ptrace系统调用
Table of Contents
1 ptrace系统调用
1.1 说明
实验环境是linux x64,源码适用于linux x32。
1.2 前言
windows平台下提供了一系列调试的API,linux对应的接口就是ptrace。关于系统调用的知识可以看这里:http://zh.wikipedia.org/zh/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8
- 在Linux系统中,进程状态除了我们所熟知的TASKRUNNING,TASKINTERRUPTIBLE,TASKSTOPPED等,还有一个TASKTRACED。这表明这个进程处于什么状态?
- strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?
- gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?
所有这一切的背后都隐藏着Linux所提供的一个强大的系统调用ptrace()。
1.3 ptrace系统调用
ptrace 系统调从名字上看是用于进程跟踪的,它提供了父进程可以观察和控制其子进程执行的能力,并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基 本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,而子进程则会被阻塞,这时子进程的状态就会被 系统标注为TASKTRACED。而父进程收到信号后,就可以对停止下来的子进程进行检查和修改,然后让子进程继续运行。
其原型为,最好参考man手册:
#include <sys/ptrace.h> /** * process trace * * @param request 指示了ptrace要执行的命令 * @param pid 指示ptrace要跟踪的进程 * @param addr 指示要监控的内存地址 * @param data 存放读取出的或者要写入的数据 * * @return */ long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);
有很多软件都是基于它的,比如gdb,strace。
1.4 strace
strace常常被用来拦截和记录进程所执行的系统调用,以及进程所收到的信号。如有这么一段程序:
#include <stdio.h> #include <stdlib.h> int main(int argc, char *argv[]) { printf( "Hello\n" ); return 0; }
strace ./a.out
输出如下:
execve("./a.out", ["./a.out"], [/* 40 vars */]) = 0 brk(0) = 0x19d1000 access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory) mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4afc109000 access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory) ...
看到了系统调用的系统调用及其返回值。
ptrace的实现原理
#include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> #include <sys/wait.h> #include <sys/types.h> #include <sys/reg.h> #include <unistd.h> #include <errno.h> #if defined(__x86_64__) #define xxxx ORIG_RAX*8 #else #define xxxx ORIG_EAX*4 #endif int main(int argc, char *argv[]) { pid_t pid; int val; long syscallID; int flag = 0; long returnValue; switch(pid = fork()) { case -1: return -1; case 0: //子进程 ptrace(PTRACE_TRACEME,0,NULL,NULL); execl("./a.out", "a.out", NULL); default: //父进程 wait(&val); //等待并记录execve if(WIFEXITED(val)) return 0; syscallID=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL); if( -1 == syscallID ) { perror( "failure to ptrace\n" ); exit( -1 ); } printf( "Process executed system call ID = %ld\n",syscallID ); ptrace(PTRACE_SYSCALL,pid,NULL,NULL); while(1) { wait(&val); //等待信号 if(WIFEXITED(val)) //判断子进程是否退出 return 0; if(flag==0) //第一次(进入系统调用),获取系统调用的参数 { syscallID=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL); printf("Process executed system call ID = %ld",syscallID); flag=1; } else //第二次(退出系统调用),获取系统调用的返回值 { returnValue=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL); printf(" with return value= %ld\n", returnValue); flag=0; } ptrace(PTRACE_SYSCALL,pid,NULL,NULL); } } return 0; }
输出
Process executed system call ID = 59 Process executed system call ID = 12 with return value= 29790208 Process executed system call ID = 21 with return value= -2 Process executed system call ID = 9 with return value= 139683073826816 Process executed system call ID = 21 with return value= -2 Process executed system call ID = 2 with return value= -2 ...
其中,59号系统调用就是execve,12号是brk,9是mmap2,21是access,2是open…经过比对可以发现,和strace的 输出结果一样。当然strace进行了更详尽和完善的处理,我们这里只是揭示其原理,感兴趣的同学可以去研究一下strace的实现。(X64和x32系统调用号可能不一样,我的是x64)
1.5 FAQ
- 在系统调用执行的时候,会执行pushl %eax # 保存系统调用号ORIGRAX在程序用户栈中。x64和x32的区别可以看这里和sys/reg.h。
- 在系统调用返回的时候,会执行movl %eax,RAX(%esp)将系统调用的返回值放入寄存器%eax中。
- WIFEXITED()宏用来判断子进程是否为正常退出的,如果是,它会返回一个非零值。
- 被跟踪的程序在进入或者退出某次系统调用的时候都会触发一个SIGTRAP信号,而被父进程捕获。(有一次写的程序,strace的时候就被信号中断)
- execve()系统调用执行成功的时候并没有返回值,因为它开始执行一段新的程序,并没有"返回"的概念。失败的时候会返回-1。
- 在父进程进行进行操作的时候,用ps查看,可以看到子进程的状态为T,表示子进程处于TASKTRACED状态。当然为了更具操作性,你可以在父进程中加入sleep()。
Date: 2012-05-10 10:20:56 CST
HTML generated by org-mode 6.33x in emacs 23