ptrace系统调用

最新推荐文章于 2023-08-31 15:04:53 发布
最新推荐文章于 2023-08-31 15:04:53 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: 软件调试&性能分析 文章标签: system null linux access emacs file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LittleGrizzly/article/details/7552912
版权

ptrace系统调用

1 ptrace系统调用

1.1 说明

实验环境是linux x64,源码适用于linux x32。

1.2 前言

windows平台下提供了一系列调试的API,linux对应的接口就是ptrace。关于系统调用的知识可以看这里:http://zh.wikipedia.org/zh/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8

  1. 在Linux系统中,进程状态除了我们所熟知的TASKRUNNING,TASKINTERRUPTIBLE,TASKSTOPPED等,还有一个TASKTRACED。这表明这个进程处于什么状态?
  2. strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?
  3. gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?

所有这一切的背后都隐藏着Linux所提供的一个强大的系统调用ptrace()。

1.3 ptrace系统调用

ptrace 系统调从名字上看是用于进程跟踪的,它提供了父进程可以观察和控制其子进程执行的能力,并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基 本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,而子进程则会被阻塞,这时子进程的状态就会被 系统标注为TASKTRACED。而父进程收到信号后,就可以对停止下来的子进程进行检查和修改,然后让子进程继续运行。

其原型为,最好参考man手册:

#include <sys/ptrace.h>
/** 
 * process trace
 * 
 * @param request 指示了ptrace要执行的命令
 * @param pid 指示ptrace要跟踪的进程
 * @param addr 指示要监控的内存地址
 * @param data 存放读取出的或者要写入的数据
 * 
 * @return 
 */
long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

有很多软件都是基于它的,比如gdb,strace。

1.4 strace

strace常常被用来拦截和记录进程所执行的系统调用,以及进程所收到的信号。如有这么一段程序:

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char *argv[])
{
   printf( "Hello\n" );
   
   return 0;
}

strace ./a.out

输出如下:

execve("./a.out", ["./a.out"], [/* 40 vars */]) = 0
brk(0)                                  = 0x19d1000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4afc109000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
...

看到了系统调用的系统调用及其返回值。

ptrace的实现原理

#include <stdio.h>
#include <stdlib.h>
#include <sys/ptrace.h>
#include <sys/wait.h>
#include <sys/types.h>
#include <sys/reg.h>
#include <unistd.h>
#include <errno.h>

#if defined(__x86_64__)
#define xxxx ORIG_RAX*8
#else
#define xxxx ORIG_EAX*4
#endif

int main(int argc, char *argv[])
{
   pid_t pid;
   int val;
   long syscallID;
   int flag = 0;
   long returnValue;
   switch(pid = fork())
   {
      case -1:
         return -1;
      case 0:
         //子进程
         ptrace(PTRACE_TRACEME,0,NULL,NULL);
         execl("./a.out", "a.out", NULL);
      default: //父进程
         wait(&val); //等待并记录execve
         if(WIFEXITED(val))
            return 0;
         syscallID=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL);
         if( -1 == syscallID )
         {
            perror( "failure to ptrace\n" );
            exit( -1 );
         }
         printf( "Process executed system call ID = %ld\n",syscallID );
         ptrace(PTRACE_SYSCALL,pid,NULL,NULL);
         while(1)
         {
            wait(&val); //等待信号
            if(WIFEXITED(val)) //判断子进程是否退出
               return 0;
            if(flag==0) //第一次(进入系统调用),获取系统调用的参数
            {
               syscallID=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL);
               printf("Process executed system call ID = %ld",syscallID);
               flag=1;
            }
            else //第二次(退出系统调用),获取系统调用的返回值
            {
               returnValue=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL);
               printf(" with return value= %ld\n", returnValue);
               flag=0;
            }
            ptrace(PTRACE_SYSCALL,pid,NULL,NULL);
         }
   }
   return 0;
}

输出

Process executed system call ID = 59
Process executed system call ID = 12 with return value= 29790208
Process executed system call ID = 21 with return value= -2
Process executed system call ID = 9 with return value= 139683073826816
Process executed system call ID = 21 with return value= -2
Process executed system call ID = 2 with return value= -2
...

