PTRACE_TRACEME в челлендже не убивается ни патчем, ни LD_PRELOAD — что я упускаю?

[luka_crypto]

Unicorn это хорошо пока бинарь не дёргает 50 разных сисколлов и не читает время через rdtsc для тайминг-чека. Тогда ты неделю пишешь хуки на каждый. Для крякми с HTB патч в радаре проще всего честно.

[jsbyte2560]

В итоге сделал так: открыл в radare2, нашёл все три места (два ptrace через syscall и один open на status), запатчил переходы на безусловные. Флаг выпал. Спасибо, проблема была именно в raw syscall мимо LD_PRELOAD.

[cloudgrid5287]

gg. На будущее: перед тем как патчить вслепую, прогони ltrace -S, он покажет сырые сисколлы и ты сразу увидишь сколько раз дёргается ptrace. Сэкономит полчаса гадания.

[nikita_sql]

Сохранил весь тред, лучше любого туториала по антидебагу честно. Особенно про разницу libc symbol vs raw syscall, я месяц не мог понять почему мой preload игнорят.

[egor9725]

А есть где почитать про этот rdtsc тайминг-чек подробнее? Первый раз слышу что временем можно отладчик палить.

[lev_loop]

Идея простая: меряешь rdtsc до и после куска кода, под отладкой со степпингом разница в тысячи раз больше. Лечится хуком rdtsc или просто не степпишь, а ставишь хардварные брейки и пролетаешь блок целиком.