隐藏exit,ptrace etc.

C示例

#include <sys/ptrace.h>

#include <stdio.h>

int main()

{

  int r;

  asm volatile (

    "mov r0, #0\n\t" /* PTRACE_TRACEME */

    "mov r1, #0\n\t"

    "mov r2, #0\n\t"

    "mov r3, #0\n\t"

    "mov r7, #26\n\t"

    "svc #0x00000000\n\t"

    "mov %[result], r0"

    : [result] "=r" (r)

    :

    :

  );

  printf ("Ptrace result : %d\n", r);

  test();

  while (1);

  return 0;

}

void test()

{

  int r = ptrace (PTRACE_TRACEME, 0, 0, 0);

  printf ("ptrace ret : %d\n", r);

}

运行结果

root@hammerhead:/data/local/tmp # ./a.out

Ptrace result : 0       #asm执行成功

ptrace ret : -1         #ptrace失败,因为已经被attach


root@hammerhead:/ # ps |grep a.out

ps |grep a.out

groot      17282 17273 732    72    00000000 000083cc R ./a.out

root@hammerhead:/ # cat /proc/17282/status

cat /proc/17282/status

Name:   a.out

State:  R (running)

Tgid:   17282

Pid:    17282

PPid:   17273

TracerPid:      17273   # PTRACE_TRACEME,被父进程跟踪,17282 <- 17273

Uid:    0       0       0       0

Gid:    0       0       0       0

汇编代码比对

.text:0000838C        EXPORT test

.text:0000838C test

.text:0000838C

.text:0000838C var_8           = -8

.text:0000838C

.text:0000838C        STMFD   SP!, {R11,LR}

.text:00008390        ADD     R11, SP, #4

.text:00008394        SUB     SP, SP, #8

.text:00008398        MOV     R0, #0          ; request

.text:0000839C        MOV     R1, #0

.text:000083A0        MOV     R2, #0

.text:000083A4        MOV     R3, #0

.text:000083A8        BL      ptrace   @ 可进行elf GOT Hook

.text:000083AC        STR     R0, [R11,#var_8]

.text:000083B0        LDR     R3, =(aPtraceRetD - 0x83BC)

.text:000083B4        ADD     R3, PC, R3      ; "ptrace ret : %d\n"

.text:000083B8        MOV     R0, R3          ; format

.text:000083BC        LDR     R1, [R11,#var_8]

.text:000083C0        BL      printf

.text:000083C4        SUB     SP, R11, #4

.text:000083C8        LDMFD   SP!, {R11,PC}

.text:000083C8 ; End of function test

没有ptrace调用, anti - GOT hook

.text:00008344 main         ; DATA XREF: _start+50

.text:00008344              ; .got:main_ptr

.text:00008344

.text:00008344 var_8           = -8

.text:00008344

.text:00008344        STMFD   SP!, {R11,LR}

.text:00008348        ADD     R11, SP, #4

.text:0000834C        SUB     SP, SP, #8

.text:00008350        MOV     R0, #0

.text:00008354        MOV     R1, #0

.text:00008358        MOV     R2, #0

.text:0000835C        MOV     R3, #0

.text:00008360        MOV     R7, #0x1A

.text:00008364        SVC     0       @ 通过svc中断调用,无法Hook

.text:00008368        MOV     R3, R0

.text:0000836C        STR     R3, [R11,#var_8]

.text:00008370        LDR     R3, =(aPtraceResultD - 0x837C)

.text:00008374        ADD     R3, PC, R3   ; "Ptrace result : %d\n"

.text:00008378        MOV     R0, R3     ; format

.text:0000837C        LDR     R1, [R11,#var_8]

.text:00008380        BL      printf

.text:00008384

.text:00008384 loc_8384              ; CODE XREF: main:loc_8384

.text:00008384        B       loc_8384

.text:00008384 ; End of function main

arm svc的更多相关文章

  1. Linux Kernel中断子系统来龙去脉浅析【转】

    转自:http://blog.csdn.net/u011461299/article/details/9772215 版权声明:本文为博主原创文章,未经博主允许不得转载. 一般来说,在一个device ...

  2. Linux最小系统移植之早期打印CONFIG_DEBUG_LL

    一.几个关键宏定义 CONFIG_DEBUG_LL. CONFIG_DEBUG_LL_INCLUDE 容我慢慢道来, 首先要使能早期打印, menuconfig必须选中CONFIG_DEBUG_LL, ...

