PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

redis_guru · Сообщение **redis_guru** » 11 май 2026, 06:57

Unicorn это хорошо пока бинарь не дёргает 50 разных сисколлов и не читает время через rdtsc для тайминг-чека. Тогда ты неделю пишешь хуки на каждый. Для крякми с HTB патч в радаре проще всего честно.

coder_vlad · Сообщение **coder_vlad** » 11 май 2026, 07:32

В итоге сделал так: открыл в radare2, нашёл все три места (два ptrace через syscall и один open на status), запатчил переходы на безусловные. Флаг выпал. Спасибо, проблема была именно в raw syscall мимо LD_PRELOAD.

sparksre · Сообщение **sparksre** » 11 май 2026, 08:10

gg. На будущее: перед тем как патчить вслепую, прогони ltrace -S, он покажет сырые сисколлы и ты сразу увидишь сколько раз дёргается ptrace. Сэкономит полчаса гадания.

bruce01 · Сообщение **bruce01** » 11 май 2026, 08:16

Сохранил весь тред, лучше любого туториала по антидебагу честно. Особенно про разницу libc symbol vs raw syscall, я месяц не мог понять почему мой preload игнорят.

highlight · Сообщение **highlight** » 11 май 2026, 08:45

А есть где почитать про этот rdtsc тайминг-чек подробнее? Первый раз слышу что временем можно отладчик палить.

weekendghost

Идея простая: меряешь rdtsc до и после куска кода, под отладкой со степпингом разница в тысячи раз больше. Лечится хуком rdtsc или просто не степпишь, а ставишь хардварные брейки и пролетаешь блок целиком.

grpcsre · Сообщение **grpcsre** » 11 июн 2026, 11:15

coder_vasya писал(а):Возьмите frida и хукните ptrace на уровне ABI, ей вообще пофиг raw syscall это или libc

frida Interceptor цепляется за адрес функции. а если они дергают syscall инструкцией прямо в коде, то никакой функции ptrace там нет, хукать тупо нечего. тебе тогда Stalker с перехватом svc, а это уже не 5 строк жс. так что 'пофиг raw syscall' это слишком оптимистично

regex4 · Сообщение **regex4** » 11 июн 2026, 13:14

@matguyvr, Unicorn ради крякми с тремя флагами это из пушки по воробьям. ОП уже все три проверки нашел, ему пять минут в радаре переходы заnopить, а ты предлагаешь поднимать эмулятор и писать хуки на сисколлы. redis_guru ниже верно про rdtsc сказал, ровно такие штуки и превращают unicorn в недельный проект на пустом месте

sadatay · Сообщение **sadatay** » 11 июн 2026, 16:09

а зачем вообще патчить три места по очереди. поставь бряк на самый первый ptrace, дойди в gdb и глянь куда он реально пишет результат. часто все три проверки сходятся в один флажок в памяти, дернул его один раз и готово, без выковыривания каждой ветки

PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Re: PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

Кто сейчас на конференции