ptrace修改进程数据

已于 2023-07-13 23:23:47 修改
阅读量639 收藏 2
点赞数
文章标签: linux
于 2023-07-13 23:22:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42693685/article/details/131713589
版权
文章展示了如何使用ptrace系统调用来读取和修改另一个进程的内存数据,包括全局变量和栈变量。示例代码说明了ptrace的工作机制,如PTRACE_ATTACH、PTRACE_PEEKDATA和PTRACE_POKEDATA等请求。但请注意,这种行为可能涉及安全风险,不应随意用于非授权的进程操作。
摘要由CSDN通过智能技术生成

ptrace可以修改和读取一个进程的数据 

long ptrace(enum __ptrace_request request,pid_t pid,void *addr,void *data);

PTRACE_TRACEME,   本进程被其父进程所跟踪。其父进程应该希望跟踪子进程
PTRACE_PEEKTEXT,  从内存地址中读取一个字节,内存地址由addr给出
PTRACE_PEEKDATA,  同上
PTRACE_PEEKUSER,  可以检查用户态内存区域(USER area),从USER区域中读取一个字节,偏移量为addr
PTRACE_POKETEXT,  往内存地址中写入一个字节。内存地址由addr给出
PTRACE_POKEDATA,  往内存地址中写入一个字节。内存地址由addr给出
PTRACE_POKEUSER,  往USER区域中写入一个字节,偏移量为addr
PTRACE_GETREGS,    读取寄存器
PTRACE_GETFPREGS,  读取浮点寄存器
PTRACE_SETREGS,  设置寄存器
PTRACE_SETFPREGS,  设置浮点寄存器
PTRACE_CONT,    重新运行
PTRACE_SYSCALL,  重新运行
PTRACE_SINGLESTEP,  设置单步执行标志
PTRACE_ATTACH,追踪指定pid的进程
PTRACE_DETACH,  结束追踪

读取修改进程数据的样例

#include <stdio.h>
#include <stdlib.h>
#include <sys/ptrace.h>
int main(int argc, char* argv[])
{
	pid_t attack_pid = -1;
	long  val        = 66;

	if (argc < 2 || argv[1] <= 0)
	{
		printf("usage: ./main pid(pid > 0)\n");
		return 0;
	}
	attack_pid = strtoul(argv[1], 0, 10);
        if (ptrace(PTRACE_ATTACH, attack_pid, NULL, NULL) < 0)
	{
		printf("attach failed\n");
		return 0;
	}
    //读取数据
	printf("global1 %d\n", ptrace(PTRACE_PEEKDATA , attack_pid, (void*)0x804a028, NULL));
	printf("stack_var %d\n", ptrace(PTRACE_PEEKDATA , attack_pid, (void*)0xbfa4195c, NULL));
    //修改数据
	ptrace(PTRACE_POKEDATA , attack_pid, (void*)0x804a028, val);
	ptrace(PTRACE_POKEDATA , attack_pid, (void*)0xbfa4195c, val);

	ptrace (PTRACE_DETACH, attack_pid, NULL, NULL);
	waitpid(attack_pid, NULL, WUNTRACED);
	return 0;
}


//main.c被改写的进程
#include <stdio.h>
 
int global1 = 11; // 
 
int main(void)
{
  long stack_var = 10;
  char c = 'a';
  while(1)
  {
    printf("global1 addrss 0x%lx, global1=%d\n", &global1, global1);
    printf("stack_var addrss 0x%lx, stack_var=%d\n", &stack_var, stack_var);
    scanf("%c", &c);
    getchar();
    if (c != 'c')
    {
        break;
    }
  }
  return 0;
}

进程号是10093。ptrace程序读取全局变量和局部变量的值(我提前把这两个变量的地址打印出来了)

可以看到等待ptrace修改完成之后,再去读取数据已经变成我们改写的66了

 

