写在前面在打 CTF 或分析恶意样本时经常会遇到一种情况程序直接运行没问题但一旦用 GDB 附加程序就会立刻退出或者打印一句 “Don’t debug me!”。这就是反调试技术。今天我们就来拆解最常见的反调试手段——ptrace检测并给出三种实战绕过方案。 目录核心原理为什么 ptrace 能反调试另一种常见手段检查/proc/self/status绕过实战一LD_PRELOAD 劫持代码层降维打击绕过实战二GDB 脚本拦截调试器层伪造返回绕过实战三直接 Patch 二进制静态修改肉身1. 核心原理为什么 ptrace 能反调试在 Linux 中ptrace是一个强大的系统调用主要用于实现调试器如 GDB。它有一个核心限制一个进程在同一时间只能被一个调试器附加。GDB 调试程序时会调用ptrace(PTRACE_ATTACH, pid)来附加目标进程。黑客发现了这个机制反其道而行之程序启动时自己调用ptrace(PTRACE_TRACEME, 0, 0, 0)尝试附加自己。如果程序没被调试自己附加自己成功返回0。如果程序正在被 GDB 调试因为已经被 GDB 附加了自己再附加自己就会失败返回-1。假设性说明模拟 C 代码目标程序的源码逻辑通常长这样#include sys/ptrace.h #include unistd.h void check_debug() { if (ptrace(PTRACE_TRACEME, 0, 0, 0) -1) { printf(Debugger detected! Exiting...\n); exit(1); } printf(No debugger. Running normally.\n); }2. 另一种常见手段检查/proc/self/status除了直接调用ptrace程序还可以通过读取/proc虚拟文件系统来检测。每个进程在/proc下都有一个status文件。假设性说明模拟 status 文件内容当程序读取自己的/proc/self/status时会查找TracerPid这一行正常运行时TracerPid: 0没有被任何调试器附加被 GDB 附加时TracerPid: 12341234 是 GDB 的进程 PID程序只需读取这一行如果数值不为 0就触发反调试逻辑退出。3. 绕过实战一LD_PRELOAD 劫持代码层降维打击适用场景动态链接的程序且没有对ptrace函数进行符号隐藏。原理利用 Linux 动态链接器的LD_PRELOAD环境变量在程序加载前强制加载我们自定义的动态库。由于我们的库优先级更高程序调用的ptrace会变成我们写的假函数。步骤 1编写假的 ptrace 函数 (fake_ptrace.c)// fake_ptrace.c #include sys/ptrace.h #include stdarg.h long ptrace(int request, pid_t pid, void *addr, void *data) { // 无论程序怎么调用我们都直接返回 0表示成功不执行真正的系统调用 return 0; }步骤 2编译为动态库gcc -shared -fPIC -o fake_ptrace.so fake_ptrace.c步骤 3在 GDB 中使用 LD_PRELOAD 加载目标程序在 GDB 中运行程序时设置环境变量pwndbg set environment LD_PRELOAD./fake_ptrace.so pwndbg run假设性说明模拟终端输出程序会顺利执行打印 “No debugger. Running normally.”。因为我们劫持了函数程序内部的ptrace认为自己附加成功了反调试逻辑被完美绕过。4. 绕过实战二Catcher 拦截调试器层伪造返回适用场景静态链接的程序或者LD_PRELOAD被禁用时。原理既然程序会调用真正的ptrace系统调用并得到-1的返回值那我们就在 GDB 里拦截这个系统调用在它返回前强行把返回值寄存器RAX改成0。在 pwndbg 中这非常简单步骤 1在 GDB 中设置捕获 ptrace 系统调用pwndbg catch syscall ptrace Catchpoint 1 (syscall ptrace [101]) pwndbg run步骤 2程序触发断点程序调用ptrace时会停下。Catchpoint 1 (call to syscall: ptrace), ...步骤 3让程序执行完系统调用然后修改返回值我们需要让程序执行到ptrace系统调用的返回处Exit然后修改RAX。pwndbg finish # 执行到系统调用返回 pwndbg set $rax 0 # 强行把返回值改成 0 pwndbg continue假设性说明此时程序拿到ptrace的返回值0认为没有调试器继续往下执行。虽然步骤多了一点但这种方法无需修改文件非常隐蔽。5. 绕过实战三直接 Patch 二进制静态修改肉身适用场景题目只给了一个二进制文件我们需要永久抹除反调试逻辑。原理用反汇编工具如 Ghidra/IDA 或命令行 objdump找到call ptrace后面的条件跳转指令直接把它改成nop空指令或者修改跳转条件。假设性说明模拟 objdump 查看汇编假设我们用objdump -d vuln看到了这样的片段4011a5: call 401040 ptraceplt 4011aa: cmp eax, 0xffffffff ; 检查返回值是否为 -1 4011af: jne 4011c0 ; 如果不等于 -1跳过退出逻辑 4011b1: mov edi, 0x1 4011b6: call exitplt ; 退出程序 4011c0: mov edi, 0x0Patch 思路既然程序是“如果不等于 -1 就正常跑”我们直接把jne不等则跳改成无条件跳转jmp即可。或者更暴力一点把cmp和jne全都改成nop。使用 pwntools 极简修改二进制文件from pwn import * # 读取原文件 elf ELF(./vuln) # 假设 jne 指令的文件偏移是 0x11af对应的机器码是 0x75 (jne) # 我们将其修改为 0xEB (jmp) elf.write(0x11af, b\xeb) # 保存为新文件 elf.save(./vuln_patched)运行./vuln_patched反调试逻辑形同虚设。6. 结语反调试与反反调试是一场猫鼠游戏。本文介绍的LD_PRELOAD、GDB 系统调用拦截、以及二进制 Patch 是 PWN 手必备的三板斧。遇到反调试不要慌分析清楚它用的是什么手段对症下药即可。下一部分也就是 Week2 的收官之作我们将学习当程序崩溃时如何利用 Core Dump 文件快速定位漏洞位置。如果本文对你有帮助请点赞收藏支持