self-debugging反调试的原理

admin

self-debugging反调试的原理　　当前的进程就是父进程，也就是即将被调试的进程

　　然后通过父进程来fork一个子进程

　　这个子进程实现了调试器的功能：

　　作为调试器的子进程附加父进程：

　　通过子进程调试父进程，进而阻止其他调试器来调试父进程

两个关键点：　　创建子进程的fork函数，子进程通过附加调试父进程；
　　一般的调试器，先要附加要调试程序的进程，获取相关进程的信息，才能进行相应的动态调试；
　　如果由子进程来附加调试父进程，那么其他调试器就不能附加该进程，因为同一时刻，一个进程只能被一个进程附加；
演示self-debugger调试器的反调试流程　　先把这两个文件push到手机目录：data/local/tmp

　　分别给最高权限

　　指令命令：ps | grep com，过滤一下手机中以com开头的进程，选这这个phone结尾的

　　运行debugger,调试这个进程

　　根据上节课知识，如果进程被调试，他的进程pid值会发生变化，
　　执行命令： cat /proc/10529/status

　　这个tracepid的值是22229，这个是什么呢？
　　我们继续执行命令：ps | grep debugger，看一下debugger的进程信息

　　发现有两个，第一个进程22229就是刚才被调试程序的tracepid的值，第二个是系统的，可以不用管；
　　此时就说明debugger调试器附加成功了，既然附加成功，说明这个调试器的实现是没有问题的；
　　我们运行self debugger来测试一下

　　这里有主进程pid和子进程pid

　　我们尝试用debugger附加他的主进程：发现失败

　　这是为什么？因为他的主进程在被子进程调试，此时debuger再去附加，就会报错；前面我们讲过，一个进程只能被一个进程附加

过掉self-debugger反调试　　我们可以附加它的子进程

　　如果有的apk直接用IDA附加调试是附加不上的，如果存在这种情况，有可能会有IDA反调试；
　　解决办法：双开IDA，找到创建进程的位置，直接在Fork函数下断

---