通过ptrace跟踪进程

最新推荐文章于 2023-01-30 13:32:38 发布
最新推荐文章于 2023-01-30 13:32:38 发布
阅读量848 收藏 8
点赞数 1
分类专栏: linux安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bunner_/article/details/117774872
版权

项目地址

https://gitee.com/bunner/linux-binary-analysis

1. 任务环境与目标

1.1 实验机器

Ubuntu 20.04 64位

1.2 任务目标

给定一个可执行文件,该程序调用两次print_string函数,分别输出Hello 1Hello 2,要求在print_string处下断点,并输出该处时的各寄存器值

2. 原理

2.1 ptrace

ptrace的函数原型为:long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

那么有关本任务中涉及到的一些request类型的介绍如下:

  • PTRACE_TRACEME

    创建子进程后,子进程使用该参数调用ptrace,表示子进程要求父进程对其进行跟踪。该进程之后所有对exec()的系统调用都会产生一个SIGTRAP信号发送给父进程,这使得父进程有机会在新程序还是执行前获取对子进程的控制权

    ptrace(PTRACE_TRACEME, pid, NULL, NULL);

  • PTRACE_PEEKTEXT

    从指定内存地址中读取数据,按照官方文档是返回一个字的数据,根据源码可以看到是传入了sizeof(unsigned long)

    ret = ptrace(PTRACE_PEEKTEXT, pid, addr, NULL);

  • PTRACE_POKETEXT

    修改子进程指定内存地址处的数据

    ptrace(PTRACE_POKETEXT, pid, addr, data);

  • PTRACE_CONT

    重启已终止的子进程使其继续执行

    ptrace(PTRACE_CONT, pid, NULL, NULL);

  • PTRACE_GETREGS

    获取子进程的寄存器数据

    ptrace(PTRACE_GETREGS, pid, NULL, &pt_regs);

  • PTRACE_SETREGS

    设置子进程的寄存器值

    ptrace(PTRACE_SETREGS, pid, NULL, &pt_regs);

  • PTRACE_SINGLESTEP

    设置子进程执行一条指令后切换到终止状态,将控制权交给父进程

    ptrace(PTRACE_SINGLESTEP, pid, NULL, NULL);

2.2 wait

父进程跟踪子进程时,自己使用wait等待子进程的信号

  • wait(int *statloc)

    子进程切换到终止状态后,

    • statloc不为空,则进程的终止状态就存放在statloc指向的单元中
    • statloc为空,则说明父进程不关心子进程的终止状态

    statloc中有一些位表示退出状态,还有四个互斥的宏来取得进程终止的原因

2.3 四个互斥宏

  • WIFEXITED(status)

    判断子进程是否为正常终止,若是,则为真

  • WIFSIGNALED(status)

    判断子进程是否为异常终止,若是,则为真

    对于这种情况,可使用WTERMSIG(status)取得子进程终止的信号编号

  • WIFSTOPPED(status)

    若子进程是暂停运行,则为真

    对于这种情况,可以使用WSTOPSIG(status)取得使得子进程暂停的信号编号

  • WIFCONTINUED(status)

    若进程暂停后继续运行,则为真

3. 实现

3.1 程序流程

  • step1: 映射可执行文件到内存空间,获取ELF可执行文件的文件头、段表、节表信息
  • step2: 通过指定符号名去找符号在可执行文件中的地址
  • step3: fork子进程,并跟踪子进程,子进程执行该可执行文件
  • step4: 父进程等待子进程execve,并获得子进程的控制权
  • step5: 父进程获取子进程的目标符号地址的数据并保存下来,
  • step6: 向目标符号地址处写入0xcc,设下断点,再使子进程继续执行
  • step7: 子进程进入断点,父进程收到信号后获取寄存器数据并打印
  • step8: 父进程还原子进程目标符号地址处的数据,并使指令指针重新指向该处(减1)
  • step9: 父进程使子进程单步执行
  • step10: 继续从step6执行

3.2 代码实现

  • tracer.c
$ gcc tracer.c -o tracer

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <errno.h>
#include <signal.h>
#include <elf.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/user.h>
#include <sys/ptrace.h>
#include <sys/stat.h>

typedef struct handle {
   
    Elf64_Ehdr *ehdr;
    Elf64_Phdr *phdr;
    Elf64_Shdr *shdr;
    uint8_t *mem;
    char *symname;
    Elf64_Addr symaddr;
    struct user_regs_struct pt_reg;
    char *exec;
} handle_t;

