浅谈ARM上的Ptrace

最新推荐文章于 2023-09-11 19:24:11 发布
最新推荐文章于 2023-09-11 19:24:11 发布
阅读量2.7k 收藏 2
点赞数 2
分类专栏: Android安全-研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_panyu/article/details/45397253
版权
本文主要探讨了如何在ARM架构上实现Ptrace机制,用于系统调用拦截和调试。通过Ptrace,可以在用户层捕获和修改系统调用,无需深入kernel编程。文章详细分析了ARM的EABI和OABI两种调用方式,以及如何根据不同的调用方式获取系统调用号。并给出了具体的实例,展示了如何在__NR_write系统调用上进行操作。
摘要由CSDN通过智能技术生成

 

 

0x0 前言

 

 

你想过怎么实现对系统调用的拦截吗?你尝试过通过改变系统调用的参数来愚弄你的系统kernel吗?你想过调试器是如何使运行中的进程暂停并且控制它吗?你可能会开始考虑怎么使用复杂的kernel编程来达到目的,那么,你错了.实际上Linux提供了一种优雅的机制来完成这些:ptrace系统函数
ptrace提供了一种使父进程得以监视和控制其它进程的方式,它还能够改变子进程中的寄存器和内核映像,因而可以实现断点调试和系统调用的跟踪.使用ptrace,你可以在用户层拦截和修改系统调用(sys call).关于ptrace不做过多的赘述,<<玩转PTRACE>>写的已经十分详细,这篇文章重点是分析如何实现arm版的ptrace.

 

 

0x1 实现原理

(1).首先写一个简单的target程序,代码如下:

 

//target.c
#include <stdio.h>
                                                                                                                               
int flag = 1;
int count = 0;
int main(int argc,char* argv[])
{
        while(flag)
        {
                printf("Target is running:%d\n", count);
                count++;
                sleep(3);
        }
        return 0;
}

