一、检测调试
当一个应用被调试的时候,会给进程设置一个标识(P_TRACED),我们可以通过检测该进程是否有设置这个标识来检测进程是否正在被调试以保护好我们的应用。
为了让这个函数以inline方式编译,需要设置编译器的优化选项,-0z(函数以inline方式编译),-fast(加快编译速度)。
如果你不确信产生的目标代码以inline的方式编译该函数,你也可以将其转化成宏的方式。
当前该方法只能检测debugger或dtrace的调试,而不能阻止非法代码注入或者cycript依附。
二、阻止调试(阻止GDB依附)
调用ptrace设置参数PT_DENY_ATTACH,如果有调试器依附,则会产生错误并退出。关于PT_DENY_ATTACH的说明如下:
这时再使用gdb attach的话会产生错误:
Segmentation fault: 11
或者使用gdb run该应用也会产生错误:
Program exited with code 055.
当然该方法也会被调试者下断点的方式来动态绕过或者使用IDA等反汇编工具打补丁绕过,所以我们应该在程序的多处地方调用该方式。
网友评论