptrace效果是一样的.
- sysctl 获取进程信息
通过 sysctl 命令可以查询系统的各种信息,包括进程的调试状态。你可以使用 sysctl 的接口来获取当前进程的调试状态标记位,从而确定是否正在被调试。
BOOL antiDbg_sysctl(){
int name[4];
name[0] = CTL_KERN;
name[1] = KERN_PROC;
name[2] = KERN_PROC_PID;
name[3] = getpid();
struct kinfo_proc info;
size_t info_size = sizeof(info);
sysctl(name, 4, &info, &info_size, NULL, 0);
int flag = info.kp_proc.p_flag & P_TRACED;
NSLog(@"--%d--",flag);
return ((info.kp_proc.p_flag & P_TRACED) != 0);
}
以上代码尝试使用sysctl来检测进程的调试状态,但是sysctl本身并不会主动阻止调试,进程仍然可以通过exit来退出。
- 总结
iOS越狱反调试技术是保护应用程序安全的重要手段之一。
通过检测越狱环境及相关文件、检查系统文件完整性、动态检测注入的动态库以及加入异常处理等方式,有效防止了越狱设备上的调试和逆向工程。
反调试代码和工具有很多种,开发者可以通过收集这些工具和了解各种技术手段,来丰富自己的反调试技能,从而有效地保护应用程序免受恶意调试和逆向工程的威胁。
