linux应用程序调试的基石---ptrace

最新推荐文章于 2024-11-12 23:07:13 发布
最新推荐文章于 2024-11-12 23:07:13 发布
阅读量1.2k 收藏
点赞数
文章标签: linux 任务 api
本文深入解析ptrace系统调用,详细解释其如何作为进程调试器(如gdb,strace)与操作系统之间的接口。阐述了ptrace在子进程fork后,父进程如何利用该调用来跟踪子进程,包括访问内核映像、寄存器状态等关键信息的过程。同时,介绍了ptrace的移植性限制和其在用户空间与内核空间之间的交互方式。
摘要由CSDN通过智能技术生成

文章出处:http://blog.csdn.net/estate66/article/details/5985746


    ptrace是process 和 trace的简写,直译为进程的跟踪。它是操作系统提供给应用程序调试器诸如gdb,strace的系统调用接口(API)。

    具体过程为:父进程首先进行fork调用,并在子进程中执行ptrace函数,将PTRACE_TRACEME赋值给request形参,紧接着在子进程中执行exec调用完后。将控制权交给父进程,通过使用PTRACE_ATTACH,父进程开始跟踪子进程,每一次被跟踪的子进程都会向父进程发送一个信号。父进程可以忽略掉大部分信号,仅有的一个例外是SIGKILL信号。在跟踪子进程的过程中,父进程可以查看和修改子进程的内核映像及寄存器的值,暂停子进程的执行。在跟踪完成后,可以选择子进程继续执行还是终止。

    ptrace函数是高度依赖底层的架构,因此,它的移植性受到一定的限制。



    ptrace运行在内核空间,而gdb和strace运行在用户空间。由上图可知,ptrace构成了应用程序调试的基础。

    ptrace系统调用的格式如下:

    #include

    long ptrace(enum __ptrace_request request,  pid_t pid,  void *addr,  void *data);

    其中,request决定了ptrace执行哪种任务,pid则表示被跟踪和监视的子进程。addr表示子进程用户空间地址的偏移量,data表示子进程的一些数据指针,这些数据是监视它的父进程想要查看的。

request 请求一般有如下几种:

PTRACE_TRACEME

PTRACE_PEEKTEXT,  PTRACE_PEEKDATA

PTRACE_PEEKUSR

PTRACE_POKETEXT,  PTRACE_POKEDATA

PTRACE_POKEUSR

PTRACE_GETREGS,  PTRACE_GETFPREGS

等等

    在所有如上请求中,只有PTRACE_TRACEME是在子进程使用,在ptrace函数中的其他参数一般可以忽略。其余的请求一般在父进程中使用。在ptrace函数中的其他参数如pid_t标识被监视的子进程的进程标识号。addr是子进程的内存地址,而data表示想要获取的数据指针。






















