Unix平台上的反调试技术？

#1 楼

这是我见过或听说过的一些内容：


剥离段标题。一个简单而完全合法的行动，可以阻止GDB陷入困境。对其他某些调试器（例如IDA）不起作用。可以使用sstrip工具完成。
使用syscall函数或直接执行系统调用指令，而不是调用诸如ptrace()之类的特定函数。可以通过在syscall函数上设置断点或单步执行该文件来克服它，但是如果您不了解它，可能不会很明显。
在main()之前执行反调试操作，例如在全局对象的构造函数中或使用__attribute__((constructor))。由于GDB通常在main()中设置初始断点，因此它可以处理默认情况。解决方法很简单：将断点放在实际文件的入口点（GDB中的info file）。
发送自身与调试相关的信号，例如SIGTRAP。 （请注意，使用GDB中的handle SIGTRAP nostop可以忽略此操作。）
使用ptrace进行分叉和跟踪。
假断点插入：插入int3 / 0xcc将强制调试器在这些字节上停止，因为它们将被处理作为软件断点。如果它们很多，可能会大大降低分析速度。
断点检测：我在本文中看到了此技术，您可以附加一个函数，该函数将在断点被包围时触发。本文还介绍了其他一些技巧。

#2 楼

我对反调试技术的理解是，它是猫和老鼠（或猫又是猫）的游戏。直到对立的一面理解该技术后，该技术才失效。我认为最终的优势在于调试器方面。考虑动态二进制工具或虚拟机系统。您可以通过查找平台仿真中的裂缝或故障来检测DBI或仿真的存在，但是这些仅仅是仿真/翻译软件中的错误。如果您拥有“完美”的仿真系统，那么调试后的应用程序将无法知道它是否已被跟踪？

所以，我认为您能做的最好的事情就是容易解决的小事情。我记得，Shiva系统仍然代表在Unix平台上进行调试的“好”保护，因为它解密了自己的一小部分以按需运行，然后重新加密它们，正如我记得。

#3 楼

这些都不是，不要尝试去做数学上不可能的事情。被了解。所以，我
想知道是否有更强大的工具。

是的，因为无法检测到无法伪造的调试器。
软件无法检测到它是否在运行在完美的模拟或现实世界中。可以停止模拟器，可以分析软件，可以更改变量，基本上可以完成调试器中可以完成的所有操作。
说您要检测父进程是否是调试器。因此，您进行系统调用以获取父PID？调试器可以拦截系统调用并返回任何非必须为真实PID的PID。您想拦截每个SIGTRAP，以便调试器不能再使用它了吗？好了，调试器可以在这种情况下停止并将SIGTRAP也发送到您的进程。您想测量发送SIGTRAP的时间，以了解调试器是否在短时间内停止了发送SIGTRAP的过程，以便您知道何时有调试器？调试器可以替换您的调用以获取时间并返回假时间。假设您在具有返回时间的指令的处理器上运行，因此不需要任何函数调用即可获取时间。现在您可以知道自己获得的时间是真实的吗？不，调试器可以用SIGTRAP指令替换该指令，并在需要时返回，或者在不存在该指令的情况下，可以在可以用任何方式编程的仿真器中运行软件。您可以用来检测调试器或仿真器的所有东西都可能被环境伪造，并且您需要进行0次更改来检测它。
停止调试的唯一方法是不将软件提供给客户，而是将其掌握在您手中。进行云服务并在服务器上运行该软件。在这种情况下，客户无法调试您的程序，因为他没有运行该程序并且无法控制它。除了客户可以以某种方式访问​​服务器或数据，但这是另一回事。