  3. ARM 中断状态和SVC状态的堆栈切换 (异常)【转】

    转自:http://blog.csdn.net/edwardlulinux/article/details/9261393 版权声明:本文为博主原创文章,未经博主允许不得转载. ARM 中断状态和SV ...

  4. ARM CPU的SVC模式

    关于ARM CPU模式中的SVC Arm中CPU的模式 [第一方面] 系统sys模式 VS 管理svc模式 首先,sys模式和usr模式相比,所用的寄存器组,都是一样的,但是增加了一些访问一些在usr ...

  5. ARM概论(Advanced RISC Machines)

    简介 ARM7是32 位通用微处理器ARM(Advanced RISC Machines)家族中的一员,具有比较低的电源消耗和良好的性价比, 基于(精简指令)RISC结构,指令集和相关的译码机制与微程 ...

  6. arm工作模式笔记

    linux用户态程序即应用程序,在user模式 linux内核运行在svc模式 arm七个模式: usr用户模式 fiq快速中断模式 irq普通中断模式 supervior   svc模式 abort ...

  7. ARM处理器解析

    按图分析: ARM处理器有七种工作模式,为的是形成不同的使用级别,以防造成对系统的破坏.不同模式可以访问的寄存器不同,可以运行的指令不同. (1)user(10000):普通应用程序运行的模式(应用程 ...

  8. 2.2 ARM处理器工作模式

    ARM Architecture Reference Manual Arm 指令框架手册 种工作模式 Processor mode Mode number Description User usr 0 ...

  9. ARM体系结构

    工作模式_ufisaus USR(User) :正常程序的执行状态 FIQ(Fast interrupt) :用于高速数据传输和通道处理 IRQ(Interrupt) :通常的中断处理 SVC(Sup ...

随机推荐

  1. python中类的概念

    在Python中,所有数据类型都可以视为对象,也可以自定义对象.自定义的对象即面向对象中的类(Class)的概念. class Student(object): def __init__(self, ...

  2. py-faster R-CNN 用于训练自己的数据(1)

    官方给出的faster R-CNN的源码python版:https://github.com/rbgirshick/py-faster-rcnn 先来分析一下 整个文件,根目录下的文件 caffe-f ...

  3. cogs448

    ☆   输入文件:1.in   输出文件:1.out   简单对比时间限制:1 s   内存限制:128 MB [题目描述] 在某次膜拜大会上,一些神牛被要求集体膜拜.这些神牛被奖励每人吃一些神牛果. ...

  4. Linux tar压缩命令 排除某个目录 (根据man tar 总结)

    一般直接用tar命令打包很简单,直接使用 tar -zcvf test.tar.gz test 即可. 在很多时候,我们要对某一个目录打包,而这个目录下有几十个子目录和子文件,我们需要在打包的时候排除 ...

  5. Qt 设置窗口居中显示和窗体大小

    设置窗口居中显示 方法一:在窗口(QWidget类及派生类)的构造函数中添加如下代码: #include <QDesktopWidget> //....... QDesktopWidget ...

  6. 码云git使用一(上传本地项目到码云git服务器上)

    主要讲下如果将项目部署到码云git服务器上,然后使用studio导入git项目,修改本地代码后,并同步到码云git上面. 首先:我们在码云上注册账号并登陆.官网(https://git.oschina ...

  7. 微信支付 php兼容问题

    总结: php7 已删除 HTTP_RAW_POST_DATA  获取时需要file_get_contents("php://input"); 下面的是兼容方法. //存储微信的回 ...

  8. Redis在CentOS7中的启动警告

    CentOS7安装Redis,启动时会出现如下图3个警告. 问题1:WARNING: The TCP backlog setting of 511 cannot be enforced because ...

  9. mac navicate 2013 - Lost connection to MySQL server at 'reading initial communication packet

    mac 本地mysql用navicate打开表时遇到如下错误: 2013 - Lost connection to MySQL server at 'reading initial communica ...

  10. 怎么样才是设计功能函数的好思路(javascript)?

    在js里面,对于函数的调用,实际上也是也是面向对象的思路,于是写好js函数,也是考核面向对象设计的能力,同时也必须考虑到如何实现高内聚和低耦合,拿一个例子来说,现在的需求是这样的,实现个投资进度框,就 ...