Appel système ptrace   
Tip A Friend
Enregistrer au format PDF

sous les systèmes UNIX, un appel système nommé ptrace sert à débogguer les éxécutables (les tracer, les modifier, poser des points d’arrêt, etc..).


par S3cur3D

L’appel ptrace est déclaré dans la librairie système sys/ptrace.h. Ptrace a la particularité qu’il ne peut être utilisé qu’une seule fois sur un même éxécutable en simultané. En fait, ptrace retourne 0 si le lancement a réussi et -1 si il y a déjà un ptrace en cours sur l’éxécutable.

Il paraît donc naturel qu’il suffit d’appeller ptrace dans le programme : s’il réussit, tout est normal, s’il échoue, il y a un débuggage en cours sur l’éxécutable et cela ne présage rien de bon. Démontrons ceci avec le code suivant.

Illustration

Pour changer un peu du C, nous allons nous moderniser et passer au C++. Le programme suivant est un programme bateau (comme tous les programmes de cette section) qui permet une authentification préhistorique :

test.cpp Test de protection par la méthode ptrace

  1.     #include <sys/ptrace.h>
  2.  
  3.     #include <iostream>
  4.         using std::cout;
  5.         using std::cin;
  6.         using std::endl;
  7.     #include <string>
  8.         using std::string;
  9.     #define PASS "4xdfeSDE7"
  10.  
  11.     int main() {
  12.  
  13.         if (ptrace(PTRACE_TRACEME, 0, 1, 0) < 0)      //Si l'appel ptrace retourne une valeur négative, il a échoué => On quitte
  14.         {
  15.             cout << "Tentative de Crack\nAbandon..." << endl;
  16.             return 1; }
  17.  
  18.         string mdp;
  19.  
  20.         cout << "Authentification requise\nMot de passe :\t";
  21.         cin >> mdp;      //Capture clavier
  22.  
  23.         if (mdp == PASS)      //Si la chaîne rentrée au clavier est pareil que la chaîne PASS définie plus tôt
  24.         cout << "Authentification réussie, bienvenue dans la suite du programme" << endl;
  25.  
  26.         else cout << "Echec de l'authentification\nAbandon..." << endl;      //Sinon
  27.  
  28.         return 0;
  29.     }

Télécharger

Le but du programme est assez clair, nous allons maintenant le tester :

   $ g++ test.cpp -o test
   $ ./test
   Authentification requise
   Mot de passe : testdepass
   Echec de l'authentification
   Abandon...
   $ ./test
   Authentification requise
   Mot de passe : 4xdfeSDE7
   Authentification réussie, bienvenue dans la suite du programme
   $ gdb -q test
   Using host libthread_db library "/lib/libthread_db.so.1".
   (gdb) r
   Starting program: /home/SeriousHack/test
   Failed to read a valid object file image from memory.
   Tentative de Crack
   Abandon...

   Program exited with code 01.
   (gdb)

Comme prévu, le deuxième ptrace n’a pas pu se lancer, a renvoyé un code d’erreur et a détecté proprement l’utilisation du debugger. Ceci dit, cette protection est primaire, elle est donc couramment cachée par la technique du faux désassemblage que nous nous proposons d’expliquer maintenant.

Documentations publiées dans cette rubrique