ptrace和wait的理解 (ptrace监控进程)

最新推荐文章于 2024-05-21 16:20:05 发布
最新推荐文章于 2024-05-21 16:20:05 发布
阅读量2.3k 收藏 5
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tuhuolong/article/details/74987690
版权 
ptrace(监控进程)

被跟踪进程收到任何信号(除SIGKILL)都会停止,将信号转给跟踪器(触发wait)

PTRACE_SYSCALL:跟踪系统调用,每次系统调用会收到一个SIGTRAP
PTRACE_SINGLESTEP:跟踪单步,每执行完一个指令收到一个SIGTRAP
PTRACE_CONT:继续

断点(int 3 指令)会触发一个SIGTRAP



wait, waitpid, waitid(等待进程状态改变)

1.进程终止(terminated) WIFEXITED/WIFSIGNALED
2.进程被信号停止(stopped by a signal) WIFSTOPPED
3.进程恢复(resumed by a signal) WIFCONTINUED



ptrace拦截信号原理:被跟踪进程收到所有信号(除SIGKILL)会被停止,并触发跟踪器的wait回调



</

最低0.47元/天 解锁文章
tuhuolong
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux ptrace 内核源码分析,Linux ptrace详细分析系列(一)
weixin_36000501的博客
05-13 603
原标题:Linux ptrace详细分析系列(一) 本文为看雪论坛优秀文章看雪论坛作者ID:有毒备注:文章中使用的Linux内核源码版本为Linux 5.9,使用的Linux版本为Linux ubuntu 5.4.0-65-generic一、简述ptrace系统调用提供了一个进程(tracer)可以控制另一个进程(tracee)运行的方法,并且tracer可以监控和修改tracee的内存和寄存器,...
通过ptrace跟踪进程
bunner_的博客
06-10 848
1. 任务环境与目标 1.1 实验机器 Ubuntu 20.04 64位 1.2 任务目标 给定一个可执行文件,该程序调用两次print_string函数,分别输出Hello 1,Hello 2,要求在print_string处下断点,并输出该处时的各寄存器值 2. 原理 2.1 ptrace ptrace的函数原型为:long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); 那么有关本任务中涉及到的一些re
ptrace的各种操作
最新发布
u013347872的博客
05-21 293
基本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,而子进程则会被阻塞,这时子进程的状态就会被系统标注为TASK_TRACED。断点的实现原理,就是在指定的位置插入断点指令,当被调试的程序运行到断点的时候,产生SIGTRAP信号。spawn模式的原理是ptrace到zygote进程,然后跟踪zygote进程的fork系统调用,如果fork出来的新进程是指定包名的app,那么detach掉zygote进程,进而跟踪目标app进程的系统调用。
ptrace
jxxiaohou的专栏
05-28 1301
1. 介绍 ptrace()是一个系统调用,它允许一个进程控制另外一个进程的执行.不仅如此,我们还可以借助于ptrace修改某个进程的空间(内存或寄存器),任何传递给一个进程(即被跟踪进程)的信号(除了会直接杀死进程的SIGKILL信号)都会使得这个进程进入暂停状态,这时系统通过wait()通知跟踪进程,这样,跟踪进程就可以修改被跟踪进程的行为了. 如果跟踪进程在被跟踪进程的内存中设置
使用ptrace跟踪进程
weixin_33953384的博客
04-03 186
2019独角兽企业重金招聘Python工程师标准>>> ...
ptrace接口和execve同步导致的一个内核漏洞
Netfilter
02-09 3734
linux中是不可以依附别的进程的,更不可能创建远程线程,然而一种不太正规的方式却可以做到这一点,这就是ptrace接口,ptrace可以依附任何用户进程,用特殊的参数甚至可以更改任何进程的寄存器和内存映射,这个功力和创建远程线程不相上下,甚至比其更加灵活,如果理解了elf映像在内存的布局便可以通过ptrace修改被调试进程的任意内存。然而有一个限制就是ptrace接口只能调试属于自己用户的进程
Wait4 & Ptrace & 进程调试 & 子进程状态获取 笔记总结
ordeder的专栏
10-05 1385
实例 http://hi.baidu.com/ordeder/item/4c31f93512e6524d3075a1b0 Ptrace详解 http://www.cnblogs.com/catch/p/3476280.html Ptra http://blog.sina.com.cn/s/blog_4ac74e9a0100n7w1.html
C语言实现的进程启动监控
08-24
监控进程启动,意味着我们需要监听系统中新创建的进程,并记录或处理这些信息。 要实现这个功能,我们主要需要用到以下几个关键的Linux系统调用: 1. **`fork()`**:这是创建新进程的核心函数。通过`fork()`,父...
reparent指定进程到当前进程
09-13
2. `wait(NULL)`:等待目标进程暂停,这通常是由于`ptrace(PTRACE_ATTACH)`导致的。在这个阶段,目标进程的控制权已转移到当前进程,因此可以对其进行各种调试操作。 3. `ptrace(PTRACE_CONT, pid, NULL, NULL)`:...
在Linux中执行和验证成功的流程执行
04-06
学习和理解这些概念对于任何想要在Linux环境下进行系统编程的人来说都是至关重要的,无论是在开发服务、编写脚本还是进行系统级调试。通过熟练掌握这些技术,开发者可以更好地控制和管理他们的应用程序,确保其在...
