ptrace截获其他进程系统调用

最新推荐文章于 2024-06-18 09:46:39 发布
最新推荐文章于 2024-06-18 09:46:39 发布
阅读量736 收藏 1
点赞数 1
分类专栏: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/esrrhs/article/details/38268313
版权 
int main(int argc, char *argv[])
{
	if (net_init() != 0)
	{	
		printf("net init fail\n");
		MYLOG("net init fail");
		return -1;
	}
	
	pid_t traced_process;
	struct user_regs_struct regs;
    long ins;
    if(argc != 2) {
        printf("Usage: %s <pid to be traced> \n", argv[0], argv[1]);
        exit(1);
    }
	
	int wStatus = 0;
    traced_process = atoi(argv[1]);
	
	// Now set our options
	ptrace(PTRACE_ATTACH, traced_process, NULL, NULL);
    wait(&wStatus);
	ptrace(PTRACE_SETOPTIONS, traced_process, NULL, PTRACE_O_TRACESYSGOOD);
	ptrace(PTRACE_SYSCALL, traced_process, NULL, NULL);
	  
	// Wait for the child process to stop
	while (1)
	{
		wait(&wStatus);
		    
		// Stopped by our ptrace call
		if(WSTOPSIG(wStatus) == (SIGTRAP | 0x80))
		{
			// We are now entering a system call
			ptrace(PTRACE_GETREGS, traced_process, NULL, &regs);
			long call = regs.orig_rax;
			//printf("syscall:  %4ld \n", call);
			if(call == SYS_sendmsg)
			{
				/* Syscall entry */
				printf("Write called with %ld, %ld, %ld, %ld \n", regs.rdi, regs.rsi, regs.rdx, regs.rcx);
				char buff[10240];
				getdata(traced_process, regs.rsi, buff, regs.rdx);
				printf("%s\n",buff);
			}
			
			// Wait until we're exiting the system call
			ptrace(PTRACE_SYSCALL, traced_process, NULL, NULL);
			wait(&wStatus);
			
			ptrace(PTRACE_GETREGS, traced_process, NULL, &regs);
			/* Syscall exit */
			if(call == SYS_sendmsg)
			{
				printf("Write returned with %ld \n", regs.rax);
			}
		}
		// Stopped for some other reason
		else
		{
			printf("child stopped but not for system call.\n");
		}
		fflush(stdout); // flush the output
		ptrace(PTRACE_SYSCALL, traced_process, NULL, NULL);
	}
	ptrace(PTRACE_DETACH, traced_process, NULL, NULL);
	return 0;
}

