Linux下的signal调试

于 2021-09-28 20:37:58 发布
阅读量570 收藏 2
点赞数
分类专栏: reverse 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41866334/article/details/120537095
版权

Linux下的signal调试

最近逆向时候碰到了好几个关于signal的逆向题,因此来做个总结。

打开gdb输入info handle可以看到gdb对于所有信号量的默认处理方式,我们关注常用的前几个:
在这里插入图片描述

注意到圈起来的部分是gdb在调试时自己处理而不会传递给源程序的几个信号量,因此这几个信号量就大量用于逆向题中搞一些骚操作。对这四个信号量进行改写时,如果不更改gdb中的“pass to program”选项,则程序还是会安装默认的处理方式处理该信号。想要进行调试,需要用handle 信号量名 pass进行更改。

下面我们逐个讲解这四个信号量。

SIGINT

这是linux中的中断信号,当运行程序时按下ctrl+c时就出发了这个中断,正常情况下会结束程序。但是我们可以自己改写对该信号的处理函数。下面就是非常经典的一种用法:

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>

void     INThandler(int);

void  main(void)
{
    signal(SIGINT, INThandler);// install SIGINT的处理函数
    while (1)
        pause();
}

void  INThandler(int sig)
{
    char  c;

    signal(sig, SIG_IGN); // uninstall 当前signal的处理函数
    printf("\nDo you really want to quit? [y/n] ");
    c =getchar();
    if (c == 'y' || c == 'Y')
        exit(0);
    else
        signal(SIGINT, INThandler);
    getchar();  // 读取\n
}

注意到我们在INThandler里先uninstall了对SIGINT的处理,之后再reinstall它。这是考虑到如果在处理上一个信号量时又有一个信号量输入进来导致程序发生错误。

SIGTRAP

The SIGTRAP signal is sent to a process when an exception (or trap) occurs: a condition that a debugger has requested to be informed of — for example, when a particular function is executed, or when a particular variable changes value.

我们的软件断点使用int 3实现,int 3会产生一个SIGTRAP的信号量,当在调试时如果不将该信号pass to program,那么程序就会停在这里作为一个断点。但有时候,程序本身注册了对于SIGTRAP的处理函数,如果不把信号量pass则会产生同一程序在调试与否的情况下会产生不同的运行结果。因此,很多逆向题会用这个方法来隐藏程序真正的逻辑。下面是一个案例:

#include <stdio.h>
#include <signal.h>
   
#define SPC_DEBUGGER_PRESENT (num_traps == 0)
static int num_traps = 0;
   
static void int3handler(int signo) {
  num_traps++;
}
 
int spc_trap_detect(void) {
  if (signal(SIGTRAP, int3handler) == SIG_ERR) return 0;
  raise(SIGTRAP);
  return 1;
}

如果上面的程序正常运行,那么会触发int3handler,因此SPC_DEBUGGER_PRESENT为false。而如果调试器在的话,因为SIGTRAP被调试器截获,因此不会触发num_traps++, SPC_DEBUGGER_PRESENT为True。

SIGSEGV

这个信号量相信大家都不陌生,写bug的程序员们最讨厌它了。SIGSEGV is the signal a program gets from referencing a place in memory far away from all the areas in use.

这个也可以用作反调试,当程序正常运行时,SIGSEGV会被用户写的函数处理,因此不会直接崩溃。但是如果调试时没有pass,则程序会直接崩溃。

void sigsegv_handler(int signo, siginfo_t *info, void *extra) {
    ucontext_t* p = (ucontext_t*)extra;
	char* pc = (void*)(p->uc_mcontext.gregs[REG_RIP]);//获取触发SIGSEGV时的RIP
    char n = pc[5], m = pc[4];
    char *d = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS, 0, 0);
    decode_and_run(d, &pc[8], n, m); //对encrypted_func解密并运行
	munmap(d, 0x1000);
}

void fun() {
    encrypted_func(); //被加密的代码块,里面会触发SIGSEGV
    while(1);
}

SIGALRM

SIGALRM occurs when the alarm clock timer goes off (which happens only if your program has requested an alarm).

在逆向题目中往往用alarm来注册并隐藏用于检查输入是否合法的check函数。因为处理SIGALRM并不会暂停程序(在gdb的info handle中第一个stop是no),所以用alarm可以做出并行处理。下面是一个SIGALRM的样例:

#include  <stdio.h>
#include  <signal.h>

unsigned long  counter;            
int            MAX;                
int            ALARMcount;         
int            SECOND;             

void  ALARMhandler(int sig)
{
     signal(SIGALRM, SIG_IGN);      
     ALARMcount++;              
     printf("*** ALARMhandler --> alarm received no. %d.\n", ALARMcount);
     printf("*** ALARMhandler --> counter = %ld\n", counter);
     printf("*** ALARMhandler --> alarm reset to %d seconds\n", SECOND);
     if (ALARMcount == MAX) {          
          printf("*** ALARMhandler --> Maximum alarm count reached.  exit\n");
          exit(0);
     }          
     counter = 0;                       /* otherwise, reset counter */
     alarm(SECOND);                     /* set alarm for next run   */
     signal(SIGALRM, ALARMhandler);     /* reinstall the handler    */
}

void  main(int argc, char *argv[])
{
     if (argc != 3) {
          printf("Use: %s seconds max-alarm-count\n", argv[0]);
          printf("No. of seconds is set to 1\n");
          SECOND = 1;
          printf("Max number of alarms set to 5\n");
          MAX    = 5;
     }
     else {
          SECOND = atoi(argv[1]);
          MAX    = atoi(argv[2]);
     }
     counter    = 0;              
     ALARMcount = 0;                  
     signal(SIGALRM,ALARMhandler);    
     printf("Alarm set to %d seconds and is ticking now.....\n", SECOND);
     alarm(SECOND);                   
     while (1)                        
          counter++;
}