/**
 * @brief 根据符号名查找符号地址 
*/
Elf64_Addr lookup_symbol(handle_t *h, const char *symname) {
   
    int i, j, NumOfSym;
    char *strtab;
    Elf64_Sym *symtab;
    
    for (i = 0; i < h->ehdr->e_shnum; i++) {
   
        /* 找 ./symtab 节,该节保存了符号信息,每一个符号项为Elf64_Sym */
        if (h->shdr[i].sh_type == SHT_SYMTAB) {
   
            /* 类型为SHT_SYMTAB的节,其sh_link为字符串表所在节表中的下标 */
            /* 因此h->shdr[i].sh_link为字符串表下标 */
            strtab = (char *) (h->mem + h->shdr[h->shdr[i].sh_link].sh_offset);
            
            /* 此段代码为测试分析,输出字符串表中可视字符 */
            // printf("0x%x\n", h->shdr[29].sh_offset);
            // for (j = 0; j < h->shdr[29].sh_size; j++) {
   
            //     if (strtab[j] >= 0x20 && strtab[j] <= 0x7e) {
   
            //         printf("%c", strtab[j]);
            //     }
最低0.47元/天 解锁文章
bunner_
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
系统调用捕获和分析—通过ptrace获取系统调用信息
H4ppyD0g的博客
05-31 568
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注! 文章目录ptrace系统调用利用ptrace获取进程的系统调用 ptrace系统调用 linux提供了ptrace系统调用接口,通过这个接口可以实现进程跟踪功能。以此实现父进程对其子进程进行控制和改变子进程核心镜像,包括读写子
ptrace和wait的理解 (ptrace监控进程)
tuhuolong的专栏
07-11 2342
ptrace(追踪控制另一进程)wait, waitpid, waitid(等待进程状态改变) 这里有一个问题,就是当子进程调用PTRACE_TRACEME或者父进程调用PTRACE_ATTACH之后,在什么情况下会将子进程stop(从而将控制权交给父进程)呢?要回答这个问题,首先要知道当我们使用ptrace的时候,内核中发生了什么?这里有一段简要的说明:当一个进程调用了 ptrace(PTRACE
ptrace跟踪进程
zuihoudebingwen的专栏
06-17 4760
引子: 1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态? 2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪进程执行的? 3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么? 所有这
ptrace
jxxiaohou的专栏
05-28 1299
1. 介绍 ptrace()是一个系统调用,它允许一个进程控制另外一个进程的执行.不仅如此,我们还可以借助于ptrace修改某个进程的空间(内存或寄存器),任何传递给一个进程(即被跟踪进程)的信号(除了会直接杀死进程的SIGKILL信号)都会使得这个进程进入暂停状态,这时系统通过wait()通知跟踪进程,这样,跟踪进程就可以修改被跟踪进程的行为了. 如果跟踪进程在被跟踪进程的内存中设置
使用ptrace跟踪进程
weixin_33953384的博客
04-03 186
2019独角兽企业重金招聘Python工程师标准>>> ...
进程跟踪linux,linux 进程学习笔记-进程跟踪
weixin_39626745的博客
05-07 414
Ÿ 进程跟踪long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);Linux用ptrace来进行进程跟踪,就跟我们平时用GDB debug一样,它允许一个进程跟踪和控制另外一个进程。当被跟踪进程有信号发生时,被跟踪进程会被暂停下来,其内存空间变得可读写,跟踪它的进程可以选择是否忽略该信号和让程序...
进程运行轨迹的跟踪与统计
01-30 864
进程运行轨迹的跟踪与统计
strace跟踪分析进程工具
mlx212的专栏
11-11 710
strace命令 功能: 跟踪程式执行时的系统调用和所接收的信号.通常的用法是strace执行一直到commande结束. 并且将所调用的系统调用的名称、参数和返回值输出到标准输出或者输出到-o指定的文件. strace是一个功能强大的调试,分析诊断工具.你将发现他是一个极好的帮手在你要调试一个无法看到源码或者源码无法在编译的程序. 你将轻松的学习到一个软件是如何通过系统调用来实
stace 追踪进程
ywmack
05-05 336
strace -o out14351.txt -T -tt -e trace=all -p 14351 表示跟踪14351进程的所有系统调用,并统计系统调用的时间开销,以及调用起始时间(以可视化的时分秒格式显示),最后将记录结果存入out.txt文件。 ...
ptrace函数(附近进程,修改进程数据)
haodawei123的博客