esrrhs
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ptrace 系统调用
tq08g2z的专栏
09-02 553
ptrace 是 Linux 环境下,许许多多分析调试工具,如 strace,ltrace 等,所使用的最核心的系统调用。ptrace,即 process trace,指进程追踪。它能让一个进程控制及影响另一个进程的行为,比如让另外一个进程停止运行,获取另外一个进程内存地址空间中的值,设置另外一个进程内存中的值,获取另外一个进程的寄存器的值,设置另外一个进程的寄存器的值,等等等等。 ptrace 系统调用的 C 库接口原型如下: #include <sys/ptrace.h>
一个利用ptrace实现的简单调试器
博客
06-21 544
《Linux二进制分析》中提到:ptrace 默认会覆盖 mmapa 或 mprotect 的权限,也就意味着用户可以使用 ptrace 往 text 段中写入内容,即便 text 段是只读的。但如果内核采用 pax 或者 grsec 进行了 mprtotect 的限制,加固了段的访问权限,就不可以使用 ptrace 进行修改了。这是一个安全特性。作者在一篇关于 ELF运行时感染的论文(http://vxheavens.com/lib/vrn00.html),在论文中讨论了几种绕过这些限制进行代码注入的方法
探秘Linux PTrace系统调用的拦截与模拟实践
最新发布
gitblog_00073的博客
06-18 378
探秘Linux PTrace系统调用的拦截与模拟实践 项目地址:https://gitcode.com/skeeto/ptrace-examples 项目介绍 在深入探讨技术细节之前,让我们先了解一下Linux PTrace examples项目。这个开源项目提供了一组示例代码,旨在帮助开发者理解和使用Linux的ptrace工具。通过这些实例,你可以学习如何利用ptrace系统调用来拦截和模拟...
linux(4)-Ptrace 系统调用的使用
Little_ant_的博客
02-24 668
利用ptrace系统调用实现一个简单的软件调试器。
linux打出某一进程的堆栈,如何在Linux上使用Ptrace打印C ++其他进程调用堆栈
weixin_39732991的博客
04-28 315
#include #include #include #include #define BUFSIZ 1024#define MAXPATH 1024pid_t npid, cpid, pid;int status, errors=0, pathlength;ptrace_event_t *event_addr;ptrace_state_t *st...
【GDB】GDB工作原理--ptrace(让父进程可观察和控制其它进程、检查和改变其核心映像及寄存器)...
小鱼菜鸟的博客
07-16 223
目录 一、gdb简介 二、ptrace 三、gdb三种调试方式 四、gdb调试的基础—信号 一、gdb简介   gdb:GNU debugger   UNIX及UNIX-like下一个强大的命令行的调试工具   gdb调试的整体架构如下图所示:   可以发现gdb调试不管是本地调试还是远程调试,都是基于ptrace系统调用来实现的    ...
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
08-27
首先,ptrace是一个系统调用,允许一个进程监视和控制另一个进程。在iOS环境中,它被广泛用于调试工具,如lldb。当使用Xcode进行远程调试时,实际上是在设备上的debugserver的帮助下进行的。当Xcode首次运行应用时,...
Linux系统调用跟踪和进程错误退出分析.pdf
09-06
每种工具都有其特点和优缺,ftrace采用静态trace_point方法,systemtap利用kprobe和kretprobe对系统调用处理函数的调用和返回信息进行了采集,gdb的catch syscall命令和strace工具,利用ptrace机制对系统调用进行...
遍历系统当前所有进程的任务描述符,并将pid组织成树状结构显示
01-16
本项目聚焦于一个特定的系统调用实现,即遍历并展示系统中所有正在运行的进程的任务描述符(task_struct),并以树形结构呈现每个进程的PID(进程标识符)。这个功能对于系统监控、调试以及理解系统运行状态具有很大...
Linux下Ptrace()调用的安全分析.pdf
09-07
Ptrace()是 Linux 操作系统中的一种系统调用,它提供了对运行中的进程进行跟踪和控制的能力。这项技术广泛应用于程序开发和调试中,但是在安全方面,它也存在一定的隐患。本文将对 Ptrace() 调用的安全进行分析,并...
基于系统调用截获的虚拟机自省技术.pdf
09-09
1. **系统调用截获原理**:介绍如何通过内核模块、用户空间库或者混合方法(如ptrace)来截获系统调用,以及这些方法的优势和限制。 2. **虚拟机监控机制**:阐述如何在虚拟机层面实施自省,包括监控系统调用流,...
ptrace 获取程序实时的堆栈
ChangeMe
11-15 1103
#!/bin/bash if test $# -ne 1; then echo "Usage: `basename $0 .sh` &lt;process-id&gt;" 1&gt;&amp;2 exit 1 fi if test ! -r /proc/$1; then echo "Process $1 not found." 1&gt;&amp;2 exit ...
使用 LD_PRELOAD 变量拦截调用
weixin_30788619的博客
04-05 194
背景&原理 很多 a.out 程序都依赖动态库 libc.so, 比如使用 strcmp() 比较密码, 其实是不安全的 使用 LD_PRELOAD 变量可以使该变量中的可链接文件(编译时使用-rdynamic导出符号的a.out或.so)的符号优先被使用, 如果我们自己编译一个libc.so加入LD_LIBRARY_PATH变量, 同时该库依赖系统libc.so, 那么就可以拦截想拦截...
使用ptrace跟踪进程
weixin_33953384的博客
04-03 188
2019独角兽企业重金招聘Python工程师标准>>> ...
playing with ptrace(Part I) 之一 --- 初识ptrace
韦编二绝
06-18 1997
文章出处:http://www.linuxjournal.com/article/6100 Nov 01, 2002  By Pradeep Padala in SysAdmin ptrace --- 允许在用户层进行系统调用的拦截与修改; 你是否想知道系统调用是如何被拦截的? 你是否尝试过通过修改系统调用的参数来愚弄内核? 你是否考虑过调试器是如
linux进程等待自身关闭信号,进程状态、信号机制、进程追踪与进程等待
weixin_36461619的博客
04-30 405
进程状态、信号机制、进程追踪与进程等待SIGNAL、ptrace()、wait()一、在linux下进程的信号机制SIGNAL是这样一个机制:当操作系统监测到与进程有关的异常或特殊事件发生后,操作系统会向进程发送一个指令性质的信息,这个信息称为“信号”。信号传递通知或异常信息。同样的,一个进程也可以通过一些指令向其他进程发送一个信号(如果这被允许的话)。进程一旦收到信号,就会自动对信号做出响应,这...
如何用ptrace拦截系统调用并替换为自定义代码
fdfasf的博客
11-19 761
如何用ptrace拦截系统调用并替换为自定义代码 tracer能够改变系统调用参数,改变系统调用的返回值,甚至屏蔽特定的系统调用,将特定系统调用替换为自定义的helloworld函数。 ptrace系统调用的拦截替换原理为:利用ptrace函数使父进程跟踪子进程,当子进程在执行系统调用时,断住子进程,获取并保存当前系统调用的寄存器信息。然后备份ip寄存器指向的指令块A,替换为我们要执行的code指令块B,B执行后ip地址值恢复为指令块A及寄存器内容。 下面用例子实现上面的系统调用拦截替换功能。首先我们的目标
Android Hook学习之ptrace函数的使用
Fly20141201. 的专栏
05-25 3685
Synopsis #include sys/ptrace.h> long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void*data); Description The ptrace() system call provides a means bywhich one process (the "tracer
调试器原理之ptrace调用学习
intheworld
11-26 2443
其实很早以前就对调试器技术感兴趣了。以前玩板子的时候用了JTAG,当时我觉得这东西好神奇。前面我下载了一份GDB源码,可惜弄了几天都没有看出门道。昨天瞄了一眼《开源应用程序架构》,不出意外的看到了GDB。里面说在Linux下面调试器的功能主要都是靠ptrace调用实现的。我突然觉得有戏,感觉找到了点希望(不得不说,网上真心没找到GDB实现方面的资料,顶多是使用教程)。然后我就和ptrace干上了。
ptrace PTRACE_POKETEXT进程状态
05-23
ptrace PTRACE_POKETEXT可以用于修改目标进程的指令。 具体而言,它可以将一个指定地址的内存单元的值替换成一个新的值。这个指令可以用于修改正在运行的程序的代码,从而实现动态修改程序行为的目的。 使用PTRACE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值