Reference

Android 平台 Native 代码的崩溃捕获机制及实现

Linux - signal处理的一些补充

Install a Signal Handler

Signals

1mmorta1
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 的信号 signal
qq_43403759的博客
03-19 604
一.让程序在后台运行   在之前的章节中,如果要想程序,在命令提示行下输入程序名后按回车键,程序被运行,然后等待程序运行完成。在程序运行的过程中,也可以用 Ctrl+c 中止它。   在实际中,我们需要让程序在后台运行,没有界面,没有用户输入数据,例如 socket服务端程序。   如果想让程序在后台运行,有两种方法。 1.加 “&” 符号让程序在后台运行   如果想让程序在后台运行,执行程序的时候,命令的最后面加“&” 符号。如: ./C++封装服务端 5005 &   (1)输
将信号用作 Linux 调试工具
嵌入式 Linux ARM ADS ADHOC C C++ PLC 单片机
03-21 1177
         通过重点分析使用信号处理程序捕获到的数据,您可以加速调试过程中耗时最多的一个步骤:寻找 bug。本文介绍了 Linux® 信号的背景知识,并给出了已在 PPC Linux 测试通过的示例,然后介绍如何设计自己的信号处理程序来输出信息,从而快速定位代码中有问题的部分。信号 就是软件中断,可以向正在执行的程序(进程)发送有关异步事件发生的信息。大部分硬件 trap(非法指令、
Linux进程间通信(五)---信号通信之signal()、信号集函数组及其基础实验
王文松的博客
06-13 7857
上一节介绍进程间通信方式之一信号通信中的信号产生和捕捉函数,这一节介绍信号处理函数signal()函数和信号集函数组,接上一节http://blog.csdn.net/mybelief321/article/details/9078193 强烈建议做最后一个实验! 信号处理方法    信号处理的方法主要有以下两种:    ①  使用 signal() 函数;    ②  使用信号集函数组
gdb中调试signal信号
镇关西拳打鲁智深
03-04 5554
<br />原发贴者 Couger,备查。<br /> <br /> <br />在console下按Ctrl-C后确实发送了SIGINT信号,但是gdb里的缺省设置将会导致由GDB截获的该信息,调试的应用程序无法接受到该信号。 <br /><br />有两种方法可以使调试的应用程序接受到信号: <br /><br />(1)改变gdb信号处理的设置 <br />比如,以下设置会告诉gdb在接收到SIGINT时不要停止、打印出来、传递给调试目标程序 <br />=============
linux signal 实现自己程序示例
06-22
本文将探讨如何在Linux环境下利用信号实现自己的程序示例。 首先,信号分为标准信号和自定义信号。标准信号包括SIGABORT(处理失败)、SIGALRM(报警时钟)、SIGFPE(浮点异常)、SIGHUP(挂起)、SIGILL(非法指令...
Linux-signal
05-16
### Linux信号(signal)处理机制详解 #### 一、信号的基本概念 信号(signal),又被称为软中断信号,是一种用于进程间通信的重要机制。它允许进程在接收到特定的事件时能够采取相应的行动。信号的设计思想源自中断的...
linux下 利用eclipse与gdbserver远程调试代码
08-06
Linux 下利用 Eclipse 与 GDBServer 远程调试代码 Linux 下远程调试是一种常见的调试方式,利用 Eclipse 和 GDBServer,可以实现远程调试程序。本文将详细介绍如何使用 Eclipse 和 GDBServer 进行远程调试。 一、...
linux下C语言开发笔记整理
02-16
在Unix/Linux系统中,可通过`export`命令设置环境变量,了解如何使用和设置环境变量对于程序调试和运行至关重要。 ### Unix/Linux系统的文件和目录操作 Unix/Linux系统将一切看作文件,包括硬件设备。因此,文件...
Linux 信号signal处理机制
09-09
信号(signal)是Linux系统中用于进程间通信的重要机制之一,其本质上是一种软中断信号。它主要用于通知进程发生了某些特定的事件,例如进程异常终止、资源超限等。信号机制允许进程以异步的方式接收和响应这些事件。 ...
linux信号调试,将信号用作 Linux 调试工具(三)
weixin_42497299的博客
05-14 118
#include #include #include #include static void myhandler (unsigned int sn , siginfo_t si ,\struct ucontext *sc){unsigned int mnip;int i,j;printf(" Signal number = %d, Signal errno = %d\n",si.si_sign...
linux gdb调试程序 - 信号
xiongli880612的专栏
12-16 591
http://blog.csdn.net/yuyunliuhen/article/details/41673599
linux-0.11调试教程,信号处理方式
linux-0.11调试教程
02-07 2057
信号处理方式根据sa_handle可以分为3中。 第一种:默认,如果是SIGCHLD则返回。如果不是则调用do_exit()函数结束进程。蓝色代码。 第二种:忽略,直接返回。红色代码。update对信号值SIGINT和SIGTERM的处理句柄为SIG_IGN(忽略)。 第三种:用户自定义,收到对应的信号后,则会运行用户的自定义程序。 void do_signal(long sign
GDB 信号处理 Signals Handle
个人工作中学到的专业技术与职业发展知识笔记
06-30 1656
1、信号 Signals: 信号是一种软中断,应用程序一般都会处理信号,如程序异常退出等会发出信号。 UNIX下的部分信号: SIGINT 表示中断字符信号,也就是Ctrl+C的信号 SIGBUS 表示硬件故障的信号 SIGCHLD 表示子进程状态改变信号 SIGKILL 表示终止程序运行的信号 2、GDB中处理信号: GDB调试器可以自动捕获C、C++程序中出现的信号,并根据事先约定好的方式处理它,默认收到任何信号都会停住正在运行的程序,以供你进行调试。 2.1、控制GDB收到
Linux的GDB调试
qq_24601427的博客
03-30 815
文章目录系统开关用法常用的GDB命令启动GDBGDB显示数据printwhatisexamine断点break断点管理单步执行函数调用机器语言工具信号捕获信号发送信号GDB多线程 系统开关 ulimit -c unlimited 程序dump时,在当前目录下生成core.pid(pid为进程号)的文件 gcore pid(调试进程的pid)手动生成core文件 用法 gdb [option...
linux 获取进程信号,linux信号LinuxSignal信号太详细了,终于找到了
weixin_31572321的博客
04-28 817
linux信号LinuxSignal信号太详细了,终于找到了信号是Linux编程中非常重要的部分,本文将详细介绍信号机制的基本概念、Linux对信号机制的大致实现方法、如何使用信号,以及有关信号的几个系统调用。信号机制是进程之间相互传递消息的一种方法,信号全称为软中断信号,也有人称作软中断。从它的命名可以看出,它的实质和使用很象中断。所以,信号可以说是进程控制的一部分。一、信号的基本概念本节先介...
linux c malloc段错误,Linux下C编程问题:段错误,Program received signal SIGSEGV, Segmentation fault.请教各位!...
weixin_29799209的博客
05-13 346
Linux下C编程问题:段错误,ProgramreceivedsignalSIGSEGV,Segmentationfault.请教各位!下面是我调试时的一些信息:[root@localhostPractice]#gcc-op1-gp1.c[root@localhostPractice]#./p1段错误[root@localhostPractice]#gdbp1GNU...
linux gdb 忽略信号,linux-为什么在附加到跟踪时,GDB可以屏蔽跟踪的SIGKILL
weixin_35732157的博客
05-14 623
signal(7)手册页指出SIGKILL不能被捕获,阻止或忽略.但是我只是观察到,在使用GDB附加到进程之后,我无法再将SIGKILL发送到该进程(类似地,其他信号也无法传递).但是在我分离并退出GDB之后,SIGKILL照常交付.在我看来,GDB在附加时已阻止该信号(代表示踪),而在分离时已取消阻止了该信号.但是,ptrace(2)手册页显示:While being traced, the t...
linux signal函数_linux-0.11 信号分析
weixin_39644750的博客
12-25 211
1.中断描述表下面先列出中断描述表,而信号分析中最重要的是系统调用。即,system_call。set_trap_gate(0,÷_error);//设置除操作出错的中断向量值。以下雷同。set_trap_gate(1,&debug);set_trap_gate(2,&nmi);set_system_gate(3,&int3);/*i...
linux signal 11
最新发布
05-26
Linux中的Signal 11是指一个进程收到了一个SIGSEGV信号,这通常是由于进程访问非法内存地址或试图执行未经授权的操作引起的。该信号通常是由于编程错误或系统故障引起的,例如内存泄漏或堆栈溢出。在收到Signal 11后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值