如何用ptrace拦截系统调用并替换为自定义代码

使用ptrace拦截系统调用
最新推荐文章于 2024-06-18 09:46:39 发布
原创 最新推荐文章于 2024-06-18 09:46:39 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #交叉编译

如何用ptrace拦截系统调用并替换为自定义代码

tracer能够改变系统调用参数,改变系统调用的返回值,甚至屏蔽特定的系统调用,将特定系统调用替换为自定义的helloworld函数。
ptrace系统调用的拦截替换原理为:利用ptrace函数使父进程跟踪子进程,当子进程在执行系统调用时,断住子进程,获取并保存当前系统调用的寄存器信息。然后备份ip寄存器指向的指令块A,替换为我们要执行的code指令块B,B执行后ip地址值恢复为指令块A及寄存器内容。
下面用例子实现上面的系统调用拦截替换功能。首先我们的目标是将一个打开文件的系统调用拦截,并替换为打印输出“helloworld”的字符串。
1.先得到自定义代码的二进制码
汇编实现文件ptrace_helloworld_asm.c
在这里插入图片描述

运行指令

gcc ptrace_helloworld_asm.c -o ptrace_helloworld_asm.o
./ptrace_helloworld_asm.o

在这里插入图片描述

objdump -d ptrace_helloworld_asm.o

目标二进制代码为:
在这里插入图片描述

2.ptrace拦截系统调用并替换

最低0.47元/天 解锁文章
weterlly
关注
系统调用在操作系统内核中的重要地位
操作系统内核探秘的博客
06-16 756
本文旨在全面解析系统调用在操作系统内核中的核心地位,包括其设计原理、实现机制和实际应用。我们将涵盖从基本概念到高级实现的各个层面。通过生活化比喻引入系统调用的概念详细解释系统调用的核心原理分析系统调用与操作系统内核的关系通过代码示例展示系统调用的实际实现探讨系统调用的应用场景和未来发展趋势系统调用:用户程序请求操作系统内核服务的编程接口内核空间:操作系统内核运行的特权内存区域用户空间:普通应用程序运行的非特权内存区域特权级别:CPU提供的不同执行权限级别。
深入探索Linux动态链接库注入(C/C++代码实现)
最新发布
chen1415886044的博客
09-08 1956
Inject是一款功能强大的Linux DSO注入工具,它通过ptrace系统调用实现了对运行中进程的代码注入。该工具在系统调试、软件测试和安全研究等领域有着广泛的应用。
玩转ptrace(一) [z](转帖真的很好)
zgl07的专栏
01-12 852
 玩转ptrace(一) [z]  by Pradeep Padala Created 2002-11-01 02:00翻译: Magic.D E-mail: adamgic@163.com译者序:在开发Hust Online Judge的过程中,查阅了不少资料,关于调试器技术的资料在网上是
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 300
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
linux ptrace,如何利用Ptrace拦截和模拟Linux系统调用
weixin_39984403的博客
05-25 521
写在前面的话ptrace(2)这个系统调用一般都跟调试离不开关系,它不仅是类Unix系统中本地调试器监控实现的主要机制,而且它还是strace系统调用常用的实现方法。ptrace()系统调用函数提供了一个进程(the “tracer”)监察和控制另一个进程(the “tracee”)的方法,它不仅可以监控系统调用,而且还能够检查和改变“tracee”进程的内存和寄存器里的数据,甚至它还可以拦截系统...
ptrace系统调用
LittleGrizzly的专栏
05-10 1968
ptrace系统调用 Table of Contents 1 ptrace系统调用 1.1 说明 1.2 前言 1.3 ptrace系统调用 1.4 strace 1.5 FAQ 1 ptrace系统调用 1.1 说明 实验环境是linux x64,源码适用于linux x32。 1.2 前言 windows平台
linux下实现在程序运行时的函数替换(热补丁)
maizaozao的专栏
04-29 437
但是通过实验,仅调一次__libc_dlopen_mode,部分寄存器赋正确执行时的值,发现对eax和orig_eax被赋于正确执行时的值时,程序可以正常运行,而且不仅仅必须是一种值,比如eax可以是0,1,0xffffffff,很多值都可以,但是被赋予0xfffffdfc和0xfffffdff等值时会失败,试验过不是因为d这一位决定的,0xfffffdf0或者d00是可以运行成功的。因为在学习调试时,难免会看到一些内核方面的调试技术,内核中的调试有一个kprobe,很强大,可以实现运行时的函数替换
探秘Linux PTrace系统调用拦截与模拟实践
gitblog_00073的博客
