Обнаружение отладчика в Mac OS X

Question

Я пытаюсь определить, выполняется ли мой процесс в отладчике или нет, и хотя в Windows существует много решений, а в Linux я использую:

ptrace(PTRACE_ME,0,0,0) 

и проверить его возвращаемое значение, мне не удалось выполнить ту же базовую проверку на Mac OS X. Я пытался использовать

ptrace(PT_TRACE_ME,0,0,0)

вызов, но он всегда возвращает 0 даже при запуске под GDB.

Если я изменю запрос на PT_DENY_ATTACH, это корректно останавливает отладку, но это не то, чего я хочу достичь. Есть идеи?

Answer 1

Вы можете просто вызвать функцию AmIBeingDebugged() из Технические вопросы и ответы Apple QA1361 , которая воспроизводится здесь, потому что Apple иногда разрывает ссылки на документацию и затрудняет поиск старой документации:

#include <assert.h>
#include <stdbool.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/sysctl.h>

static bool AmIBeingDebugged(void)
    // Returns true if the current process is being debugged (either 
    // running under the debugger or has a debugger attached post facto).
{
    int                 junk;
    int                 mib[4];
    struct kinfo_proc   info;
    size_t              size;

    // Initialize the flags so that, if sysctl fails for some bizarre 
    // reason, we get a predictable result.

    info.kp_proc.p_flag = 0;

    // Initialize mib, which tells sysctl the info we want, in this case
    // we're looking for information about a specific process ID.

    mib[0] = CTL_KERN;
    mib[1] = KERN_PROC;
    mib[2] = KERN_PROC_PID;
    mib[3] = getpid();

    // Call sysctl.

    size = sizeof(info);
    junk = sysctl(mib, sizeof(mib) / sizeof(*mib), &info, &size, NULL, 0);
    assert(junk == 0);

    // We're being debugged if the P_TRACED flag is set.

    return ( (info.kp_proc.p_flag & P_TRACED) != 0 );
}

Answer 2

#include <mach/task.h>
#include <mach/mach_init.h>
#include <stdbool.h>

static bool amIAnInferior(void)
{
    mach_msg_type_number_t count = 0;
    exception_mask_t masks[EXC_TYPES_COUNT];
    mach_port_t ports[EXC_TYPES_COUNT];
    exception_behavior_t behaviors[EXC_TYPES_COUNT];
    thread_state_flavor_t flavors[EXC_TYPES_COUNT];

    exception_mask_t mask = EXC_MASK_ALL & ~(EXC_MASK_RESOURCE | EXC_MASK_GUARD);
    kern_return_t result = task_get_exception_ports(mach_task_self(), mask, masks, &count, ports, behaviors, flavors);
    if (result == KERN_SUCCESS)
    {
        for (mach_msg_type_number_t portIndex = 0; portIndex < count; portIndex++)
        {
            if (MACH_PORT_VALID(ports[portIndex]))
            {
                return true;
            }
        }
    }
    return false;
}

Это выглядит и определяет, есть ли в нашем процессе активный обработчик исключений (для EXC_BREAKPOINT, EXC_BAD_ACCESS и т. Д.). Ptrace не требуется для достижения этого в отладчике, поэтому полагаться на only на устанавливаемый флаг ptrace не совсем идеально.

Этот подход упоминается в http://reverse.put.as/wp-content/uploads/2012/07/Secuinside-2012-Presentation.pdf

Мой пост в блоге описывает это более подробно.