其中,59号系统调用就是execve,12号是brk,9是mmap2,21是access,2是open…经过比对可以发现,和strace的 输出结果一样。当然strace进行了更详尽和完善的处理,我们这里只是揭示其原理,感兴趣的同学可以去研究一下strace的实现。(X64和x32系统调用号可能不一样,我的是x64)

1.5 FAQ

  1. 在系统调用执行的时候,会执行pushl %eax # 保存系统调用号ORIGRAX在程序用户栈中。x64和x32的区别可以看这里和sys/reg.h。
  2. 在系统调用返回的时候,会执行movl %eax,RAX(%esp)将系统调用的返回值放入寄存器%eax中。
  3. WIFEXITED()宏用来判断子进程是否为正常退出的,如果是,它会返回一个非零值。
  4. 被跟踪的程序在进入或者退出某次系统调用的时候都会触发一个SIGTRAP信号,而被父进程捕获。(有一次写的程序,strace的时候就被信号中断)
  5. execve()系统调用执行成功的时候并没有返回值,因为它开始执行一段新的程序,并没有"返回"的概念。失败的时候会返回-1。
  6. 在父进程进行进行操作的时候,用ps查看,可以看到子进程的状态为T,表示子进程处于TASKTRACED状态。当然为了更具操作性,你可以在父进程中加入sleep()。

