linux ptrace 内核源码分析,linux 3.5.4 ptrace源码分析分析(系列一)

最新推荐文章于 2023-08-31 15:04:53 发布
最新推荐文章于 2023-08-31 15:04:53 发布
阅读量362 收藏
点赞数
文章标签: linux ptrace 内核源码分析

ptrace是linux系统中为了调试专门设立的一种系统调用。要想调试调试一个进程,有两种方式:

PTRACE_TRACEME和PTRACE_ATTACH。这两种方式的主要区别可以概括为:

PTRACE_TRACEME是子进程主动申请被TRACE。而PTRACE_ATTACH是父进程自己要attach到子进程,相当于子进程是被动的trace。

PTRACE_TRACEME程序设置的框架大概为:

if(pid==0)//child

{

ptrace(PTACE_TRACEME,0,NULL,NULL);

exec(...);

}

else//parent

{

wait(&status);

if(WIFSTOPPED(status))

fprintf(stderr,"%s\n",WSTOPSIG(status);//打印出子进程当前的状态。

}看似简单的代码,其实内核做了大量的工作,我们在此进行详细分析。

当程序执行ptrace系统调用,传入PTRACE_TRACEME函数时,内核执行下面的代码段:

static int ptrace_traceme(void)

{

int ret = -EPERM;

write_lock_irq(&tasklist_lock);

/* Are we already being traced? */

if (!current->ptrace) {

ret = security_ptrace_traceme(current->parent);

/*

* Check PF_EXITING to ensure ->real_parent has not passed

* exit_ptrace(). Otherwise we don't report the error but

* pretend ->real_parent untraces us right after return.

*/

if (!ret && !(current->real_parent->flags & PF_EXITING)) {

current->ptrace = PT_PTRACED;

__ptrace_link(current, current->real_parent);

}

}

write_unlock_irq(&tasklist_lock);

return ret;

}从上面的源码我们可以看出:PTRACE_TRACEME并没有使子进程停止,而是将进行一系列判断之后(父进程是否能对子进程进行跟踪的合法性检查),将子进程链接到父进程的ptrace链表中。

真正导致子进程停止的是exec系统调用,该系统调用成功之后,内核会判断该进程是否被ptrace跟踪,如果被跟踪的话,内核将向该进程发送SIGTRAP信号。该信号将导致当前进程停止。具体的代码如下:

static inline void ptrace_event(int event, unsigned long message)

{

if (unlikely(ptrace_event_enabled(current, event))) {

current->ptrace_message = message;

ptrace_notify((event << 8) | SIGTRAP);

} else if (event == PTRACE_EVENT_EXEC) {

/* legacy EXEC report via SIGTRAP */

if ((current->ptrace & (PT_PTRACED|PT_SEIZED)) == PT_PTRACED)

send_sig(SIGTRAP, current, 0);

}

}我们都知道:SIGTRAP信号是专门为debug设计的,当内核踩中断点的时候(断点就是int 3,相应的回调函数就是do_trap),就会发送这个信号:

asmlinkage void do_trap(struct pt_regs *regs, unsigned long address)

{

siginfo_t info;

memset(&info, 0, sizeof(info));

info.si_signo = SIGTRAP;

info.si_code = TRAP_TRACE;

info.si_addr = (void *)address;

force_sig_info(SIGTRAP, &info, current);

regs->pc += 4;

}

从这里我们可以看出,进程被trace之后,对于子进程的许多操作(尤其是父进程感兴趣的操作)都改变了,目的是为了让父进程感知到这些事件,exec就是一个例子。

此时,父进程的wait操作将被唤醒。我们知道wait操作就是父进程用来检测子进程的退出情况,wait操作返回有三种情况:

1、子进程正常退出

int status;

wait(&status);//status保存了子进程当前的状态

WIFEXITED(status)://如果子进程确实正常退出,则为真

WEXITSTATUS(status)://打印出进程的退出码

2、子进程因为收到信号而退出

int status;

wait(&status);

WIFSIGNALED(status)://如果子进程确实正常退出,则为真

WTERMSIG(status)://打印出进程的退出码

3、子进程因为收到信号而暂停

int status;

wait(&status);

