svc · unix #26
ptrace
Fournit un sous-ensemble minimal de l'interface ptrace(2) classique, utilisé par les débogueurs macOS pour s'attacher, contrôler et se détacher d'un processus cible.
Prototype
int ptrace(int req, pid_t pid, caddr_t addr, int data);Retour: int
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| req | int | - | |
| pid | pid_t | - | |
| addr | caddr_t | - | |
| data | int | - |
Historique des versions
| XNU tag | macOS | # |
|---|---|---|
| xnu-1456.1.26 | macOS 10.6 Snow Leopard | 26 |
| xnu-1699.24.8 | macOS 10.7 Lion | 26 |
| xnu-2050.18.24 | macOS 10.8 Mountain Lion | 26 |
| xnu-2422.115.4 | macOS 10.9 Mavericks | 26 |
| xnu-2782.40.9 | macOS 10.10 Yosemite | 26 |
| xnu-3247.1.106 | macOS 10.11 El Capitan | 26 |
| xnu-3789.1.32 | macOS 10.12 Sierra | 26 |
| xnu-4570.1.46 | macOS 10.13 High Sierra | 26 |
| xnu-4903.221.2 | macOS 10.14 Mojave | 26 |
| xnu-6153.11.26 | macOS 10.15 Catalina | 26 |
| xnu-7195.50.7.100.1 | macOS 11.0 Big Sur | 26 |
| xnu-8019.41.5 | macOS 12.0 Monterey | 26 |
| xnu-8792.41.9 | macOS 13.0 Ventura | 26 |
| xnu-10002.1.13 | macOS 14.0 Sonoma | 26 |
| xnu-11215.1.10 | macOS 15.0 Sequoia | 26 |
| xnu-11417.101.15 | macOS 15.4 Sequoia | 26 |
| xnu-12377.1.9 | macOS 26.0 Tahoe | 26 |
| xnu-10002.41.9 | — | 26 |
| xnu-10002.61.3 | — | 26 |
| xnu-10002.81.5 | — | 26 |
| xnu-10063.101.15 | — | 26 |
| xnu-10063.121.3 | — | 26 |
| xnu-10063.141.1 | — | 26 |
| xnu-11215.41.3 | — | 26 |
| xnu-11215.61.5 | — | 26 |
| xnu-11215.81.4 | — | 26 |
| xnu-11417.121.6 | — | 26 |
| xnu-11417.140.69 | — | 26 |
| xnu-12377.101.15 | — | 26 |
| xnu-12377.41.6 | — | 26 |
| xnu-12377.61.12 | — | 26 |
| xnu-12377.81.4 | — | 26 |
| xnu-1486.2.11 | — | 26 |
| xnu-1504.15.3 | — | 26 |
| xnu-1504.3.12 | — | 26 |
| xnu-1504.7.4 | — | 26 |
| xnu-1504.9.17 | — | 26 |
| xnu-1504.9.26 | — | 26 |
| xnu-1504.9.37 | — | 26 |
| xnu-1699.22.73 | — | 26 |
| xnu-1699.22.81 | — | 26 |
| xnu-1699.24.23 | — | 26 |
| xnu-1699.26.8 | — | 26 |
| xnu-1699.32.7 | — | 26 |
| xnu-2050.22.13 | — | 26 |
| xnu-2050.24.15 | — | 26 |
| xnu-2050.48.11 | — | 26 |
| xnu-2050.7.9 | — | 26 |
| xnu-2050.9.2 | — | 26 |
| xnu-2422.1.72 | — | 26 |
| xnu-2422.100.13 | — | 26 |
| xnu-2422.110.17 | — | 26 |
| xnu-2422.90.20 | — | 26 |
| xnu-2782.1.97 | — | 26 |
| xnu-2782.10.72 | — | 26 |
| xnu-2782.20.48 | — | 26 |
| xnu-2782.30.5 | — | 26 |
| xnu-3247.10.11 | — | 26 |
| xnu-3248.20.55 | — | 26 |
| xnu-3248.30.4 | — | 26 |
| xnu-3248.40.184 | — | 26 |
| xnu-3248.50.21 | — | 26 |
| xnu-3248.60.10 | — | 26 |
| xnu-3789.21.4 | — | 26 |
| xnu-3789.31.2 | — | 26 |
| xnu-3789.41.3 | — | 26 |
| xnu-3789.51.2 | — | 26 |
| xnu-3789.60.24 | — | 26 |
| xnu-3789.70.16 | — | 26 |
| xnu-4570.20.62 | — | 26 |
| xnu-4570.31.3 | — | 26 |
| xnu-4570.41.2 | — | 26 |
| xnu-4570.51.1 | — | 26 |
| xnu-4570.61.1 | — | 26 |
| xnu-4570.71.2 | — | 26 |
| xnu-4903.231.4 | — | 26 |
| xnu-4903.241.1 | — | 26 |
| xnu-4903.270.47 | — | 26 |
| xnu-6153.101.6 | — | 26 |
| xnu-6153.121.1 | — | 26 |
| xnu-6153.141.1 | — | 26 |
| xnu-6153.41.3 | — | 26 |
| xnu-6153.61.1 | — | 26 |
| xnu-6153.81.5 | — | 26 |
| xnu-7195.101.1 | — | 26 |
| xnu-7195.121.3 | — | 26 |
| xnu-7195.141.2 | — | 26 |
| xnu-7195.60.75 | — | 26 |
| xnu-7195.81.3 | — | 26 |
| xnu-8019.61.5 | — | 26 |
| xnu-8019.80.24 | — | 26 |
| xnu-8020.101.4 | — | 26 |
| xnu-8020.121.3 | — | 26 |
| xnu-8020.140.41 | — | 26 |
| xnu-8792.61.2 | — | 26 |
| xnu-8792.81.2 | — | 26 |
| xnu-8796.101.5 | — | 26 |
| xnu-8796.121.2 | — | 26 |
| xnu-8796.141.3 | — | 26 |
Exemples
C — anti-debug PT_DENY_ATTACH
#include <sys/ptrace.h>
// Refuse any future debugger attach to this process.
ptrace(PT_DENY_ATTACH, 0, 0, 0);Notes
macOS n'implémente délibérément qu'une poignée de requêtes ptrace (PT_TRACE_ME, PT_ATTACH/PT_ATTACHEXC, PT_DETACH, PT_CONTINUE, PT_KILL, PT_SIGEXC, PT_DENY_ATTACH). Toute l'inspection réelle des registres, de la mémoire et des threads passe par le port Mach de la tâche obtenu via task_for_pid, pas par ptrace lui-même. PT_DENY_ATTACH est la célèbre requête anti-debug : une fois positionnée, toute tentative d'attachement ultérieure échoue avec EBUSY, ce qui est largement utilisé par les DRM et les binaires packés.
Détection
Endpoint Security expose ES_EVENT_TYPE_NOTIFY_PROC_CHECK et la famille ES_EVENT_TYPE_AUTH_GET_TASK pour la récupération de port qui suit généralement. DTrace peut sonder directement syscall::ptrace:entry pour voir le code de requête et la pid cible.