隐藏exit,ptrace etc.

C示例

#include <sys/ptrace.h>

#include <stdio.h>

int main()

{

  int r;

  asm volatile (

    "mov r0, #0\n\t" /* PTRACE_TRACEME */

    "mov r1, #0\n\t"

    "mov r2, #0\n\t"

    "mov r3, #0\n\t"

    "mov r7, #26\n\t"

    "svc #0x00000000\n\t"

    "mov %[result], r0"

    : [result] "=r" (r)

    :

    :

  );

  printf ("Ptrace result : %d\n", r);

  test();

  while (1);

  return 0;

}

void test()

{

  int r = ptrace (PTRACE_TRACEME, 0, 0, 0);

  printf ("ptrace ret : %d\n", r);

}

运行结果

root@hammerhead:/data/local/tmp # ./a.out

Ptrace result : 0       #asm执行成功

ptrace ret : -1         #ptrace失败,因为已经被attach


root@hammerhead:/ # ps |grep a.out

ps |grep a.out

groot      17282 17273 732    72    00000000 000083cc R ./a.out

root@hammerhead:/ # cat /proc/17282/status

cat /proc/17282/status

Name:   a.out

State:  R (running)

Tgid:   17282

Pid:    17282

PPid:   17273

TracerPid:      17273   # PTRACE_TRACEME,被父进程跟踪,17282 <- 17273

Uid:    0       0       0       0

Gid:    0       0       0       0

汇编代码比对

.text:0000838C        EXPORT test

.text:0000838C test

.text:0000838C

.text:0000838C var_8           = -8

.text:0000838C

.text:0000838C        STMFD   SP!, {R11,LR}

.text:00008390        ADD     R11, SP, #4

.text:00008394        SUB     SP, SP, #8

.text:00008398        MOV     R0, #0          ; request

.text:0000839C        MOV     R1, #0

.text:000083A0        MOV     R2, #0

.text:000083A4        MOV     R3, #0

.text:000083A8        BL      ptrace   @ 可进行elf GOT Hook

.text:000083AC        STR     R0, [R11,#var_8]

.text:000083B0        LDR     R3, =(aPtraceRetD - 0x83BC)

.text:000083B4        ADD     R3, PC, R3      ; "ptrace ret : %d\n"

.text:000083B8        MOV     R0, R3          ; format

.text:000083BC        LDR     R1, [R11,#var_8]

.text:000083C0        BL      printf

.text:000083C4        SUB     SP, R11, #4

.text:000083C8        LDMFD   SP!, {R11,PC}

.text:000083C8 ; End of function test

没有ptrace调用, anti - GOT hook

.text:00008344 main         ; DATA XREF: _start+50

.text:00008344              ; .got:main_ptr

.text:00008344

.text:00008344 var_8           = -8

.text:00008344

.text:00008344        STMFD   SP!, {R11,LR}

.text:00008348        ADD     R11, SP, #4

.text:0000834C        SUB     SP, SP, #8

.text:00008350        MOV     R0, #0

.text:00008354        MOV     R1, #0

.text:00008358        MOV     R2, #0

.text:0000835C        MOV     R3, #0

.text:00008360        MOV     R7, #0x1A

.text:00008364        SVC     0       @ 通过svc中断调用,无法Hook

.text:00008368        MOV     R3, R0

.text:0000836C        STR     R3, [R11,#var_8]

.text:00008370        LDR     R3, =(aPtraceResultD - 0x837C)

.text:00008374        ADD     R3, PC, R3   ; "Ptrace result : %d\n"

.text:00008378        MOV     R0, R3     ; format

.text:0000837C        LDR     R1, [R11,#var_8]

.text:00008380        BL      printf

.text:00008384

.text:00008384 loc_8384              ; CODE XREF: main:loc_8384

.text:00008384        B       loc_8384

.text:00008384 ; End of function main

arm svc的更多相关文章

  1. Linux Kernel中断子系统来龙去脉浅析【转】

    转自:http://blog.csdn.net/u011461299/article/details/9772215 版权声明:本文为博主原创文章,未经博主允许不得转载. 一般来说,在一个device ...

  2. Linux最小系统移植之早期打印CONFIG_DEBUG_LL

    一.几个关键宏定义 CONFIG_DEBUG_LL. CONFIG_DEBUG_LL_INCLUDE 容我慢慢道来, 首先要使能早期打印, menuconfig必须选中CONFIG_DEBUG_LL, ...

