浅谈ARM上的Ptrace

最新推荐文章于 2022-06-23 14:01:29 发布
最新推荐文章于 2022-06-23 14:01:29 发布
阅读量2.6k 收藏 2
点赞数 2
分类专栏: Android安全-研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_panyu/article/details/45397253
版权
/*author:少仲blog: http://blog.csdn.net/py_panyuweibo: http://weibo.com/u/3849478598欢迎转载,转载请注明出处.*/0x0 前言你想过怎么实现对系统调用的拦截吗?你尝试过通过改变系统调用的参数来愚弄你的系统kernel吗?你想过调试器是如何使运行中的进程暂停并且控制它吗?你可能会开
摘要由CSDN通过智能技术生成

 

 

0x0 前言

 

 

你想过怎么实现对系统调用的拦截吗?你尝试过通过改变系统调用的参数来愚弄你的系统kernel吗?你想过调试器是如何使运行中的进程暂停并且控制它吗?你可能会开始考虑怎么使用复杂的kernel编程来达到目的,那么,你错了.实际上Linux提供了一种优雅的机制来完成这些:ptrace系统函数
ptrace提供了一种使父进程得以监视和控制其它进程的方式,它还能够改变子进程中的寄存器和内核映像,因而可以实现断点调试和系统调用的跟踪.使用ptrace,你可以在用户层拦截和修改系统调用(sys call).关于ptrace不做过多的赘述,<<玩转PTRACE>>写的已经十分详细,这篇文章重点是分析如何实现arm版的ptrace.

 

 

0x1 实现原理

(1).首先写一个简单的target程序,代码如下:

 

//target.c
#include <stdio.h>
                                                                                                                               
int flag = 1;
int count = 0;
int main(int argc,char* argv[])
{
        while(flag)
        {
                printf("Target is running:%d\n", count);
                count++;
                sleep(3);
        }
        return 0;
}

