Question

反调试检测是为了应对现在很多破解者使用 IDA 进行动态方式调试 so 文件，从而获取重要的信息，知道 IDA 进行 so 动态调试是基于进程的注入技术，然后使用 Linux 中的 ptrace 机制，进行调试目标进程的附加操作。ptrace 机制有一个特点，如果一个进程被调试了，在它进程的 status 文件中有一个字段 TracerPid 会记录调试者的进程 id 值，如图 8-5 所示。

图 8-5　TracerPid 字段

查看文件：/proc/[myPid]/status，在第六行，有一个 TracerPid 字段，就是记录了调试者的进程 id。那么就可以这么做来达到反调试的功效了：轮询遍历自己进程的 status 文件，然后读取 TracerPid 字段值，如果发现它大于 0，就代表着自己的应用在被人调试，所以就立马退出程序。原理知道了，代码实现也很简单，这里用 pthread 创建一个线程，然后进行轮询操作：

使用 pthread_create 创建一个线程，线程启动之后执行 thread_function 函数：

看看 thread_funcation 函数：

开始轮询，读取 TracerPid 字段的值，发现大于 0，就立马退出程序。运行结果看看，如下所示：

看到了，当使用 IDA 工具进行调试的时候，程序立马退出，IDA 的调试页面也退出了。

但是还是有问题，因为现在破解者们已经免疫了，知道会有这种检测，所以就会用 IDA 工具给 JNI_OnLoad 函数下断点，然后进行调试，找到检测轮询代码，使用 nop 指令，替换检测指令，就相当于把检测代码给注释了。所以知道的人多了，方法就不好用了。