有的程序不允许非root的ptrace attach

最新推荐文章于 2024-04-25 16:52:43 发布
最新推荐文章于 2024-04-25 16:52:43 发布
阅读量801 收藏
点赞数
分类专栏: Linux 文章标签: c语言
原文链接:https://kb.kutu66.com/c++/post_10192094
版权

今天查资料时看到的,记录一下:
https://kb.kutu66.com/c++/post_10192094

某些应用程序使用 prctl() 来特别禁止 PTRACE_ATTACH ( 比如 。 在 Yama 中实现的更通用的解决方案是只允许从父进程直接向子进程( 例如 ) 发送 ptrace 。 直接 gdb 和 strace 仍然有效,或者作为 root 用户( 例如 ) 。 gdb BIN PID,strace -p PID 仍然可以作为 root 工作。 当本地应用程序危险时,攻击者无法附加到它的他进程,并检查它的内存和运行状态。

这种行为是通过 /proc/sys/kernel/yama/ptrace_scope sysctl值控制的。 默认为" 1"阻止非子 ptrace 调用。 一个" 0"恢复更为宽容的行为,这可能更适合开发系统和/或者只有管理帐户的服务器。 使用 sudo 也可以通过 CAP_SYS_PTRACE 功能临时授予 ptrace 权限,尽管这里方法允许任何进程的ptrace 。

