隐藏exit,ptrace etc.

C示例

#include <sys/ptrace.h>

#include <stdio.h>

int main()

{

  int r;

  asm volatile (

    "mov r0, #0\n\t" /* PTRACE_TRACEME */

    "mov r1, #0\n\t"

    "mov r2, #0\n\t"

    "mov r3, #0\n\t"

    "mov r7, #26\n\t"

    "svc #0x00000000\n\t"

    "mov %[result], r0"

    : [result] "=r" (r)

    :

    :

  );

  printf ("Ptrace result : %d\n", r);

  test();

  while (1);

  return 0;

}

void test()

{

  int r = ptrace (PTRACE_TRACEME, 0, 0, 0);

  printf ("ptrace ret : %d\n", r);

}

运行结果

root@hammerhead:/data/local/tmp # ./a.out

Ptrace result : 0       #asm执行成功

ptrace ret : -1         #ptrace失败,因为已经被attach


root@hammerhead:/ # ps |grep a.out

ps |grep a.out

groot      17282 17273 732    72    00000000 000083cc R ./a.out

root@hammerhead:/ # cat /proc/17282/status

cat /proc/17282/status

Name:   a.out

State:  R (running)

Tgid:   17282

Pid:    17282

PPid:   17273

TracerPid:      17273   # PTRACE_TRACEME,被父进程跟踪,17282 <- 17273

Uid:    0       0       0       0

Gid:    0       0       0       0

汇编代码比对

.text:0000838C        EXPORT test

.text:0000838C test

.text:0000838C

.text:0000838C var_8           = -8

.text:0000838C

.text:0000838C        STMFD   SP!, {R11,LR}

.text:00008390        ADD     R11, SP, #4

.text:00008394        SUB     SP, SP, #8

.text:00008398        MOV     R0, #0          ; request

.text:0000839C        MOV     R1, #0

.text:000083A0        MOV     R2, #0

.text:000083A4        MOV     R3, #0

.text:000083A8        BL      ptrace   @ 可进行elf GOT Hook

.text:000083AC        STR     R0, [R11,#var_8]

.text:000083B0        LDR     R3, =(aPtraceRetD - 0x83BC)

.text:000083B4        ADD     R3, PC, R3      ; "ptrace ret : %d\n"

.text:000083B8        MOV     R0, R3          ; format

.text:000083BC        LDR     R1, [R11,#var_8]

.text:000083C0        BL      printf

.text:000083C4        SUB     SP, R11, #4

.text:000083C8        LDMFD   SP!, {R11,PC}

.text:000083C8 ; End of function test

没有ptrace调用, anti - GOT hook

.text:00008344 main         ; DATA XREF: _start+50

.text:00008344              ; .got:main_ptr

.text:00008344

.text:00008344 var_8           = -8

.text:00008344

.text:00008344        STMFD   SP!, {R11,LR}

.text:00008348        ADD     R11, SP, #4

.text:0000834C        SUB     SP, SP, #8

.text:00008350        MOV     R0, #0

.text:00008354        MOV     R1, #0

.text:00008358        MOV     R2, #0

.text:0000835C        MOV     R3, #0

.text:00008360        MOV     R7, #0x1A

.text:00008364        SVC     0       @ 通过svc中断调用,无法Hook

.text:00008368        MOV     R3, R0

.text:0000836C        STR     R3, [R11,#var_8]

.text:00008370        LDR     R3, =(aPtraceResultD - 0x837C)

.text:00008374        ADD     R3, PC, R3   ; "Ptrace result : %d\n"

.text:00008378        MOV     R0, R3     ; format

.text:0000837C        LDR     R1, [R11,#var_8]

.text:00008380        BL      printf

.text:00008384

.text:00008384 loc_8384              ; CODE XREF: main:loc_8384

.text:00008384        B       loc_8384

.text:00008384 ; End of function main

arm svc的更多相关文章

  1. Linux Kernel中断子系统来龙去脉浅析【转】

    转自:http://blog.csdn.net/u011461299/article/details/9772215 版权声明:本文为博主原创文章,未经博主允许不得转载. 一般来说,在一个device ...

  2. Linux最小系统移植之早期打印CONFIG_DEBUG_LL

    一.几个关键宏定义 CONFIG_DEBUG_LL. CONFIG_DEBUG_LL_INCLUDE 容我慢慢道来, 首先要使能早期打印, menuconfig必须选中CONFIG_DEBUG_LL, ...