(2).接下来写trace程序来捕获syscall

最低0.47元/天 解锁文章
少仲_
关注
专栏目录
Android arm64(aarch64)的so注入(inject) - 兼容x86 and arm
Leo的memo
05-04 1万+
实现Android arm64(aarch64)的so注入(inject) ,并且兼容x86和arm。如果没有搞错,这是国内外第一份公开的arm64注入的针对性完整资料~~ 代码基于 ariesjzj 的 http://blog.csdn.net/jinzhuojun/article/details/9900105,增加了对arm64的支持。(目前已经开始有64位安卓手机) 同样,代码由
浅谈ARM上的PTRACE(2)
少仲
05-11 907
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 前言 接上篇http://blog.csdn.net/py_panyu/article/details/45397253. 上次实现了hooksyscall调用
转载-基于ARM的Ptrace
zf1575192187的专栏
03-25 391
前面提到过打算研究一下基于ARM的Ptrace,并在Mobile上实现Hook. 今天程序调通了,记录如下. 平台:Android 2.3.3, 具体Linux Kernel和ARM的版本大家可以自己去查 目标:实现两个程序target和trace. target循环用printf打印语句,trace追踪target的系统调用并替换target的打印语句 在写程序之前查资料的过程发现...
Ptrace调试ARM架构多线程
q759451733的博客
04-23 1767
百度: ptrace()系统调用提供了一种方法可以使得追踪者(tracer)来对被追踪者(tracee)进行观察与控制。具体表现为可以检查tracee内存以及寄存器的值。ptrace首要地被用于实现断点debug与系统调用追踪。 首先,tracee process必须要被tracer attach上(也就是我们启动gdb后的 attach pid),需要注意的是,attach和后续的命令是针对每个线程来说的。如果是一个多线程的程序,每个线程都要被单独的attach才行。这里主要强调了,tracee(
Android平台arm64 ptrace hook bridge_code debug
azfa123的博客
03-04 2200
参考文档: http://blog.chinaunix.net/uid-20361370-id-1962528.html 共享库注入–injectso实例 http://www.aiuxian.com/article/p-1295924.html Android平台的 Ptrace, 注入, Hook 全攻略 最近学习ptrace,也想尝试写个hook的程序玩玩。最后阶段的bridge_co
patrace使用
makxxll的博客
03-09 3778
记录patrace
ptrace注入实例
01-01
ptrace的工作模式包括PTRACE_PEEKTEXT/PTRACE_PEEKDATA(读取内存)、PTRACE_POKETEXT/PTRACE_POKEDATA(写入内存)、PTRACE_CONT(继续执行)、PTRACE_SINGLESTEP(单步执行)等。 2. **注入过程**:ptrace注入的...
python-ptrace:python-ptrace是ptrace库的Python绑定
05-05
python-ptrace python-ptrace使用以Python编写的ptrace(Linux,BSD和Darwin系统调用以跟踪进程)的调试器。 python-ptrace是在GNU GPLv2许可下用Python编写的开源项目。 它支持Python 3.6及更高版本。
ptracer:一个用于基于ptrace的Python程序跟踪的库
05-10
ptracer-一个用于基于ptrace的Python程序跟踪的库 Ptracer是一个库,可在Python程序提供按需系统调用跟踪。 基本用法 import traceback import ptracer def callback ( syscall ): print ( '{}({}) -> {}' . ...
Ptrace
robot_cn的专栏
03-25 407
1. Introduction<br />ptrace() is a system call that enables one process to control the execution of another. It also enables a process to change the core image of another process. The traced process behaves normally until a signal is caught. When th
论文研究-Linux下Ptrace()调用的安全分析.pdf
07-22
对Linux下的系统调用Ptrace()所拥有的进程跟踪和控制调试功能进行了分析;结合内核漏洞的具体实例研究其对系统可能造成的安全威胁;最后就病毒技术的一项关键技术——隐藏,讨论了Ptrace()在Linux病毒隐藏技术的应用。
求大佬解释下ptrace的pt_regs的定义,而且分为i386 arm x86和aarch64的不同分支
d_o_n_g2的博客
08-17 4601
下个linux kernel,通常在arch/xxx/include下有ptrace.h(通常是,但不总是,找不到时不妨grep下),里面有相应结构的定义 收起回复 2楼 2017-08-12 11:41 举报 |个人企业举报垃圾信息举报 futureIDE: 我有看过asm/ptrace.h
基于ARM的Ptrace
zhangmiaoping23的专栏
01-06 4229
转:http://hi.baidu.com/harry_lime/item/cce5161e4af86d4a71d5e8ff 前面提到过打算研究一下基于ARM的Ptrace,并在Mobile上实现Hook. 今天程序调通了,记录如下. 平台:Android 2.3.3, 具体Linux Kernel和ARM的版本大家可以自己去查 目标:实现两个程序target和trace. target
Android性能分析工具strace (2)strace流程之ptrace跟踪目标进程系统调用
最新发布
wellt606的博客
09-11 531
ptrace定义为long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data),参数 request是请求类型,其PTRACE_ATTACH用于建立tracer和tracee关系,PTRACE_SYSCALL用于跟踪pid对应tracee的系统调用。ptrace_request()根据请求类型的不同调用不同的函数处理,PTRACE_SYSCALL请求类型对应的是ptrace_resume()。
Linux ptrace 原理,安卓|使用ptrace绕过ptrace反调试(一)
weixin_28883589的博客
05-15 635
一、LD_PRELOAD(一)原理LD_PRELOAD是linux系统的一个环境变量,它可以影响程序运行时装载的动态链接库。装载动态链接库,一般情况下按照以下顺序进行:LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib这里通过编译一个包含ptrace()的动态链接库,并将其设为LD_PRELOAD环境变量,从而...
ptrace函数(附近进程,修改进程数据)
haodawei123的博客
01-30 2319
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行,直到发生一个信号。则进程被止,并且通知其父进程。在进程止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起止的信号 long ptrace( enum __ptrace_request request...
Ptrace--Linux一种代码注入技术的应用
Litost_Cheng的博客
10-14 5268
Ptrace–Linux一种代码注入技术的应用
热补丁技术初探
liao__yong的专栏
10-26 703
上月领导有想法,希望公司能实现热更新的技术与提供解决方案,应对一些函数,变量,配置级别的bug的修复。特去整理了下,整理了三个可探究的方案:andfix  Dexposed  ClassLoader。 现在整理下优缺点: Dexposed:支持的系统版本,上限是4.4,直接pass,采用的AOP切片式思维,在数据统计这块有大用途,阿里开源的库,比较老的一个库;
arm系统调用
coldsnow33的专栏
10-24 3828
一 系统调用用户接口 1 int open(const char *filename, int oflag,mode_t mode); 打开file,方式为oflag("O_RDONLY"即0,"O_WRONLY"即1,"O_RDWR"即2),mode是仅当创建新文件才使用,一般可缺省不要。(返回值:成功0;失败-1) 2 int close(int file); 关闭一个打开的文件fi
ptrace详解:调试与进程控制
例如,当子进程进入或退出系统调用时,父进程可以通过ptrace获取或修改子进程的上下文,从而实现高级调试功能。 ptrace是一个强大的工具,它允许程序员深入到进程内部,进行细致的跟踪和调试。通过正确地使用ptrace...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值