lqw198421
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Ptrace在Android平台实现应用程序控制
07-09
利用Ptrace在Android平台实现应用程序控制
qt调试 ptrace:不允许的操作
浴血重生-学习空间
07-27 6018
1.修改系统配置文件:用gedit 使用 管理员权限打开 sudo gedit /etc/sysctl.d/10-ptrace.conf 2.找到下面这一行:(一般在文件最后一行) kernel.yama.ptrace_scope = 1 3.修改如下: kernel.yama.ptrace_scope = 0 4.然后重启电脑: reboot
java监控命令报错 ERROR: ptrace(PTRACE_ATTACH, ..) failed for 12015: Operation not permitted 错误处理
最新发布
为无为,事无事,味无味。
04-25 352
原因是操作系统出于安全考虑,引入了一种叫做ptrace scope的安全机制。这种机制为了防止用户访问当前正在运行的进程的内存和状态,所以在调试程序的过程中导致gdb不能正常工作。这种安全机制可以防止恶意软件附加到其他进程中(如SSH或者GPG),读取程序内存,产生安全问题。建议“ echo 0 > /proc/sys/kernel/yama/ptrace_scope ”,调试结束后再改成1;
ptrace:不被允许的操作
wo 的专栏
10-28 2253
root权限下  输入 sudo echo 0 >/proc/sys/kernel/yama/ptrace_scope 在root下 要用exit 退出
Can‘t attach to the process: ptrace(PTRACE_ATTACH, ..)
微电子学与固体电子学-俞驰
04-13 1850
.因为新版的Linux系统加入了ptrace-scope机制,该机制的目的是防止用户访问正在执行的进程的内存,但是如jinfo,jmap这些调试类工具本身就是利用ptrace来获取执行进程的内存等信息。 Attaching to process ID 21530, please wait... Error attaching to process: sun.jvm.hotspot.debugger.DebuggerException: Can't attach to the process: p...
从NDK在Root手机上的调试原理探讨Android的安全机制
xiaoheliushuiya
12-09 157
最近都在忙着研究Android的安全攻防技术,好长一段时间没有写博客了,准备回归老本行中--Read the funcking android source code。这两天在看NDK文档的时候,看到一句话“Native debugging ... does not require root or privileged access, aslong as your application is ...
ptrace允许操作解决方法
热门推荐
cws1214的专栏
09-22 1万+
sudo gedit /etc/sysctl.d/10-ptrace.conf kernel.yama.ptrace_scope = 0 reboot
ptrace安卓程序注入例子
02-11
然而,出于安全考虑,Android对ptrace有一些限制,比如默认情况下,只有父进程才能ptrace其子进程,这限制了它的使用范围。 JNI是Java平台提供的一种接口,使得Java代码可以与本地(C/C++)代码交互。在Android应用...
ptracer:一个用于基于ptrace的Python程序跟踪的库
05-10
ptracer-一个用于基于ptrace的Python程序跟踪的库 Ptracer是一个库,可在Python程序中提供按需系统调用跟踪。 基本用法 import traceback import ptracer def callback ( syscall ): print ( '{}({}) -> {}' . ...
ptrace注入实例
01-01
因此,系统通常会对ptrace调用有严格的权限限制,只有父进程才能ptrace其子进程,或者需要CAP_SYS_PTRACE权限。 4. **逆向工程**:在逆向工程领域,ptrace注入常用于动态分析程序的行为。开发者可以通过注入钩子...
反汇编程序:借助capstone和ptrace的简单实验性反汇编程序
02-22
在C程序中,使用`ptrace(PTRACE_ATTACH, pid, NULL, NULL)`来附加到目标进程(pid表示进程ID)。成功附加后,进程会被暂停,此时可以安全地读取其内存。 3. **读取内存**: 使用`ptrace(PTRACE_PEEKDATA, pid, ...
GDB 提示 ptrace: Operation not permitted.的解决办法
天涯路的专栏
08-11 2459
之前好几次遇到这个问题,我用gdb attach 进程后,会提示ptrace: Operation not permitted.以前的解决办法是关掉服务器进程,然后重新attach就可以了。今天到公司又遇到这个问题,查看服务器进程还在,网上搜索,说是有gdb在正在调试该进程,然后我用ps -ef | grep gdb 查看,果然有gdb正附加到服务器进程上,想想是上周我attach后,没有关闭gdb。然后下班走人,结果ssh软件自动关闭,gdb跑到后台运行了。我尝试恢复这个gdb进程,输入 bg,fg,..
【Android 逆向】ptrace 函数 ( ptrace 函数族 | 进程附着 | 进程脱离 | 进程数据读写权限 | 进程对应的主线程寄存器读写 | 单步调试 |ptrace 函数族状态转换 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-29 1351
一、ptrace 函数族、 1、进程附着、 2、进程脱离、 3、进程数据读写权限、 4、进程对应的主线程寄存器读写、 5、单步调试、 6、继续向后执行、 二、ptrace 函数族状态转换、
【Android 逆向】ptrace 函数 ( C 标准库 ptrace 函数简介 | ptrace 函数真实作用 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-29 2458
一、C 标准库 ptrace 函数简介、 二、ptrace 函数真实作用
安全模式 提权_PTRACE_TRACEME CVE201913272 本地提权漏洞解析
weixin_39867594的博客
01-05 457
PTRACE_TRACEME 漏洞是 Jann Horn 201907 月发现的内核提权漏洞, 漏洞发现和利用的思路有很多值得学习的地方, 本文记录了个人的学习过程author: Gengjia Chen (chengjia4574@gmail.com) of IceSwordLab, qihoo 360漏洞补丁我们从漏洞补丁ptrace: Fix ->ptracer_cr...
Android双进程保护实现的思考及过程说明
Rorschach:Blog
10-16 1458
采用双进程的方式,对父进程进行守护,基于信号的发送和接收,实现相互的守护防止被动态攻击。双进程进程守护主要功能: 1、守护父进程,ptrace所有线程,防止被附加、调试、暂停; 2、保护子进程,防止被暂停、异常退出;对应说明图: 不足之处与修补思考: 子进程未被ptrace,可以通过向子进程注入并ptrace PTRACE_DETACH实现解除反附加改进: 减少对主进程其中一个线程的附加,
一种Linux下ptrace隐藏注入shellcode技术和防御方法
小王的储物间
03-10 648
最后如果之前的检查没有拒绝使用ptrace功能,则允许使用。首先定义控制进程(tracer)和被控制进程(tracee),tracer可以观察和控制tracee的执行流程,检查和修改tracee的内存和寄存器内容,一个tracee只能关联(attach)一个tracer,一个tracer可以关联多个tracee。此外,根据一个tracee只能关联一个tracer的规则,可以在程序开始使用PTRACE_TRACEME功能将当前线程变成tracee,之后其它进程不能再对其使用PTRACE_ATTACH功能。
Docker 中jmap报错:Can‘t attach to the process: ptrace(PTRACE_ATTACH问题
赶路人儿
07-13 2230
通过docker启动了一个java服务。登陆到容器中,通过jmap查看jvm相关信息,报错: 经过查看资料发现,这不是什么 docker 或者jmap的Bug,而是 Docker 自 1.10 版本开始加入的安全特性。 jmap 这类 JDK 工具依赖于 Linux 的 PTRACE_ATTACH,而 Docker 自 1.10 版本开始,默认的 seccomp 配置文件中禁用了 ptrace。解决方法:1、–security-opt seccomp=unconfined关闭seccomp,在启动容器时
ptrace(PTRACE_ATTACH,tid,0,0);是操作进程还是线程
05-26
ptrace(PTRACE_ATTACH,tid,0,0)是操作进程。在Linux系统中,线程本质上是一个轻量级的进程,因此ptrace对线程和进程的操作方式是一样的,但是它的参数tid是指定线程ID,而不是进程ID。当我们使用ptrace对一个线程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值