ixidof
关注
python-ptrace:python-ptrace是ptrace库的Python绑定
05-05
python-ptrace python-ptrace是使用以Python编写的ptraceLinux,BSD和Darwin系统调用以跟踪进程)的调试器。 python-ptrace是在GNU GPLv2许可下用Python编写的开源项目。 它支持Python 3.6及更高版本。
ptrace使用简介
我的博客
05-10 779
ptrace 提供了一种机制使得父进程可以观察和控制子进程的执行过程,ptrace 还可以检查和修改子进程的可执行文件在内存中的image及子进程所使用的寄存器中的值。通常来说,主要用于实现对进程插入断点和跟踪子进程的系统调用。 用法示例 #include <sys/ptrace.h> #include <sys/types.h> #include <sys/wait.h> #include <unistd.h> #include <linux/us
linux trace 进程,在ptraced Linux进程中调用ptrace
weixin_34553861的博客
04-29 211
有人在Wikipedia “ptrace” article中声称,在Linux上,一个ptraced进程本身无法进行另一个进程.我试图确定是否(以及如果是这样的原因)就是这种情况.下面是一个我试图测试的简单程序.我的程序失败(子子进程无法正常运行)但我确信这是我的错误,而不是基本的东西.从本质上讲,初始过程A分叉进程B进而分叉C.对其子B进行ptra,B对其子进行处理C.一旦它们被设置,所有三个进...
ptrace使用和调试
&Ψ的博客
06-12 5445
1. 文章参考 [原创]一窥GDB原理-Pwn Linux ptrace系统调用详解:利用 ptrace 设置硬件断点 <<软件调试>> 张银奎 2. ptrace函数原型 enum __ptrace_request { PTRACE_TRACEME = 0, //被调试进程调用 PTRACE_PEEKDATA = 2, //查看内存 PTRACE_PEEKUSER = 3, //查看struct user 结构体的值 PTRACE_POKEDATA = 5, //
[Pthread] Linux上程序调试基石(一)--ptrace
Javadino的专栏
09-06 3394
引子:1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态?2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?所有这一切的背后都隐藏着L
ptrace的学习--获取GOT表中程序的实际地址
runksun的专栏
12-18 1213
看了一篇http://godorz.info/2011/02/process-tracing-using-ptrace/ 文章,其实这篇文章已经写的很细了,开始着手写利用ptrace读取程序的got表,因为要做的东西需要用到hook,这里需要读取got表来达到目的。代码只有百来行,但是略微有点蛋疼。。 通过读取邵大神的代码,理了一个思路: 首先读取ehdr(elf文件)获取到e_phoff偏
ptrace-master.zip
05-13
在Android系统中,动态链接库(SO文件)是应用程序扩展功能的重要手段,而SO注入则是开发者用于调试、性能优化或安全检测的一种技术。随着Android系统的不断升级,对系统安全性的要求也在提高,如Android 11对权限的...
ptrace-for-android
06-12
==================== PTrace for Android介绍Ptrace 系统调用提供了一个框架,进程(跟踪... 该应用程序可以生成任何其他 android 应用程序并附加到它,从而使跟踪器应用程序能够跟踪和逐步调试被跟踪应用程序。特征T
Linux应用调试使用gdb和gdbserver命令详解
09-15
Linux系统中的调试是开发者...通过这种方式,开发者可以高效地调试运行在远程设备上的Linux应用程序,提高开发效率和产品质量。记住,调试是软件开发中的重要环节,理解和熟练使用gdb及gdbserver将极大地提升开发体验。
ios-antidebugging:iOS反调试技术集合
05-11
然而,对于有心人来说,调试器同样可以用来分析和逆向工程应用程序,获取敏感信息或绕过安全机制。因此,反调试技术旨在检测和阻止调试器的使用,以保护应用的隐私和安全性。 在Objective-C中,反调试技术主要包括...
C语言获取任意Windows程序模块基地址
热门推荐
钞sir的博客
06-04 2万+
我已无力接住你,再也不能抗风雨 函数 这里主要用到的函数是EnumProcessModulesEx: BOOL EnumProcessModulesEx( HANDLE hProcess, HMODULE *lphModule, DWORD cb, LPDWORD lpcbNeeded, DWORD dwFilterFlag ); hProcess表示处理的句柄; lphModule表示接收模块句柄列表的数组; cb表示lphModule数组的大小,以字节为单位; lpc.
Linux中基于ptrace的外挂程序设计
gaoxiang的专栏
05-28 1423
所谓的外挂程序就是在某个进程执行的过程中,其他进程可以动态的修改进程中的数据或代码,从而影响程序的执行路径,并最终影响程序的运行结果。在windows上我们有系统库函数writeprocess()可以直接完成该项功能。而在linux上没有相同功能的函数可以使用,不过使用ptrace也可以完成类似的功能。 首先,Ptrace的使用形式如下: #include  int ptrace(int r
ptrace 获取程序实时的堆栈
ChangeMe
11-15 1138
#!/bin/bash if test $# -ne 1; then echo "Usage: `basename $0 .sh` &lt;process-id&gt;" 1&gt;&amp;2 exit 1 fi if test ! -r /proc/$1; then echo "Process $1 not found." 1&gt;&amp;2 exit ...
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 244
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
Linux下使用ptrace向sshd进程注入任意代码
weixin_33862514的博客
09-19 844
本文讲的是在Linux下使用ptrace向sshd进程注入任意代码, 虽然最近Win32 API提供了不少支持,但我还是想解决一些Linux进程中注入代码的问题,目的是将共享对象加载到另一个进程的地址空间中,而无需使用LD_PRELOAD或停止进程。 我的目标就是可以使用ptrace从sshd进程恢复纯文本凭据,虽然有许多其他方法要比在SEGV中可以更...
玩转ptrace
么刚的专栏
08-23 1万+
下面是转帖的内容,写的很详细。但是不同的linux发行版中头文件的路径和名称并不相同。如在某些发行版中就不存在,其中定义的变量出现在和中。 =====================================================================
linux长时间运行任务中断报警trap
djl的专栏,blog.djl.cx好记
11-08 316
每天要运行的定时任务, 时间很长, 有一天突然被中断了, 如果能有个中断提醒就好了。sleep 命令模拟一个长时间运行的任务,并在后台运行它。wait 命令等待任务完成或被杀死,并检查。wait 命令的退出状态码来判断脚本是否被。在这个脚本中,我们使用。
linux rocky 9.4部署和管理docker harbor私有源
xikui1551的博客
11-08 1213
rocky 部署Harbor私有镜像仓库
Linux】网络编程3
最新发布
m0_73839343的博客
11-12 457
该数组里列出这个进程打开的所有文件的文件描述符。数组的下标是文件描述符,是一个整数,而数组的内容是一个指针,指向内核中所有打开的文件的列表,也就是说内核可以通过文件描述符找到对应打开的文件。然后每个文件都有一个inode,Socket 文件的 inode指向了内核中的Socket 结构,在这个结构体里有两个队列,分别是发送队列和接收队列,这个两个队列里面保存的是一个个struct sk_buff,用链表的组织形式串起来。在TCP通信的过程,服务器端会产生两类不同的文件描述符,一个是监听的文件描述符;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值