Ptrace学习(1)

最新推荐文章于 2021-11-07 09:22:22 发布
最新推荐文章于 2021-11-07 09:22:22 发布
阅读量681 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011288590/article/details/13018803
版权

跟随玩转ptrace的文章跑示例的时候提示出错。


代码:

#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <unistd.h>
#include <linux/user.h> 
/* For constantsORIG_EAX etc */
int main()
{
pid_t child;longorig_eax;
child =fork();
if(child ==0)
{
ptrace(PTRACE_TRACEME,0,NULL,NULL);
execl("/bin/ls","ls",NULL);
}
else{wait(NULL);
orig_eax =ptrace(PTRACE_PEEKUSER,child,4*ORIG_EAX,NULL);
printf("The child made a system call %ld\n",orig_eax);
ptrace(PTRACE_CONT,child,NULL,NULL);
}
return0;
}


error: linux/user.h: No such file or directory

error: ‘ORIG_EAX’ was not declared in this scope


因为作者给的示例是32位系统下的。移到64位上要进行如下修改。

A。把linux/user.h换成sys/reg.h。

B。ORIG_EAX改为ORIG_RAX。因为ORIG_EAX寄存器在64位下对应的是ORIG_RAX。

C。4*ORIG_EAX  修改为 =》8*ORIG_RAX   因为现在是64位寄存器。


该示例是使用了PTRACE_PEEKUSER参数的ptrace函数,

从用户内存空间的栈顶指针开始往回偏移,找到ORIG_EAX(64位下是ORIG_RAX)里存放的系统调用号。偏移量就是寄存器号*寄存器宽度。

示例的系统调用是execve


执行结果:

