ptrace入坑指南

最新推荐文章于 2023-05-07 18:19:35 发布
最新推荐文章于 2023-05-07 18:19:35 发布
阅读量627 收藏 2
点赞数 1
分类专栏: ELF 软件调试 Linux安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36963214/article/details/109132036
版权

目录

ptrace描述

通过ptrace(),一个进程可以观察和控制另一个进程的执行,并检查和更改跟踪程序的内存和寄存器。它主要用于实现断点调试和系统调用跟踪。

ptrace函数原型

long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

ptrace用法

PTRACE_TRACEME

形式:ptrace(PTRACE_TRACEME,0 ,0 ,0)
描述:本进程被其父进程所跟踪。其父进程应该希望跟踪子进程。

PTRACE_PEEKTEXT,PTRACE_PEEKDATA

形式:ptrace(PTRACE_PEEKTEXT, pid, addr, data)
描述:从内存地址中读取一个字节,pid表示被跟踪的子进程,内存地址由addr给出,data为用户变量地址用于返回读到的数据。在Linux(i386)中用户代码段与用户数据段重合所以读取代码段和数据段数据处理是一样的。

PTRACE_POKETEXT,PTRACE_POKEDATA
形式:ptrace(PTRACE_POKETEXT, pid, addr, data)
描述:往内存地址中写入一个字节。pid表示被跟踪的子进程,内存地址由addr给出,data为所要写入的数据。

TRACE_PEEKUSR
形式:ptrace(PTRACE_PEEKUSR, pid, addr, data)
描述:从USER区域中读取一个字节,pid表示被跟踪的子进程,USER区域地址由addr给出,data为用户变量地址用于返回读到的数据。USER结构为core文件的前面一部分,它描述了进程中止时的一些状态,如:寄存器值,代码、数据段大小,代码、数据段开始地址等。在Linux(i386)中通过PTRACE_PEEKUSER和PTRACE_POKEUSR可以访问USER结构的数据有寄存器和调试寄存器。

PTRACE_POKEUSR
形式:ptrace(PTRACE_POKEUSR, pid, addr, data)
描述:往USER区域中写入一个字节,pid表示被跟踪的子进程,USER区域地址由addr给出,data为需写入的数据。

PTRACE_CONT
形式:ptrace(PTRACE_CONT, pid, 0, signal)
描述:继续执行。pid表示被跟踪的子进程,signal为0则忽略引起调试进程中止的信号,若不为0则继续处理信号signal。

