hooking 감지 우회

질문 게시판

1 dkdle1 3 903 2023.03.14 21:33

어플의 metadata 분석용으로 dumper을 하면

hooking 감지로 인하여 dumper가 되지 않습니다.

어플의 API Hooking 감지를 우회하는 방법이 따로 있을까요? 궁금합니다.

3 Comments

3 하리하리 2023.03.24 16:29

/proc/self/status의 TracerPid 값을 체크하거나,
혹은 ptrace로 탐지하고 있을 확률이 높습니다.
ptrace 우회는 간단하게 ptrace의 deny flag를 다른 값으로 바꿔주면 됩니다. ex) 0x1f -> 0xa

1 dkdle1 2023.03.28 08:13

혹시... 어떻게 하는지 자세히 알려주실 수 있나요? 린엔진으로 libc.so hook helper 써서 했는데 이건 안되네요.. 부탁드립니다..!

3 하리하리 2023.03.28 17:00

뭘 덤프하시는건가요?
네이티브쪽이면 아래 소스는 ptrace를 이용한게 아니라 vm_readv 등 함수를 쓰고 있어서 프로세스 어태치 가능할 것 같네요.
https://github.com/kp7742/MemDumper

이전 다음 목록