如果程序使用ptrace检测它是否在调试器中运行，我发现了以下技巧：

catch syscall ptrace
commands 1
set ($eax) = 0
continue
end

Catchpoint 1 (call to syscall ptrace), 0x00007ffff778af1e in ptrace (request=PTRACE_TRACEME) at ../sysdeps/unix/sysv/linux/ptrace.c:45
45  ../sysdeps/unix/sysv/linux/ptrace.c: No such file or directory.
eax            0xffffffda   -38

Catchpoint 1 (returned from syscall ptrace), 0x00007ffff778af1e in ptrace (request=PTRACE_TRACEME) at ../sysdeps/unix/sysv/linux/ptrace.c:45
45  in ../sysdeps/unix/sysv/linux/ptrace.c
eax            0xffffffff   -1

ptrace系统调用允许一个进程跟踪另一个进程。我的猜测是您的应用程序（试图检测调试器）产生一个子进程（或线程），然后像调试器一样使用ptrace附加到该子进程。

问题在于，只有一个进程可以跟踪另一个进程，如果第二个进程尝试使用ptrace进行附加，则第二个ptrace将失败，返回-1并将errno设置为EPERM。如果您在调试器下运行，则调试器将首先进入并附带ptrace，因此，当应用程序本身尝试使用ptrace进行附加时，此调用将失败。

因此，在您的示例中，当捕捉点在从syscall ptrace返回时触发时，您可以看到eax设置为-1，这表明syscall失败（寄存器eax将返回值保存在x86-64上）。

现在，如果您要调试的应用程序中的代码不是很好，它只会检查ptrace是否返回成功，然后强制eax的值为0（其中0表示ptrace成功） ）可能足以使应用程序误以为它未在调试器下运行。

显然，有可能在应用程序中编写更复杂的代码，从而更广泛地使用ptrace，这样就很难（尽管并非不可能）解决此检测问题。