  3. ARM 中断状态和SVC状态的堆栈切换 (异常)【转】

    转自:http://blog.csdn.net/edwardlulinux/article/details/9261393 版权声明:本文为博主原创文章,未经博主允许不得转载. ARM 中断状态和SV ...

  4. ARM CPU的SVC模式

    关于ARM CPU模式中的SVC Arm中CPU的模式 [第一方面] 系统sys模式 VS 管理svc模式 首先,sys模式和usr模式相比,所用的寄存器组,都是一样的,但是增加了一些访问一些在usr ...

  5. ARM概论(Advanced RISC Machines)

    简介 ARM7是32 位通用微处理器ARM(Advanced RISC Machines)家族中的一员,具有比较低的电源消耗和良好的性价比, 基于(精简指令)RISC结构,指令集和相关的译码机制与微程 ...

  6. arm工作模式笔记

    linux用户态程序即应用程序,在user模式 linux内核运行在svc模式 arm七个模式: usr用户模式 fiq快速中断模式 irq普通中断模式 supervior   svc模式 abort ...

  7. ARM处理器解析

    按图分析: ARM处理器有七种工作模式,为的是形成不同的使用级别,以防造成对系统的破坏.不同模式可以访问的寄存器不同,可以运行的指令不同. (1)user(10000):普通应用程序运行的模式(应用程 ...

  8. 2.2 ARM处理器工作模式

    ARM Architecture Reference Manual Arm 指令框架手册 种工作模式 Processor mode Mode number Description User usr 0 ...

  9. ARM体系结构

    工作模式_ufisaus USR(User) :正常程序的执行状态 FIQ(Fast interrupt) :用于高速数据传输和通道处理 IRQ(Interrupt) :通常的中断处理 SVC(Sup ...

随机推荐

  1. 精通Oracle的关键是……(Ask Tom上最经常被问到的问题)(转)

    原文地址:http://www.ituring.com.cn/article/37548 这是我在asktom上最经常收到的问题:我需要怎么做才能变成一个专家呢?关于Oracle,有这样的一个关键事物 ...

  2. C++ string::size_type

    从逻辑上讲,size()成员函数应该似乎返回整型数值,但事实上,size操作返回是string::size_type类型的值.string类类型和其他许多库类型都定义了一些配套类型(companion ...

  3. CentOS下安装MYSQL8.X并设置忽略大小写

    安装 在官网上下载:mysql80-community-release-el7-2.noarch.rpm.安装方式与5.7基本相同.详细安装过程见:CentOS下安装mysql5.7和mysql8.x ...

  4. map的key 为指针

    STL中map的key能否用char *呢?当然可以! 在程序中需要用到一个map,本来是这样写的,map<string, int> mapStr; 为了追求效率,把string改成了ch ...

  5. Android 平台架构

    Android 平台主要组件如下 Linux 内核 Android 平台的基础是 Linux 内核.例如,Android Runtime (ART) 依靠 Linux 内核来执行底层功能,例如线程和低 ...

  6. NTT模板(无讲解)

    #include<bits/stdc++.h>//只是在虚数部分改了一下 using namespace std; typedef long long int ll; ; ; ; ; ll ...

  7. MySQL5.6数据库8小时内无请求自动断开连接

    问题: 最近的项目中,发现Mysql数据库在8个小时内,没有请求时,会自动断开连接,这是MySQL服务器的问题.The last packet successfully received from t ...

  8. 数控AGC实现(转)

    相关链接:    一种混合式高动态范围AGC算法与FPGA实现     http://www.sohu.com/a/221438387_781333 基于FPGA的快速自动增益控制系统设计      ...

  9. Java基础-语法定义

    Java三个体系 Java SE(Java Platform,Standard Edition).Java SE 以前称为 J2SE.它允许开发和部署在桌面.服务器.嵌入式环境和实时环境中使用的 Ja ...

  10. Docker(3):Dockerfile介绍及简单示例

    Dockerfile 概念 Dockerfile是由一系列命令和参数构成的脚本,这些命令应用于基础镜像并最终创建一个新的镜像.它们简化了从头到尾的流程并极大的简化了部署工作.Dockerfile从FR ...