Linux反跟踪技术(迷惑调试器).pdf

Linux反跟踪技术(迷惑调试器) 作者：Silvio Cesare 翻译：王筱[AKA] - Silvio Cesare silvio@.au - .au/~silvio - - January 1999 目录 概述 反汇编失效 侦测断点 设置无效断点 侦测跟踪 概述 这篇文章介绍x86 平台上的反跟踪技术(虽然这些技术不是x86 平台所特有的) 。这一技术可以 迷惑，终止和改变对目标程序的跟踪。这一技术可以用来开发病毒和那些需要被保护的软件。 反汇编失效 这是一流的技术可以使反汇编所列出的代码失效。这是用跳转到指令的中间来做到的。实际代 码的开始点是在指令的中间，但是反汇编是用完整的代码来进行处理，因此后面断续的反汇编就不 能还原真实的代码。 jmp antidebug1 + 2 antidebug1: .short 0xc606 call reloc reloc: popl %esi jmp antidebug2 antidebug2: addl $(data - reloc),%esi movl 0(%esi),%edi pushl %esi jmp *%edi data: .long 0 -- $ objdump -d a.out . . . 8048340: 55 pushl %ebp 8048341: 89 e5 movl %esp,%ebp 8048343: eb 02 jmp 0x8048347 8048345: 06 pushl %es 8048346: c6 e8 00 movb $0x0,%al 8048349: 00 00 addb %al,(%eax) 8048353: 00 8048359: ff 804835a: e7 00 outl %eax,$0x0 804835c: 00 00 addb %al,(%eax) 8048363: 90 8048364: 90 nop . . . 侦测断点 一个断点是用一个 int3 中断例程(0xcc)重写其断点地址来定义的。如果一个程序正被追踪(查看 ptrace man 页)那么一个int3 中断将使其进程停止。这一行为将使其调试父进程取得控制权。继续执 行将进入调试器将原有的中断例程重设后的中断例程。因此侦测一个断点，简单的做法是检查 int3 中断的中断例程。另一种方法是检查代码映像和。如果检查代码映像和失败，则代码已被修改过并 且一个断点可能以被植入其中。 void foo() { printf(Hello\n); } int main() { printf(BREAKPOINT\n); exit(1); } foo(); } -- $ gdb (gdb) file a.out Reading symbols from a