Как заблокировать привязку gdb к многопоточной программе

Question

Я пытаюсь запретить хакеру подключать gdb к процессу и успешно завершил дочерний процесс, который ptrace подключается к родительскому объекту (который затем предотвращает последующее присоединение gdb ptrace) , Проблема решена ...

Однако для многопоточной программы я в тупике. Я мог бы, чтобы ребенок контролировал родителя для новых потоков, а затем прикреплял к ним, когда видел; но, похоже, высокий накладной подход.

Любые идеи?

Answer 1

Проблема решена ...

Вы заблуждается себя, если вы думаете, что только присоединение родителя предотвратит хакер из отладки программы.

Ваша защита будет работать только против наименее изощренных злоумышленников. Более сложный может один:

• убить дочерний процесс и подключить родителей, или
• сборки обычай libc.so, который реализует ptrace который не фактически прикрепить мишень, или
• использование LD_PRELOAD для введите ptrace, который делает то, что он хочет, или
• запускается с настраиваемым ядром, которое позволяет отладчику присоединяться к уже прикрепленному процессу, или
• несколько десятков других способов

Для злоумышленника, который может изменять ядро ​​ОС, очень мало вы можете сделать для защиты своей программы.

Что касается «как прикрепить любую недавно созданную нить», вы можете поймать sys_clone с помощью PTRACE_SYSCALL и немедленно приложить процесс клонирования по возвращении. См. Также PTRACE_O_TRACECLONE в ptrace man page.

Есть ли рекомендации по обеспечению безопасности кода?

This question имеет немало предложений.