在逆向和保护的过程中，总会涉及到反调试和反反调试的问题，这篇文章主要是总结一下几种常见的反调试手段。

当我们上线一个 App，当然是不希望自己的 App 被攻击者研究透彻。虽然说没有绝对的安全，但是我们可以做一些防护措施，增加攻击的成本和难度，延缓攻击者的脚步。

在 iPhone 上运行 App，然后通过 GDB 进行动态调试，是大多数攻击者的首选。

本文主要介绍两种反调试的方法。

ptrace反调试，阻止GDB依附

在Unix 系统中，提供了一个系统调用 ptrace 用于实现断点调试和对进程进行跟踪和控制，而 PT_DENY_ATTACH 是苹果增加的一个 ptrace 选项，这个参数用来告诉系统，阻止调试器依附，用法如下：

//ptrace反调试

#import <dlfcn.h>

#import <sys/types.h>

typedef int (*ptrace_ptr_t)(int _request, pid_t pid, caddr_t _addr, int _data);

#if !defined(PT_DENT_ATTACH)

#define PT_DENT_ATTACH 31

#endif

void disable_gdb() {

    void * handle = dlopen(0, RTLD_GLOBAL|RTLD_NOW);

    ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");

    ptrace_ptr(PT_DENT_ATTACH, 0, 0, 0);

    dlclose(handle);

}

sysctl反调试

当一个进程被调试的时候，该进程会有一个标记来标记自己正在被调试，所以可以通过sysctl去查看当前进程的信息，看有没有这个标记位即可检查当前调试状态。

//sysctl反调试

#import <sys/sysctl.h>

#import <sys/types.h>

#import <unistd.h>

/*

函数的返回值若为0时，证明没有错误，其他数字为错误码。

arg1 传入一个数组，该数组中的第一个元素指定本请求定向到内核的哪个子系统。第二个及其后元素依次细化指定该系统的某个部分。

arg2 数组中的元素数目

arg3 一个结构体，指向一个供内核存放该值的缓冲区，存放进程查询结果

arg4 缓冲区的大小

arg5/arg6 为了设置某个新值，arg5参数指向一个大小为arg6参数值的缓冲区。如果不准备指定一个新值，那么arg5应为一个空指针，arg6因为0.

*/

//int sysctl(int *, u_int, void *, size_t *, void *, size_t);

static bool is_debugger_present(void) {

    int name[4];//存放字节码，查询信息

    struct kinfo_proc info;//接受进程查询结果信息的结构体

    size_t info_size = sizeof(info);//结构体的大小

    info.kp_proc.p_flag = 0;

    name[0] = CTL_KERN;//内核查看

    name[1] = KERN_PROC;//进程查看

    name[2] = KERN_PROC_PID;//进程ID

    name[3] = getpid();//获取pid，据说这个可以直接传0?

    int proc_err = sysctl(name, 4, &info, &info_size, NULL, 0);

    if (proc_err == -1) { //判断是否出现了异常

        exit(-1);

    }

    //info.kp_proc.p_flag中存放的是标志位（二进制），在proc.h文件中有p_flag的宏定义，通过&运算可知对应标志位的值是否为0。（若结果值为0则对应标志位为0）。其中P_TRACED为正在跟踪调试过程。

    return ((info.kp_proc.p_flag & P_TRACED) != 0);

}

syscall

直接调用这个函数:

其中PT_DENT_ATTACH的值为31，直接填31即可。SYS_ptrace的值为26，可以引入<sys/syscall.h>头文件后直接调用宏定义

#import <sys/syscall.h>

syscall(SYS_ptrace,PT_DENT_ATTACH,0,0,0);

为从实现从用户态切换到内核态，系统提供了一个系统调用函数syscall，上面讲到的ptrace也是通过系统调用去实现的。而ptrace的编号为26，也就是SYS_ptrace的值:

26. ptrace               801e812c T

其他函数编号可以在这里Kernel Syscalls查阅，维基百科，需要翻墙。。

但是syscall在iOS10之后废弃了。代替它的函数在<sys/kdebug_signpost.h>里，叫kdebug_signpost()，但是搜遍全网也没找到如何去替代syscall(26,31,0,0,0)。。这里是源代码，希望有大牛可以研究一下。

SIGSTOP(当检测到有断点触发时停止调试)

通过捕获系统SIGSTOP信号来判断。

如果程序没有断点。那这个是没有用的。。

    dispatch_source_t source = dispatch_source_create(DISPATCH_SOURCE_TYPE_SIGNAL, SIGSTOP, 0, dispatch_get_main_queue());

    dispatch_source_set_event_handler(source, ^{

        exit(0);

    });

    dispatch_resume(source);

isatty

isatty方法也可以用来检测是否正在被调试

#import <unistd.h>

if (isatty(1)) {

   exit(0);   

}

但是，上述这些方式只能简单地防止 App 被动态调试，其实 ptrace、sysctl、syscall 等函数本身也可以被静态修改或 Hook。而且即便能有效阻止了调试，App 仍然可以通过 tweak 去 Hook App 内部的方法实现，也可以通过 dylib 注入去修改 App 的功能。

我们只好从多方面考虑，尽可能提高安全性，比如防止 tweak 依附、防止网络请求抓包、对敏感数据进行加解密、代码混淆、检查二进制 binary 签名是否匹配；关键逻辑用更底层的 C 函数实现（虽然 C 函数也是可以被 Hook，例如 Facebook 开源的 fishhook），等等，同时我们也可以检查手机是否已经越狱，并对越狱机做特殊处理。

下面介绍几个比较特殊的写法，其实原理都一样，调用专门的函数去检测，只是调用方法不同：

内联 svc + ptrace 实现和内联 svc + syscall + ptrace 实现

其实这两种方法都等同于直接或间接使用 ptrace, 此时系统调用号是 SYS_ptrace

static __attribute__((always_inline)) void AntiDebugASM() {

#ifdef __arm__

    asm volatile(

                 "mov r0,#31\n"

                 "mov r1,#0\n"

                 "mov r2,#0\n"

                 "mov r12,#26\n"

                 "svc #80\n"

                 );

#endif

#ifdef __arm64__

    asm volatile(

                 "mov x0,#26\n"

                 "mov x1,#31\n"

                 "mov x2,#0\n"

                 "mov x3,#0\n"

                 "mov x16,#0\n"

                 "svc #128\n"

                 );

#endif

}

安全性比较高的防护策略

对于fishhook交换系统函数的进攻方式，我们可以通过将sysctl等函数调用放到动态库中，以保证检测函数可以在进攻注入的代码之前执行。动态库的加载顺序为Build Phases下的Link Binary With Libaraies中的排列顺序。