PTRACE_SYSCALL
形式:ptrace(PTRACE_SYS, pid, 0, signal)
描述:继续执行。pid表示被跟

最低0.47元/天 解锁文章
youngseaz
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反调试 - ptrace
dafan0的博客
05-12 356
一个进程只能被一个进程附加,为了防止frida的附加,程序中自己先基于ptrace附加自己,我们如果后期使用frida去附加app时,就会报错,因为frida内部会使用ptrace。一个进程只能被ptrace一次,如果先调用了ptrace方法,那就可以防止别人调试我们的程序。这就是传说中的先占ptrace可以让一个进程监视和控制另一个进程的执行,并且修改被监视进程的内存、寄存器等,主要应用于调试器的断点调试、系统调用跟踪等。方法2:修改ASOP源码,让它自己附加自己失败,编译并刷自己手机。
LINUX 3.5.4 PTRACE (系列七)
shen332401890的专栏
12-17 1933
本文主要研究父进程利用ptrace系统调用访问子进程的内存。 跟踪进程能够查看被跟踪进程的地址空间并且查看进程某个内存地址锁存储的变量的值。在这里我们需要使用linux内核的nm工具对程序进行分析从而获取到符号的地址信息。 本文分析的例子就是通过变量的地址修改变量的值。具体程序如下: child4: #include "ptrace.h" void main(int argc,char
Andorid APK反逆向解决方案:梆梆加固原理探寻【存档】
panfanglin的专栏
06-26 956
目前Android市场充斥着大量的盗版软件,开发者的官方应用被“打包党”们恶意篡改。如何使程序代码免受盗版篡改就成了开发者面临的头等大事,今天我们将分析一个不错的解决方案——梆梆加固。 通过对App进行加固保护,梆梆可以有效防止移动应用在运营推广过程中被破解、盗版、二次打包、注、反编译等破坏,保障程序的安全性、稳定性,对移动应用的整体逻辑结构进行保护,保证了移动应用的用户体验。
ptrace
lyndon
05-07 936
任何发给子进程的信号 signal(SIGKILL 除外)将导致子进程暂停运行,而它的父进程会通过 wait() 获得通知。
App之Hook反调试解决办法
SC201204的博客
02-03 970
App之Hook反调试解决办法
ptrace实例
01-01
ptrace的工作模式包括PTRACE_PEEKTEXT/PTRACE_PEEKDATA(读取内存)、PTRACE_POKETEXT/PTRACE_POKEDATA(写内存)、PTRACE_CONT(继续执行)、PTRACE_SINGLESTEP(单步执行)等。 2. **注过程**:ptrace的...
ptrace防护.zip
12-28
在iOS系统中,ptrace是一个重要的系统调用,它允许一个进程(称为tracer)挂载、跟踪另一个进程(称为tracee)的系统调用和信号处理。ptrace被广泛用于调试、性能分析以及安全监控等领域。然而,由于其强大的功能,...
ptrace的小demo
03-17
PTRACE函数代码分析
07-03
Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的...
ptracer:一个用于基于ptrace的Python程序跟踪的库
05-10
ptracer-一个用于基于ptrace的Python程序跟踪的库 Ptracer是一个库,可在Python程序中提供按需系统调用跟踪。 基本用法 import traceback import ptracer def callback ( syscall ): print ( '{}({}) -> {}' . ...
安卓安全/逆向面试题
平凡者的专栏
06-19 4533
安全、逆向
关于ptrace 请求类型
博客
06-20 546
request:请求执行的行为,可能选择有 PTRACE_TRACEME //指示父进程跟踪某个子进程的执行。任何传给子进程的信号将导致其停止执行,同时父进程调用wait()时会得到通告。之后,子进程调用exec()时,核心会给它传送SIGTRAP信号,在新程序开始执行前,给予父进程控制的机会。pid, addr, 和 data参数被忽略。 PTRACE_PEEKTEXT, PTRACE_PEEKDATA //从子进程内存空间addr指向的位置读取一个字,并作为调用的结果返回。Linux内.
PHP failed to ptrace(PEEKDATA) pid 1918: Input/output error (5)或者 increase pm.start_servers解决...
weixin_33797791的博客
09-20 295
今天网站出现负载很大,cpu占用率超高,网站延迟很大,前台出现此错误信息:[19-Sep-201623:30:38]WARNING:[poolwww]child31954,script'/var/www/html/casino.21pink.com/public/index.php'(request:"POST/index.php")executing...
问题:connect() failed (111: Connection refused) while connecting to upstream
weixin_33690367的博客
05-13 1222
问题描述: 服务器重启之后,服务器也正常运行,发现网站访问不了,后来查看nginx 错误日志(/var/log/nginx/error.log)2016/05/1310:47:32[error]7688#0:*8connect()failed(111:Connectionrefused)whileconnectingtoupstream,c...
php+output+报错,解决NGINX+PHP-FPM failed to ptrace(PEEKDATA) Input/output error出错问题
weixin_35347870的博客
03-11 435
网站总是出现bad gateway 提示,时有,时无,查看了一下日志,居然出现一堆错误,如下[29-Mar-2014 22:40:10] ERROR: failed to ptrace(PEEKDATA) pid 4276: Input/output error (5)[29-Mar-2014 22:53:54] ERROR: failed to ptrace(PEEKDATA) pid 4319...
Ptrace 详解 转载
weixin_57023347的博客
08-05 985
转载:Ptrace 详解 引子:1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态?2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?所有这一切的背后都隐藏着Linux所提供的一个强大的系统调用ptrace().1.ptrace系统调用ptra
android绕过反调试方法,安卓|使用ptrace绕过ptrace反调试(二)
weixin_35171513的博客
05-26 1655
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
linux 分析 ptrace
weixin_33670786的博客
01-26 387
linux分析ptrace() 形式 #include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心p_w_picpath。它主要用于实现断点调试。一...
shim ptrace
最新发布
10-26
shim ptrace是一个用于操作进程的系统调用接口。它允许一个进程跟踪、控制和检查另一个进程的执行情况。通过shim ptrace,一个进程可以检查另一个进程的寄存器、内存和系统调用,并有能力修改它们的执行过程。 shim...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值