(2).接下来写trace程序来捕获syscall

最低0.47元/天 解锁文章
少仲_
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ptrace注入实例
01-01
ptrace的工作模式包括PTRACE_PEEKTEXT/PTRACE_PEEKDATA(读取内存)、PTRACE_POKETEXT/PTRACE_POKEDATA(写入内存)、PTRACE_CONT(继续执行)、PTRACE_SINGLESTEP(单步执行)等。 2. **注入过程**:ptrace注入的...
转载-基于ARMPtrace
zf1575192187的专栏
03-25 343
前面提到过打算研究一下基于ARMPtrace,并在Mobile上实现Hook. 今天程序调通了,记录如下. 平台:Android 2.3.3, 具体Linux Kernel和ARM的版本大家可以自己去查 目标:实现两个程序target和trace. target循环用printf打印语句,trace追踪target的系统调用并替换target的打印语句 在写程序之前查资料的过程中发现...
Ptrace调试ARM架构多线程
q759451733的博客
04-23 1623
百度: ptrace()系统调用提供了一种方法可以使得追踪者(tracer)来对被追踪者(tracee)进行观察与控制。具体表现为可以检查tracee中内存以及寄存器的值。ptrace首要地被用于实现断点debug与系统调用追踪。 首先,tracee process必须要被tracer attach上(也就是我们启动gdb后的 attach pid),需要注意的是,attach和后续的命令是针对每个线程来说的。如果是一个多线程的程序,每个线程都要被单独的attach才行。这里主要强调了,tracee(
热补丁技术初探
liao__yong的专栏
10-26 647
上月领导有想法,希望公司能实现热更新的技术与提供解决方案,应对一些函数,变量,配置级别的bug的修复。特去整理了下,整理了三个可探究的方案:andfix  Dexposed  ClassLoader。 现在整理下优缺点: Dexposed:支持的系统版本,上限是4.4,直接pass,采用的AOP切片式思维,在数据统计这块有大用途,阿里开源的库,比较老的一个库;
ptrace源代码分析
潜行
06-16 1695
ptrace作为应用程序调试的基石,要想对其有深入的了解,最好的方法是分析它的源代码。选取linux2.6.8,更高版本的内容基本相同。实现ptrace系统调用功能的主要是sys_ptrace函数,当然还包括一些读写寄存器的辅助函数。该函数的基本结构比较简单: (1)判断该进程是否被跟踪,即request==PTRACE_TRACEME,如果是,对其进行处理。 (2)根据被跟踪子进程的pid找
基于ARMPtrace
zhangmiaoping23的专栏
01-06 4121
转:http://hi.baidu.com/harry_lime/item/cce5161e4af86d4a71d5e8ff 前面提到过打算研究一下基于ARMPtrace,并在Mobile上实现Hook. 今天程序调通了,记录如下. 平台:Android 2.3.3, 具体Linux Kernel和ARM的版本大家可以自己去查 目标:实现两个程序target和trace. target
ptrace防护.zip
12-28
然而,由于其强大的功能,它也可能被恶意利用,例如在越狱设备上进行非法调试,从而对系统的安全性和隐私构成威胁。因此,"ptrace越狱调试防护"成为了iOS开发者和安全研究人员关注的重点。 ptrace的工作原理是,...
ptrace的小demo
03-17
PTRACE函数代码分析
07-03
Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的...
ptracer:一个用于基于ptrace的Python程序跟踪的库
05-10
ptracer-一个用于基于ptrace的Python程序跟踪的库 Ptracer是一个库,可在Python程序中提供按需系统调用跟踪。 基本用法 import traceback import ptracer def callback ( syscall ): print ( '{}({}) -> {}' . ...
论文研究-Linux下Ptrace()调用的安全分析.pdf
07-22
对Linux下的系统调用Ptrace()所拥有的进程跟踪和控制调试功能进行了分析;结合内核漏洞的具体实例研究其对系统可能造成的安全威胁;最后就病毒技术中的一项关键技术——隐藏,讨论了Ptrace()在Linux病毒隐藏技术中的应用。
ptrace函数(附近进程,修改进程数据)
haodawei123的博客
01-30 2250
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号 long ptrace( enum __ptrace_request request...
ARM64 汇编代码调用c函数
weixin_51554391的博客
06-23 587
汇编代码 调用c函数
Ptrace--Linux中一种代码注入技术的应用
Litost_Cheng的博客
10-14 5007
Ptrace–Linux中一种代码注入技术的应用
玩转ptrace(二)
01-08 4632
by Pradeep PadalaCreated 2002-11-01 02:00翻译: Magic.D 在第一部分中我们已经看到ptrace怎么获取子进程的系统调用以及改变系统调用的参数。在这篇文章中,我们将要研究如何在子进程中设置断点和往运行中的程序里插入代码。实际上调试器就是用这种方法来设置断点和执行调试句柄。与前面一样,这里的所有代码都是针对i386平台的。 附着在
arm32和arm64常用指令B BL BLX机器码计算
热门推荐
随心散人专栏
10-29 1万+
现在大部分手机cpu架构是ARM v7-A和ARMV8-A,,在ARM-v7A中常使用32位ARM指令集并且支持thumb指令集与arm的切换,而在ARMV8中使用的是64位ARM指令集且不再有thumb指令集状态的切换了。在调用函数时,会有常用的调用方式:BL和B,且分三种情况arm, thumb, aarch64,而对于BLX在arm64指令集中不再有。下面对这三种情况进行讨论。 A
求大佬解释下ptrace的pt_regs的定义,而且分为i386 arm x86和aarch64的不同分支
d_o_n_g2的博客
08-17 4540
下个linux kernel,通常在arch/xxx/include下有ptrace.h(通常是,但不总是,找不到时不妨grep下),里面有相应结构的定义 收起回复 2楼 2017-08-12 11:41 举报 |个人企业举报垃圾信息举报 futureIDE: 我有看过asm/ptrace.h
Android平台arm64 ptrace hook bridge_code debug
azfa123的博客
03-04 2112
参考文档: http://blog.chinaunix.net/uid-20361370-id-1962528.html 共享库注入–injectso实例 http://www.aiuxian.com/article/p-1295924.html Android平台的 Ptrace, 注入, Hook 全攻略 最近学习ptrace,也想尝试写个hook的程序玩玩。最后阶段的bridge_co
ptrace跟踪子进程
zuihoudebingwen的专栏
06-17 4750
引子: 1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态? 2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的? 3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么? 所有这
shim ptrace
最新发布
10-26
shim ptrace是一个用于操作进程的系统调用接口。它允许一个进程跟踪、控制和检查另一个进程的执行情况。通过shim ptrace,一个进程可以检查另一个进程的寄存器、内存和系统调用,并有能力修改它们的执行过程。 shim ptrace通常用于调试、监视和诊断进程。调试器可以使用shim ptrace来实现断点、单步执行和修改变量等调试功能。另外,shim ptrace还可以用于分析和检查进程的运行,例如查找进程中的内存泄漏、跟踪系统调用和信号处理。 在使用shim ptrace时,一个进程可以作为被跟踪进程,另一个进程则作为跟踪进程。跟踪进程使用ptrace系统调用来发送指令,而被跟踪进程则接收并执行指令。通过这种方式,跟踪进程可以获取被跟踪进程的状态信息,并对其进行操作。 对于被跟踪进程,它会在指令执行之前接收到跟踪进程发送的指令,并根据指令的要求进行操作。例如,跟踪进程可以用ptrace(PTRACE_PEEKDATA, pid, addr, data)来读取被跟踪进程中地址为addr的内存数据,并将结果保存在data中。类似地,跟踪进程也可以使用ptrace(PTRACE_POKEDATA, pid, addr, data)来修改被跟踪进程的内存值。 总之,shim ptrace是一个强大的工具,允许进程间相互跟踪、控制和修改执行过程。它在调试、监视和诊断进程方面扮演着重要角色,为开发人员提供了有效的方法来分析和改进程序的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值