  3. ARM 中断状态和SVC状态的堆栈切换 (异常)【转】

    转自:http://blog.csdn.net/edwardlulinux/article/details/9261393 版权声明:本文为博主原创文章,未经博主允许不得转载. ARM 中断状态和SV ...

  4. ARM CPU的SVC模式

    关于ARM CPU模式中的SVC Arm中CPU的模式 [第一方面] 系统sys模式 VS 管理svc模式 首先,sys模式和usr模式相比,所用的寄存器组,都是一样的,但是增加了一些访问一些在usr ...

  5. ARM概论(Advanced RISC Machines)

    简介 ARM7是32 位通用微处理器ARM(Advanced RISC Machines)家族中的一员,具有比较低的电源消耗和良好的性价比, 基于(精简指令)RISC结构,指令集和相关的译码机制与微程 ...

  6. arm工作模式笔记

    linux用户态程序即应用程序,在user模式 linux内核运行在svc模式 arm七个模式: usr用户模式 fiq快速中断模式 irq普通中断模式 supervior   svc模式 abort ...

  7. ARM处理器解析

    按图分析: ARM处理器有七种工作模式,为的是形成不同的使用级别,以防造成对系统的破坏.不同模式可以访问的寄存器不同,可以运行的指令不同. (1)user(10000):普通应用程序运行的模式(应用程 ...

  8. 2.2 ARM处理器工作模式

    ARM Architecture Reference Manual Arm 指令框架手册 种工作模式 Processor mode Mode number Description User usr 0 ...

  9. ARM体系结构

    工作模式_ufisaus USR(User) :正常程序的执行状态 FIQ(Fast interrupt) :用于高速数据传输和通道处理 IRQ(Interrupt) :通常的中断处理 SVC(Sup ...

随机推荐

  1. E - Let's Go Rolling!

    题目描述:数轴上有nn个质点,第ii个质点的坐标为xixi,花费为cici,现在要选择其中一些点固定,代价为这些点的花费,固定的点不动,不固定的点会向左移动直至遇到固定的点,代价是这两点的距离,如果左 ...

  2. Farm Irrigation(非常有意思的并查集)

    Farm Irrigation Time Limit : 2000/1000ms (Java/Other)   Memory Limit : 65536/32768K (Java/Other) Tot ...

  3. android 数据库添加字符串 添加失败 解决方案

    这两天遇到一个棘手的问题,在往sqlite数据库中添加数据时,总是添加失败,但是添加数字却可以.原来是添加时,忘记添加''号修饰. 修改前: 修改后: 这样就完美解决.

  4. SpringBoot使用Spring Initializer

    IDE都支持使用Spring的项目创建Spring的项目创建向导,快速创建一个SpringBoot项目:选择我们需要的模块:向导会联网创建SpringBoot项目:默认生成的SpringBoot项目: ...

  5. WinForm之窗体应用程序

    WinForm之窗体应用程序 基本简单数据库操作(增删改查) using System; using System.Collections.Generic; using System.Windows. ...

  6. 转: Linux mount/unmount命令

    https://blog.csdn.net/okhymok/article/details/76616892 楼主具体哪里转的 我不清楚 好像没看到原始出处 开机自动挂载 如果我们想实现开机自动挂载某 ...

  7. etymon word forget acid acrid acri shap acu=sour act out 1

    1● acid   2● sharp 3● acri 4● acrid acu=sour 酸的,尖酸的     1● act = to do drive   行动    

  8. CAD(布置厨洁具)(尺寸标注)5.12

    "TYTK"打开图库,找到平面厨具和洁具.双击选中的厨具,A可以不停旋转90度.给厨具选取正确的位置.画出灶台线,同理画出卫生间的家具.绘制出洗脸台的平台.浴缸的平台. 尺寸标注: ...

  9. sys 模块

    import sys #环境变量 print(sys.path) #查看已经加载的模块 print(sys.modules) #获取终端调用时的参数 print(sys.argv) #获取解释器的版本 ...

  10. mybatis generator工具的使用

    mybatis反转数据库的配置文件: generatorConfig.xml: <?xml version="1.0" encoding="UTF-8"? ...