PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

[maria_sql44]

Сижу над крякми с HTB, классика: ptrace(PTRACE_TRACEME, 0, 0, 0) в начале, если под отладкой — программа кидает мусор вместо флага. Запатчил вызов на NOP в IDA, всё равно ловлю битый вывод. LD_PRELOAD с фейковым ptrace тоже не помог. Где подвох?

[maxim_real]

О, вот это похоже на правду. То есть мой LD_PRELOAD на сам ptrace из glibc не сработает, если они дёргают syscall инструкцией напрямую?

[maria_sql44]

+1 к raw syscall. Сейчас это стандарт в нормальных челленджах, наивный IsDebuggerPresent-аналог давно никого не держит. Загляни ещё в проверку /proc/self/status поле TracerPid — её часто ставят рядом.

[codelinux601]

TracerPid это вообще боль. Под gdb он не ноль, и они это палят простым open+read. Лечится тоже LD_PRELOAD на open/openat и подсовыванием своего файла, но проще пропатчить сравнение.

[daria_ssh]

Проверил — есть и open("/proc/self/status"). Их там целых три уровня защиты, я думал это лёгкий челлендж на 20 очков лол.

[codelinux601]

20 очков и три антидебага это даже мило. В моё время ptrace на самого себя ставили чтобы НИКТО потом не подключился, форк-бомбой self-trace. Подключаешься gdb — а слот уже занят, EPERM в лицо.

[olga_tcp]

Кстати тот самый трюк с self-ptrace через форк до сих пор живой в реальной малвари, не только в CTF. Родитель трейсит ребёнка, ты не можешь влезть ни к одному из них без убийства пары.

[miron_ai]

А почему все мучаются с gdb? Возьмите frida и хукните ptrace на уровне ABI, ей вообще пофиг raw syscall это или libc, она инструментирует по адресу. 5 строк на JS.

[sqlreact9621]

Ну можно Stalker натравить и трейсить блоки, ловить svc/syscall. Но согласен, для одного бинаря оверкилл, проще nop.

[codelinux601]

Самый ленивый путь: запусти под qemu-user в режиме отладки или подними в Unicorn эмуляторе, там никакого реального ptrace для ОС нет, все проверки видят чистую среду. Иногда быстрее чем выковыривать все три флага.