一切都因WMCTF2023一道Android 游戏题BabyAnti-2而起，预期解为拦截**mincore**调用（**int mincore(void *start, size_t length, unsigned char *vec);**监测指定大小的页面是否处于物理内存中。一般用于内存扫描的检查，一旦扫描行为发生，有些并不在物理内存的页面被调入。vec 是一个字节数组，用于存储结果。每个字节对应 addr 和 length 指定的内存区域中的一个页面。如果相应的页面驻留在内存中，那么相应的字节的最低位会被设置为 1，否则会被设置为 0。），当时非预期了题目，即直接CheatEngine附加游戏题，扫描内存时游戏虽然会监测到并弹窗，但是游戏正常运行，直接能修改分数并且拿到flag。 由于题目中mincore 不止存在直接libc调用，而且存在svc指令的调用，这种svc指令相当于是直接的系统调用，不能被一般的钩子挂住，从而无法监视和修改调用参数返回值。而且题目设计使用申请的内存空间修改为可执行后放置svc指令，一直循环监测。除此之外，题目还是flutter写的，逆向逻辑难上加难。经过大量逆向和调试工作后，利用frida的内存搜索功能匹配svc指令，最终能够拦截并且不被检测到，但是鉴于太复杂，想着有没有什么通用办法，不需要逆程序逻辑就直接拦截svc调用的方法。 于是有了这篇文章，文章总结了各位大佬提出的三种方案（ptrace-seccomp，frida-seccomp以及sigaction-seccomp）并进行了测试。