06-18 596
探秘Linux PTrace系统调用拦截与模拟实践 项目介绍 在深入探讨技术细节之前,让我们先了解一下Linux PTrace examples项目。这个开源项目提供了一组示例代码,旨在帮助开发者理解和使用Linuxptrace工具。通过这些实例,你可以学习如何利用ptrace系统调用拦截和模拟其他进程的系统调用行为,这对于调试、监控以及安全领域的工作极具价值。 项目技术分析 ptrace...
系统调用劫持与ptrace伪装技术深度解析
该技术通常涉及对ptrace系统调用的劫持或替换,例如通过hook系统调用表中的sys_ptrace函数,或者使用LD_PRELOAD机制在用户空间替换ptrace函数的实现。此外,还可以结合其他反调试技术,如检测调试器附加、检测ptrace...
浅谈Android下binder的调用与拦截.pdf
09-21
拦截模块会查找模块甲的全局 Offset Table (GOT),找到对模块乙的调用地址,将其替换为新模块内的函数地址。新模块内的函数处理完业务后,再跳转到模块乙继续执行。由于用户进程空间加载的libbinder.so与System ...
[Ptrace]Linux内存替换(六)动态链接库函数替换
BraveWinds B10G
08-19 4060
本文在 Linux内存替换(四)代码注入 的基础上,介绍了代码注入替换运行程序加载的动态链接库中指定函数的方法。 网上的一种思路是利用在被注入程序中申请空间存放待注入代码,然后通过修改GOT表函数地址指针实现函数替换;本文介绍的方法利用预先构造好的函数Shellcode直接覆盖动态链接库中指定函数代码实现函数替换
ptrace截获其他进程系统调用
esrrhs的专栏
07-29 797
int main(int argc, char *argv[]) { if (net_init() != 0) { printf("net init fail\n"); MYLOG("net init fail"); return -1; } pid_t traced_process; struct user_regs_struct regs; long ins
一个利用ptrace实现的简单调试器
博客
06-21 620
Linux二进制分析》中提到:ptrace 默认会覆盖 mmapa 或 mprotect 的权限,也就意味着用户可以使用 ptrace 往 text 段中写入内容,即便 text 段是只读的。但如果内核采用 pax 或者 grsec 进行了 mprtotect 的限制,加固了段的访问权限,就不可以使用 ptrace 进行修改了。这是一个安全特性。作者在一篇关于 ELF运行时感染的论文(http://vxheavens.com/lib/vrn00.html),在论文中讨论了几种绕过这些限制进行代码注入的方法
使用fiddler进行拦截替换
simple5960的博客
12-14 1734
在fiddler中的AutoResponser中选中 Enable Rule Accept all Connects Unmatched requests passthrough 接下来就是添加拦截的规则了,比如404或者对某个资源进行替换
玩转ptrace
热门推荐
么刚的专栏
08-23 1万+
下面是转帖的内容,写的很详细。但是不同的linux发行版中头文件的路径和名称不相同。如在某些发行版中就不存在,其中定义的变量出现在和中。 =====================================================================
Java:对请求结果进行拦截替换
ql_gome的博客
09-07 462
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
ptrace函数(附近进程,修改进程数据)
haodawei123的博客
01-30 2438
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,选择是否是否忽略引起中止的信号 long ptrace( enum __ptrace_request request...
[Ptrace]Linux内存替换(二)信息获取
BraveWinds B10G
07-30 1759
ptrace有了初步了解后,到网上找了一个简单例程熟悉一下,实现效果为B程序附加到A程序上获取A程序EIP等相关信息后输出。【环境】 CentOS 6.4 RC Linux version 2.6.32-358.el6.i686 Gcc version 4.4.7 0120313【A程序:counter.c】#include <stdio.h>int main() { int i;
linux运行进程热补丁(一)之函数替换
ljbcharles的专栏
08-18 888
Linux环境下(x86_64)对正在运行进程的函数替换,不改变该进程的可执行文件内容,通过使用汇编指令JMP完成运行中进程的函数替换。//编译myprint.c变为可执行文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值