32位下是:The child made a system call 11

64位下是:The child made a system call 59

这是因为execve系统调用号在32位和64位下的值不同。

具体可以查看/usr/include/asm/unistd.h下的execve的定义。




ian小白快跑
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ptrace入坑指南
qq_36963214的博客
10-17 630
ptrace描述 通过ptrace(),一个进程可以观察和控制另一个进程的执行,并检查和更改跟踪程序的内存和寄存器。它主要用于实现断点调试和系统调用跟踪。 ptrace函数原型 long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); ptrace用法 PTRACE_TRACEME 形式:ptrace(PTRACE_TRACEME,0 ,0 ,0) 描述:本进程被其父进程所跟踪。其父进程应该希望跟踪子进程
ptrace注入实例
01-01
1. **ptrace系统调用**:ptrace是Unix-like操作系统中提供的一种强大的功能,它允许一个进程暂停、继续、读取和修改另一个进程的内存、寄存器,甚至可以拦截系统调用。ptrace的工作模式包括PTRACE_PEEKTEXT/PTRACE_...
PTRACE函数代码分析
07-03
Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号。
ptrace学习
weixin_30312563的博客
12-08 71
x64 ptrace使用 #include <sys/ptrace.h> #include <sys/types.h> #include <sys/wait.h> #include <unistd.h> #include <sys/user.h> #include <sys/reg.h> #include &...
ptrace学习笔记(1)
anyaoyu9926的博客
02-25 96
参考博客http://blog.csdn.net/sealyao/article/details/6710772本人操作系统:ubuntu-14.04在执行系统调用之前,内核会先检查当前进程是否处于被“跟踪”(traced)的状态。如果是的话,内核暂停当前进程并将控制权交给跟踪进程,使跟踪进程得以察看或者修改被跟踪进程的寄存器。文中第一个例子,linux/user.h头文件找不到,替换成...
ORIG_EAX
zuihoudebingwen的专栏
06-17 3064
代码: 00050: EBX       = 0x00 00051: ECX       = 0x04 00052: EDX       = 0x08 00053: ESI       = 0x0C 00054: EDI       = 0x10 00055: EBP       = 0x14 00056: EAX       = 0x18 00057: DS       =
中断学习之下半部深入理解
shipinsky的博客
05-31 411
Linux 软中断机制分析http://blog.jobbole.com/107057/linux 内核软中断详解http://blog.sae.sina.com.cn/archives/4103总结一下linux软中断的实现http://blog.chinaunix.net/uid-145571-id-2798845.htmlkernel中断分析七——tasklethttps://blog.cs............
去掉AlipayWallet的ptrace 反调试保护,进行lldb调试(学习demo)
03-16
1、文章:https://blog.csdn.net/z929118967/article/details/78233844 2、去掉ptrace的思路: 2.1、 当程序运行后,使用 debugserver *:1234 -a BinaryName 附加进程出现 segmentfault 11 时,一般说明程序内部调用...
ptrace安卓程序注入例子
02-11
这个"ptrace安卓程序注入例子"提供了学习和研究Android程序注入的一个起点,对于想要深入理解Android安全和逆向工程的开发者来说,是一个宝贵的参考资料。通过实践这个示例,你可以更深入地了解Android系统的内部...
letmedebug:禁用ptrace的PT_DENY_ATTACH-修补ptrace系统调用
05-18
为了深入学习和实践,你可以下载并研究这个压缩包中的内容,了解如何在自己的应用程序中实施ptrace的保护机制。 总的来说,禁用ptrace的PT_DENY_ATTACH标志是提高系统安全性的重要步骤,特别是对于那些处理敏感信息...
反汇编程序:借助capstone和ptrace的简单实验性反汇编程序
02-22
在Disassembler-main项目中,可能包含了实现上述步骤的源代码,可以作为学习和研究反汇编技术的一个起点。通过阅读和理解这些代码,可以加深对Capstone和Ptrace的理解,并扩展到更复杂的逆向工程应用。
【工具】亲测PySpy:无中断python性能监控分析器,pyspy, Pyflame, ptrace 实战.html
11-29
机器学习 深度学习 pytorch tensorflow 贝叶斯 神经网络 算法
Python-ptracer一个用于Python程序的基于ptrace跟踪的库
08-10
通过查看源代码,你可以学习到如何封装ptrace调用,以及如何设计一个健壮的跟踪框架。示例脚本可以帮助你快速上手,了解如何在实际项目中使用这个库。 总的来说,Python-ptracer是一个强大的工具,为Python开发者...
skas_ptrace.rar_matlab例程_Unix_Linux_
08-11
1. Linux内核的ptrace系统调用及其应用,包括如何进行进程监控和控制。 2. Unix/Linux环境下的多线程同步机制,如互斥锁和自旋锁的使用。 3. MATLAB编程,特别是如何在Unix/Linux系统下编写和运行MATLAB程序。 4. ...
Ptrace, Utrace, Uprobes: Lightweight, Dynamic Tracing of User Apps
08-27
IBM经典论文,主要介绍几个调试工具的底层库的比较。关注点主要放在Utrace上,介绍了Utrac相对gdb传统调试底层库ptrace的优势。 学习使用ptrace必看
64位机 ptrace问题
yangqisheng的专栏
06-30 1613
今天看书看到ptrace这个函数。有人说功能强大,是strace等跟踪工具和gdb调试器的基石。我按网上的资料写个测试程序,发现点问题。 syscallID = ptrace(PTRACE_PEEKUSER, pid, ORIG_EAX*4, NULL); 这是网上某人写的代码。我把它放到64位linux上编译,发现编译不过,说找不到ORIG_EAX。我明明#include 了,怎么回事,
orig_eax
01-13 1219
<br />3.4.3与堆栈有关的常量、数据结构及宏<br />   在中断、异常及系统调用的处理中,涉及一些相关的常量、数据结构及宏,在此先给予介绍(大部分代码在arch/i386/kernel/entry.S中)。<br />   1. 常量定义<br />下面这些常量定义了进入中断处理程序时,相关寄存器与堆栈指针(ESP)的相对位置,图3.6给出了在相应位置上所保存的寄存器内容:<br />EBX = 0x00<br />ECX= 0x04<br />EDX= 0x08<br />ESI= 0x0C<
linux内核-系统调用
guoguangwu的专栏
11-07 870
如果说外部中断是使CPU被动地、异步地进入系统空间的一种手段,那么系统调用就是CPU主动地、同步地进入系统空间的手段。这里所谓主动,是指CPU自愿的、事先计划好了的行为。而同步则是说,CPU(实际上是软件的设计人员)确切地知道在执行哪一条指令以后就一定会进入系统空间。相比之下,中断的发生带有很大的不可预测性。但是,尽管有着这样的区别,二者之间还是由很大的共性。这是因为,在使CPU的运行状态从用户态转入系统态,也就是从用户空间进入系统空间,这一个基本点上二者是一致的。当然,中断有可能发生在CPU已经运行在系统
如何查出某个宏定义在哪个头文件内?
韦编二绝
05-17 4954
想要查找一个宏定义在哪个文件中,可以使用下面的方法:   [sproat@ test]# find /usr/include/ -name *.h | xargs grep 'ORIG_EAX' /usr/include/sys/reg.h:# define ORIG_EAX 11/usr/include/asm/ptrace-abi.h:#define ORIG_EAX 11
shim ptrace
最新发布
10-26
shim ptrace是一个用于操作进程的系统调用接口。它允许一个进程跟踪、控制和检查另一个进程的执行情况。通过shim ptrace,一个进程可以检查另一个进程的寄存器、内存和系统调用,并有能力修改它们的执行过程。 shim ptrace通常用于调试、监视和诊断进程。调试器可以使用shim ptrace来实现断点、单步执行和修改变量等调试功能。另外,shim ptrace还可以用于分析和检查进程的运行,例如查找进程中的内存泄漏、跟踪系统调用和信号处理。 在使用shim ptrace时,一个进程可以作为被跟踪进程,另一个进程则作为跟踪进程。跟踪进程使用ptrace系统调用来发送指令,而被跟踪进程则接收并执行指令。通过这种方式,跟踪进程可以获取被跟踪进程的状态信息,并对其进行操作。 对于被跟踪进程,它会在指令执行之前接收到跟踪进程发送的指令,并根据指令的要求进行操作。例如,跟踪进程可以用ptrace(PTRACE_PEEKDATA, pid, addr, data)来读取被跟踪进程中地址为addr的内存数据,并将结果保存在data中。类似地,跟踪进程也可以使用ptrace(PTRACE_POKEDATA, pid, addr, data)来修改被跟踪进程的内存值。 总之,shim ptrace是一个强大的工具,允许进程间相互跟踪、控制和修改执行过程。它在调试、监视和诊断进程方面扮演着重要角色,为开发人员提供了有效的方法来分析和改进程序的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值