所以ptrace是不是能够随便改写其他进程的值哦

这个我好像学过
关注
[ptrace修改内存]实现进程代码注入
HotIce0
09-26 8472
一、背景 ptrace是Unix系列系统的系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&amp;amp;amp;amp;amp;amp;amp;amp;写入操作,内存进行读取&amp;amp;amp;amp;amp;amp;amp;amp;修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。 二、主要流程 实验使用的方式是,直接rip
通过ptrace跟踪进程
bunner_的博客
06-10 889
1. 任务环境与目标 1.1 实验机器 Ubuntu 20.04 64位 1.2 任务目标 给定一个可执行文件,该程序调用两次print_string函数,分别输出Hello 1,Hello 2,要求在print_string处下断点,并输出该处时的各寄存器值 2. 原理 2.1 ptrace ptrace的函数原型为:long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); 那么有关本任务中涉及到的一些re
linux ptrace内存,转:Linux系统调用--ptrace函数详解
weixin_39805924的博客
05-03 677
PTRACE_PEEKTEXT,PTRACE_PEEKDATA//从子进程内存空间 addr 指向的位置读取一个字,并作为调用的结果返回。Linux内部对文本段和数据段不加区分,所以目前这两个请求相等。data 参数被忽略。PTRACE_PEEKUSR//从子进程的用户区 addr 指向的位置读取一个字,并作为调用的结果返回。PTRACE_POKETEXT,PTRACE_POKEDATA//...
ptrace动态修改某个进程数据
最新发布
Hi20240217的博客
04-22 278
本文演示了如何基于ptrace机制,修改另一个进程数据
玩转ptrace
热门推荐
么刚的专栏
08-23 1万+
下面是转帖的内容,写的很详细。但是不同的linux发行版中头文件的路径和名称并不相同。如在某些发行版中就不存在,其中定义的变量出现在和中。 =====================================================================
使用ptrace向已运行进程中注入.so并执行相关函数
MyArrow的专栏
07-30 1万+
1. 简介     使用ptrace向已运行进程中注入.so并执行相关函数,其中的“注入”二字的真正含义为:此.so被link到已运行进程(以下简称为:目标进程)空间中,从而.so中的函数在目标进程空间中有对应的地址,然后通过此地址便可在目标进程中进行调用。      到底是如何注入的呢?      本文实现方案为:在目标进程中,通过dlopen把需要注入的.so加载到目标进程的空间中。
Linux内核私闯进程地址空间并修改进程内存的方法
09-14
在实际操作中,通常会通过系统调用如`ptrace`或`syscalls`等接口来让内核协助用户空间修改进程内存,这些接口提供了适当的权限检查和错误处理。 通过以上讲解,我们可以了解到在Linux内核中如何越过进程地址空间的...
ptrace跟踪子进程
zuihoudebingwen的专栏
06-17 4784
引子: 1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态? 2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的? 3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么? 所有这
使用ptrace向已运行进程中注入.so并执行相关函数讲解.pdf
11-13
总结,通过ptrace向已运行进程中注入.so并执行相关函数,是一种强大的调试和注入技术,它允许我们在不修改目标程序源代码的情况下,影响其行为。然而,这种技术也有可能被滥用,用于恶意目的,因此在实际应用中应...
三个游戏内存修改工具源代码
05-27
关于几个内存修改工具的说明: MemEdit0.2.rar (需要RX6控件) 侯思松先生写的 一个快速的游戏修改工具的Delphi6源代码 和金山游侠之类的很接近,速度较快。 ProcessInfo.rar 作者不详,在此对其表示感谢 Memory.rar 无意在硬盘上找到的,发现里面的主要搜索代码是我以前写的。 效率不太高,但是还是送给大家吧。希望有一定参考价值。
[Ptrace]Linux内存替换(三)运行控制
BraveWinds B10G
08-04 1910
在上一节中利用Ptrace实现了B程序对A程序进程信息的读取,下面一个实例将实现B进程对A进程的运行控制,即利用B进程暂停A进程运行,输入任意字符后继续执行,但以下实例在恢复A进程时失败,具体原因还在探索。【环境】 CentOS 6.4 RC Linux version 2.6.32-358.el6.i686 Gcc version 4.4.7 0120313【A程序:counter.c】#i
linux内存替换,[Ptrace]Linux内存替换(二)信息获取
weixin_39808893的博客
05-02 142
对ptrace有了初步了解后,到网上找了一个简单例程熟悉一下,实现效果为B程序附加到A程序上获取A程序EIP等相关信息后输出。【环境】CentOS 6.4 RCLinux version 2.6.32-358.el6.i686Gcc version 4.4.7 20120313【A程序:counter.c】#include int main(){int i;for(i = 0;i < 20;...
[Ptrace]Linux内存替换(二)信息获取
BraveWinds B10G
07-30 1605
对ptrace有了初步了解后,到网上找了一个简单例程熟悉一下,实现效果为B程序附加到A程序上获取A程序EIP等相关信息后输出。【环境】 CentOS 6.4 RC Linux version 2.6.32-358.el6.i686 Gcc version 4.4.7 0120313【A程序:counter.c】#include <stdio.h>int main() { int i;
使用ptrace向已运行进程中注入 so并执行相关函数
qq_44884706的博客
04-15 863
使用ptrace向已运行进程中注入 so并执行相关函数
linux ptrace内存,Linux高级调试与优化——ptrace
weixin_39853843的博客
05-03 335
ptrace (process trace)#include long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);ptrace系统调用运行tracer进程监视和控制tracee进程的执行过程,检查和修改tracee进程内存和寄存器值。ptrace主要用来实现端点调试和跟踪系统调用。tracee...
ptrace函数(附近进程修改进程数据
haodawei123的博客
01-30 2288
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号 long ptrace( enum __ptrace_request request...
[Ptrace]Linux内存替换(四)代码注入
BraveWinds B10G
08-09 3691
【环境】 CentOS 6.6 (Final) Linux version 2.6.32-504.el6.i686 Gcc version 4.4.7 20120313 【A程序:counter.c】 #include #include long long timeum(){ struct timeval tim; gettimeofday (&tim ,
如何用ptrace拦截系统调用并替换为自定义代码
fdfasf的博客
11-19 787
如何用ptrace拦截系统调用并替换为自定义代码 tracer能够改变系统调用参数,改变系统调用的返回值,甚至屏蔽特定的系统调用,将特定系统调用替换为自定义的helloworld函数。 ptrace系统调用的拦截替换原理为:利用ptrace函数使父进程跟踪子进程,当子进程在执行系统调用时,断住子进程,获取并保存当前系统调用的寄存器信息。然后备份ip寄存器指向的指令块A,替换为我们要执行的code指令块B,B执行后ip地址值恢复为指令块A及寄存器内容。 下面用例子实现上面的系统调用拦截替换功能。首先我们的目标
ptrace使用和调试
&Ψ的博客
06-12 5242
1. 文章参考 [原创]一窥GDB原理-Pwn Linux ptrace系统调用详解:利用 ptrace 设置硬件断点 <<软件调试>> 张银奎 2. ptrace函数原型 enum __ptrace_request { PTRACE_TRACEME = 0, //被调试进程调用 PTRACE_PEEKDATA = 2, //查看内存 PTRACE_PEEKUSER = 3, //查看struct user 结构体的值 PTRACE_POKEDATA = 5, //
ptrace详解:调试与进程控制
例如,当子进程进入或退出系统调用时,父进程可以通过ptrace获取或修改进程的上下文,从而实现高级调试功能。 ptrace是一个强大的工具,它允许程序员深入到进程内部,进行细致的跟踪和调试。通过正确地使用ptrace...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值