01-30 2260
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号 long ptrace( enum __ptrace_request request...
跟踪进程栈命令pstack
IT_Linux
04-15 1862
pstack 命令必须由相应进程的属主或 root 运行,可显示每个进程的栈跟踪,可以使用 pstack 来确定进程挂起的位置。此命令允许使用的唯一选项是要检查的进程的 PID。   示例 写了一个程序,sleep挂起,查看进程PID,用pstack查看,结果如下 [root@SPA ~]# ps aux | grep test root 2901 0.0 0.0 378
ptrace(PTRACE_PEEKUSER,pid,ORIG_EAX*4,NULL)
zuihoudebingwen的专栏
06-17 2965
所有的系统调用陷入内核的方式都是一样的,所以仅仅是陷入内核空间是不够的。因此必须把系统调用号一并传给内核。在x86上,这个传递动作是通过在触发软中断前把调用号装入eax寄存器实现的。这样系统调用处理程序一旦运行,就可以从eax中得到数据。上述所说的system_call()通过将给定的系统调用号与NR_syscalls做比较来检查其有效性。如果它大于或者等于NR_syscalls,该函数就返回-E
调试器的原理-详解ptrace函数及fork父子进程跟踪实例
liutgnukernel的博客
06-16 3140
最近仔细研究了一下linux调试程序的原理.gdb是linux下最为强大的调试工具,而strace可以拦截程序执行过程中的系统调用.他们的背后都隐藏了一个强悍的支持函数ptrace().调试程序过程中我们可以单步执行,逐步检查程序的输入输出,从而判断程序错误,当然我们也可以抛弃gdb,自己实现一个"外挂程序",拦截主程序中我们感兴趣的东西,比如ssh或ftp登录密码.
Windows下的"ptrace"-父进程监视子进程Debugging API
世事难料,保持低调
02-03 5518
原文地址:http://blog.csdn.net/ariesjzj/article/details/7226443  Linux下有功能强大ptrace,用于让父进程监视/修改/控制子进程的状态。Windows也提供了类似的接口,那就是Debuging API,用它可以编写用户级的调试器。  下面是一个例子,用以实现父进程创建并监视子进程运行状态。  #include #include
ptrace_Ubuntu x86_64下的例子程序
swkhack的专栏
12-04 509
#include #include "sys/ptrace.h" #include "sys/wait.h" #include "unistd.h" #include "sys/reg.h" #include "stdlib.h" #include "errno.h" #include "string.h" #include "sys/types.h" #include "stdio.h" in
linux之ptrace
JD san的博客
07-05 930
经典博客: Linux内存替换系列(包括实验 实验可行)&nbsp; 就是要注意下是64位还是32位的。。。。 https://blog.csdn.net/Dearggae/article/details/47379245 玩转ptrace: http://www.cnblogs.com/wangkangluo1/archive/2012/06/05/2535484.html ptrac...
Linux系统调用--ptrace函数详解
sourthstar的专栏
09-19 2592
http://hi.baidu.com/ordeder/item/77cf1cdc8ca93fe3795daab0 【ptrace系统调用】 功能描述: 提供父进程观察和控制另一个进程执行的机制,同时提供查询和修改另一进程的核心影像与寄存器的能力。主要用于执行断点调试和系统调用跟踪。父进程可通过调用fork,接着指定所产生的子进程的PTRACE_TRACEME行为
Ptrace 详解 转载
weixin_57023347的博客
08-05 989
转载:Ptrace 详解 引子:1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态?2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪进程执行的?3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?所有这一切的背后都隐藏着Linux所提供的一个强大的系统调用ptrace().1.ptrace系统调用ptra
x86 下的 Ptrace 的 PTRACE_GETREGS 取寄存器的值
沧海一粟
06-23 7506
在java里的jstack -F/-m 在打线程的堆栈的信息在linux下的实现是用ptrace 来取被跟踪进程的寄存器的信息,而这个取的request 的类型 是用PTRACE_GETREGS。 在linux 内核里2.6.35调用的ptrace系统函数是在kernel/ptrace.c里实现的.SYSCALL_DEFINE4(ptrace, long, request, long
ptrace进程挂载,python2代码
最新发布
06-07
# 在子进程执行过程中,可以通过ptrace()系统调用跟踪、修改子进程的执行 # 这里省略具体实现,可以使用PTRACE_PEEKTEXT和PTRACE_POKETEXT等函数读写子进程的内存 # 也可以使用PTRACE_CONT和PTRACE_KILL等函数...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值