[原创]通过xnuspy hook 内核ptrace 函数绕过反调试

昨天实践了修改kernproc 结构体绕过反调试.今天突然想到是不是直接内核hook 更方便点儿让我们详细分析 struct ptrace_args 在内存中的布局。在 64 位系统上，考虑到内存对齐和每个成员的大小，下面是详细的内存布局。假设 pid_t 是 4 字节，user_addr_t 是 8 字节。在 64 位系统上，指针类型通常是 8 字节并且需要对齐到 8 字节边界。首先，结构体定义如下：int req:pid_t pid:user_addr_t addr:int data:由于数据对齐要求，编译器可能会在结构体的末尾添加填充以确保结构体大小是对齐的。因此，整个结构体的大小是 24 字节（4 + 4 + 8 + 4 + 4（填充））。这就是 struct ptrace_args 在内存中的布局。完整代码在ptrace_hookint

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-282045.htm

感谢分享

xnuspy 要怎么用？

没看懂，现在不是只HOOK ptrace不行了吗

63byte


xnuspy 要怎么用？[em_16]

可以看看xnuspy 的 readme


最后于 2024-8-27 10:02
被yuzhouheike编辑

，原因：

zhusg


没看懂，现在不是只HOOK ptrace不行了吗

你指的是什么不行?

能出一篇怎么找内核符号偏移的文章吗

阁下不是大佬才不信