Linux源码分析(ptrace
03-27
Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号。
实验报告1
08-03
- 程序监控:使用ptrace()跟踪、wait4()等待、WIFEXITED、WEXITSTATUS和WIFSIGNALED判断程序状态,检查运行结果。 - 结果比较:对比用户程序的输出文件与标准输出,判断答案是否正确。 三、实验结果 实验成功实现...
ptrace函数(附近进程,修改进程数据
haodawei123的博客
01-30 2263
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号 long ptrace( enum __ptrace_request request...
使用Ptrace跟踪进程收到的异常信号(信号SIGTRAP是通过traceme后wait得到的)
weixin_34410662的博客
05-23 566
2019独角兽企业重金招聘Python工程师标准>>> ...
系统调用捕获和分析—通过ptrace获取系统调用信息
H4ppyD0g的博客
05-31 568
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注! 文章目录ptrace系统调用利用ptrace获取进程的系统调用 ptrace系统调用 linux提供了ptrace系统调用接口,通过这个接口可以实现进程的跟踪功能。以此实现父进程对其子进程进行控制和改变子进程核心镜像,包括读写子
为什么ptrace的PTRACE_ATTACH后面要有waitpid
博客
05-23 1106
ptrace的PTRACE_ATTACH将尝试附加到pid指定的进程上。附加成功后,目标进程将处于挂起状态。此时被跟踪进程将会发送SIGSTOP信号给跟踪者。跟踪者需要调用waitpid(2)以接收被跟踪进程传来的SIGSTOP信号。 如果不调用waipid,那么程序会直接僵尸。 ...
对ptrace运行机制的理解
weixin_57140753的博客
03-18 528
掌握系统中程序执行过程对安全员来说是非常重要的。本人小白,在观摩过许多大佬的文章后,对ptrace运行机制有了一些自己的理解,结合CTF比赛相关知识,想谈谈自己的看法,不足之处欢迎指正! 详细参考:(15条消息) ptrace运行原理及使用详解_忧郁的废物_Addy的博客-CSDN博客_ptrace 一、ptrace的整体概念 ptrace是一种系统函数,可以实现父进程对子进程的一系列操作,比如查看寄存器值,修改数据段等。 函数包含四个参数 long ptrace(enum __ptrace_re
异常、调试、ptrace的过程和原理
lqw198421的专栏
09-09 649
前言 从今年上半年开始,一直在利用ptrace做plt hook的一些工作。在此之前,对ptrace并没有什么了解。在工作开始后,为了能尽快出成果,也只是快速的翻了一下ptrace的相关接口函数,然后根据查阅到的资料,在较短时间内达成了项目目标。对其中的原理,并未做深入研究。今天看了一些资料,做个简单总结,以此为记。 异常 什么是异常 异常是异常控制流的一种形式,一部分由硬件实现,一部分由操作系统实现;它是控制流中的突变,用来相应处理其状态中的某些变化; ——《深入理解计算机系统》 可以用下图来简单表示:
怎么使用ptrace劫持进程
06-07
使用ptrace劫持进程一般需要以下几步: 1. 获取目标进程的PID(进程标识符)。 2. 使用ptrace系统调用附加到目标进程。 3. 使用ptrace系统调用在目标进程中设置断点,或者修改目标进程的寄存器状态、内存空间等。 4. 使用ptrace系统调用恢复目标进程的执行,等待目标进程触发断点,或者在目标进程中运行自己的代码。 5. 使用ptrace系统调用脱离目标进程。 下面是一个简单的示例代码,演示如何使用ptrace在目标进程中设置断点: ``` #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> #include <sys/types.h> #include <sys/wait.h> #include <unistd.h> int main() { pid_t child_pid; long orig_eax; int status; int data; child_pid = fork(); if (child_pid == 0) { // 子进程 ptrace(PTRACE_TRACEME, 0, NULL, NULL); execl("/bin/ls", "ls", NULL); } else { // 父进程 wait(&status); while (WIFSTOPPED(status)) { // 目标进程被暂停 orig_eax = ptrace(PTRACE_PEEKUSER, child_pid, 4 * ORIG_EAX, NULL); if (orig_eax == SYS_write) { // 目标进程执行了write系统调用,设置断点 data = ptrace(PTRACE_PEEKUSER, child_pid, 4 * EBX, NULL); printf("Write called with " "parameter %d\n", data); // 修改目标进程的内存空间 ptrace(PTRACE_POKEDATA, child_pid, data, 0); } // 恢复目标进程执行 ptrace(PTRACE_SYSCALL, child_pid, NULL, NULL); wait(&status); } } return 0; } ``` 这段代码创建了一个子进程,在子进程中执行了/bin/ls命令,父进程使用ptrace附加到子进程,并在子进程中设置了一个断点,当子进程执行了write系统调用时,会暂停执行并触发断点。在断点处理函数中,修改了子进程的内存空间,并恢复了子进程的执行。这是一个简单的示例,实际的ptrace劫持进程需要更加复杂和细致的处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值