Author: OCaml<camel.flying@gmail.com>

Date: 2012-05-10 10:20:56 CST

HTML generated by org-mode 6.33x in emacs 23

LittleGrizzly
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何利用Ptrace拦截和模拟Linux系统调用
sunshineywz的博客
09-24 554
strace 在开始之前,我们先看一看strace的实现骨架。Ptrace一直都没有相应的使用标准,但在不同的操作系统中它的接口都是类似的,尤其是它的核心功能,但多多少少都会有一些细微的差别。Ptrace(2)的原型类似如下: long ptrace(int request, pid_t pid, void *addr, void *data); pid是tracee的进程ID,一个tracee一...
ptrace 系统调用
tq08g2z的专栏
09-02 536
ptraceLinux 环境下,许许多多分析调试工具,如 strace,ltrace 等,所使用的最核心的系统调用。ptrace,即 process trace,指进程追踪。它能让一个进程控制及影响另一个进程的行为,比如让另外一个进程停止运行,获取另外一个进程内存地址空间中的值,设置另外一个进程内存中的值,获取另外一个进程的寄存器的值,设置另外一个进程的寄存器的值,等等等等。 ptrace 系统调用的 C 库接口原型如下: #include <sys/ptrace.h>
威力巨大的系统调用——ptrace
qiqi_6666的博客
08-30 2055
本文介绍了Linux内核中极为强大的系统调用——ptrace。该系统调用能够为一个进程提供控制另一个进程执行过程的能力。系统调试届最为著名的strace和gdb就是基于ptrace系统调用实现的。完成本文的学习将收获许多与内核相关的知识,还等什么呢?赶快学习起来吧!
系统调用ptrace和进程跟踪
guoguangwu的专栏
01-16 1840
为方便应用软件的开发和调试,从Unix的早期版本开始就提供了一种对运行中的进程进行跟踪和控制的手段,那就是系统调用ptrace。通过ptrace,一个进程可以动态地读写另一个进程的内存和寄存器,包括其指令空间、数据空间、堆栈以及所有的寄存器。与信号机制(以及其他手段) 。。。。。。 ...
letmedebug:禁用ptrace的PT_DENY_ATTACH-修补ptrace系统调用
05-18
"letmedebug: 禁用ptrace的PT_DENY_ATTACH - 修补ptrace系统调用"这个标题涉及到一个特定的安全措施,即对ptrace系统调用的限制。ptrace是一个在Unix-like操作系统中广泛使用的系统调用,它允许一个进程(调试器)...
linux系统调用手册
07-15
Linux系统调用手册】是理解操作系统内核与应用程序交互的关键文档,它包含了所有可以直接从用户空间调用的内核服务。系统调用是操作系统提供给用户态程序访问内核功能的接口,允许用户程序执行如创建进程、读写...
ptrace注入实例
01-01
"ptrace注入"则是利用ptrace系统调用来实现的一种技术,通常用于注入代码到目标进程中,以达到特定的目的,比如安全测试、逆向工程或者恶意软件的实施。 在"ptrace注入实例"中,我们主要探讨以下几个关键知识点: ...
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
08-27
总的来说,理解ptrace系统调用的工作原理及其在iOS环境中的应用,以及如何利用汇编语言进行系统调用,是提升应用安全性的关键步骤。通过熟悉这些技术,开发者可以创建更难被逆向工程破解的安全应用程序。同时,阅读...
ptrace防护.zip
12-28
ptrace的工作原理是,tracer可以通过ptrace系统调用暂停tracee的执行,读取或修改tracee的内存、寄存器状态,甚至拦截和操纵其系统调用。这对于开发者调试程序非常有用,但在越狱环境中,这可能成为攻击者获取敏感...
ptrace的使用
热门推荐
宝剑锋从磨砺出,梅花香自苦寒来!
07-24 1万+
1.     函数使用说明 名字 ptrace – 进程跟踪   形式 #include int ptrace(int request, int pid, int addr, int data);   描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通
如何用ptrace拦截系统调用并替换为自定义代码
fdfasf的博客
11-19 749
如何用ptrace拦截系统调用并替换为自定义代码 tracer能够改变系统调用参数,改变系统调用的返回值,甚至屏蔽特定的系统调用,将特定系统调用替换为自定义的helloworld函数。 ptrace系统调用的拦截替换原理为:利用ptrace函数使父进程跟踪子进程,当子进程在执行系统调用时,断住子进程,获取并保存当前系统调用的寄存器信息。然后备份ip寄存器指向的指令块A,替换为我们要执行的code指令块B,B执行后ip地址值恢复为指令块A及寄存器内容。 下面用例子实现上面的系统调用拦截替换功能。首先我们的目标
Linux ptrace系统调用
最新发布
小立仔
08-31 1525
Linux ptrace系统调用简介
linux系统:ptrace系统调用浅析
09-08 744
目录 1. ptrace 介绍 2.ptrace 的函数详解 3、读取线程寄存器值 1. ptrace 介绍   Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号。当然这里的被追踪的进程不仅仅是仅限于子进程也可以是任意的其它的进程或者线程。 2.p...
ptrace的些许总结
helloworlddm的博客
08-06 1042
所有的操作系统都提供多种服务的入口点,由此程序向内核请求服务,各种版本的 unix 实 现都提供良好定义,数量有限,直接进入内核的入口点,这些入口点被称为系统调用。内核 的接口被称作系统调用。 实际上 Linux 提供了一种优雅的机制来完成这些:ptrace 系统函数。 ptrace 提供了一种使 父进程得以监视和控制其它进程的方式, 它还能够改变子进程中的寄存器和内核映像, 因而 可以
ptrace 调式详解
sdc20102010的博客
02-28 479
request:指定调试的指令,指令的类型很多,如:PTRACE_TRACEME、PTRACE_PEEKUSER、PTRACE_CONT、PTRACE_GETREGS等等,下面会介绍不同指令的作用。下面通过一个简单例子来说明 ptrace() 系统调用的使用,这个例子主要介绍怎么使用 ptrace() 系统调用获取当前被调试(追踪)进程的各个寄存器的值,ptrace() 系统调用Linux 提供的一个调试进程的工具,ptrace() 系统调用非常强大,它提供非常多的调试方式让我们去调试某一个进程,
Linux系统调用--ptrace函数详解
sourthstar的专栏
09-19 2587
http://hi.baidu.com/ordeder/item/77cf1cdc8ca93fe3795daab0 【ptrace系统调用】 功能描述: 提供父进程观察和控制另一个进程执行的机制,同时提供查询和修改另一进程的核心影像与寄存器的能力。主要用于执行断点调试和系统调用跟踪。父进程可通过调用fork,接着指定所产生的子进程的PTRACE_TRACEME行为
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 217
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
利用ptrace进行注入
yldfree的博客
11-07 1460
转载:https://bbs.pediy.com/thread-246948.htm 插入的代码 #include <stdio.h> #include <unistd.h> int main() { __asm__( "jmp forward\n\t" "backword:popq %rsi\n\t" ...
ptrace() 如何调用
06-08
ptrace() 是 Linux 系统提供的一个系统调用,用于监控和控制另一个进程。在 Android 系统中,可以通过 JNI 调用 ptrace() 实现对另一个进程的监控和控制。具体步骤如下: 1. 使用 JNI 在 Java 层调用 Native 方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值