Siin on mõned, mida olen näinud või millest olen kuulnud:

• Jaotiste päiste eemaldamine. Lihtne ja täielikult seaduslik tegevus, mis peatab GDB oma jälgedes surnud. Ei tööta mõnede teiste silurite (nt IDA) vastu. Seda saab teha tööriista sstrip abil.

• Funktsiooni syscall või otseste syscallsi juhiste kasutamine konkreetsete funktsioonide nagu ptrace () kutsumise asemel. Saab alistada, määrates katkestuspunkti funktsioonis syscall või lihtsalt failist läbi astudes, kuid see ei pruugi olla ilmne, kui te sellest ei tea.

• Silumisvastaste toimingute tegemine enne main () , nt globaalsete objektide konstruktorites või __attribute __ ((constructor)) abil. Kuna GDB määrab algse murdepunkti tavaliselt main () -is, hoolitseb ta vaikesituatsiooni eest. Lahendus on lihtne: asetage katkestuspunkt faili tegelikule sisestuspunktile ( infofail GDB-s).

• Silumisega seotud signaalide nagu SIGTRAP saatmine ise . (Pange tähele, et seda saab GDB-s handle SIGTRAP nostop -ga ignoreerida.)

• Hargnemine ja jälitamine funktsiooniga ptrace .

• Võltsmurdepunktide sisestamine: int3 / 0xcc sisestamine sunnib siluri nendel baitidel peatuma, kuna neid käsitletakse tarkvara katkestuspunktidena. Kui neid on palju, võib see analüüsi märkimisväärselt aeglustada.

• Murdepunkti tuvastamine: nägin seda tehnikat sellest paberist, saate lisada funktsiooni, mis käivitatakse, kui murdepunkt on sisse lülitatud. See artikkel hõlmab ka mõningaid muid trikke.

Minu arusaam silumisvastasest tehnoloogiast on see, et see on kassi ja hiire (või kassi ja ka kassi) mäng. Tehnika töötab seni, kuni vastaspool saab sellest aru ja siis see enam ei toimi. Ma arvan, et lõppkokkuvõttes on eelis siluri pool. Mõelge dünaamilistele binaarsetele seadmetele või virtuaalsete masinate süsteemidele. DBI või emuleerimise olemasolu saate tuvastada, kui otsite platvormi emuleerimisel pragusid või vigu, kuid need on vaid vead emuleerimise / tõlkimise tarkvaras. Kui teil oli "täiuslik" emuleerimissüsteem, siis ei saanud silutud rakendus teada, et seda jälitati?