WIFSTOPPED(status)://如果子进程确实正常退出,则为真

WSTOPSIG(status)://打印出进程的退出码 显然,PTRACE_TRACEME对应的就是第三种情况。如果想要输出信号对应的描述性字符串,可以这样操作:

sprintf(stderr,"%s\n",WSTOPSIG(status));

亦纯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux3.5.4 ptrace源码分析二(系列二)
shen332401890的专栏
12-13 2106
相比较于PTRACE_TRACEME,PTRACE_ATTACH则是一个进程(将要成为父进程)主动的去trace一个正在运行的进程(子进程)PTRACE_ATTACH的主要处理函数如下: static int ptrace_attach(struct task_struct *task, long request, unsigned long addr, unsigned lon
ptrace跟踪子进程
zuihoudebingwen的专栏
06-17 4742
引子: 1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态? 2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的? 3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么? 所有这
ptrace 分析[基于Android 8.0 msm-4.4]
大将军王虎剩的专栏
12-27 2073
从 man开始: $man 2 ptrace PTRACE(2)                                                                       Linux Programmer's Manual
linux创建新进程的内核实现,分析Linux内核创建一个新进程的过程
weixin_42373088的博客
04-28 211
.ret_from_fork分析fork函数对应的系统调用处理过程启动保护fork命令的menuOS设置断点进行调试进程的创建从了解进程的创建,进程间调度切换,来从总体把握进程工作当前进程复制一个子进程,然后进行修改fork一个子进程的代码#include #include #include int main(int argc , char * argv[]){int pid;pid = fork...
Linux下进程的创建过程分析(_do_fork/do_fork详解)--Linux进程的管理与调度(八)
热门推荐
OSKernelLAB(gatieme)
06-02 2万+
日期 内核版本 架构 作者 GitHub CSDN 2016-05-12 Linux-4.5 X86 & arm gatieme LinuxDeviceDrivers Linux进程管理与调度-之-进程的创建 参照 分析Linux内核创建一个新进程的过程 前言Unix标准的复制进程的系统调用时fork(即分叉),但是Linux,BSD等操作系统并
ptrace
lyndon
05-07 921
任何发给子进程的信号 signal(SIGKILL 除外)将导致子进程暂停运行,而它的父进程会通过 wait() 获得通知。
进程管理(八)--创建进程fork
奇小葩
05-17 1396
在最新的版本的POSIX标准中,定义了进程创建和终止的操作,进程创建包括fork()和execve(),进程终止包括wait(),waitpid(),kill()以及exit()。Linux系统为了提高效率,把POSIX标准的fork()扩展为vfork和clone。 前面一章我们学习了用GCC将一个最简单的程序(如hello world程序)编译成ELF文件,在shell提示符下输入该可执行文件并且按回车后,这个程序就开始执行了。起始这里shell会调用fork()来创建一个新进程,然后调用execve(
Linux编程从入门到精通
09-21
第一部分 Linux内核 前言 第1章 硬件基础与软件基础 6 1.1 硬件基础 6 1.1.1 CPU 7 1.1.2 存储器 8 1.1.3 总线 8 1.1.4 控制器和外设 8 1.1.5 地址空间 9 1.1.6 时钟 9 1.2 软件基础 9 1.2.1 计算机语言 9 1.2.2 ...
linux编程白皮书
07-18
第一部分 Linux内核 前言 第1章 硬件基础与软件基础 6 1.1 硬件基础 6 1.1.1 CPU 7 1.1.2 存储器 8 1.1.3 总线 8 1.1.4 控制器和外设 8 1.1.5 地址空间 9 1.1.6 时钟 9 1.2 软件基础 9 1.2.1 计算机语言 9 1.2.2 ...
LINUX编程白皮书
04-07
第一部分 Linux内核 前言 第1章 硬件基础与软件基础 6 1.1 硬件基础 6 1.1.1 CPU 7 1.1.2 存储器 8 1.1.3 总线 8 1.1.4 控制器和外设 8 1.1.5 地址空间 9 1.1.6 时钟 9 1.2 软件基础 9 1.2.1 计算机语言 ...
LINUX编程白皮书 (全集)
07-23
第一部分 Linux内核 前言 第1章 硬件基础与软件基础 6 1.1 硬件基础 6 1.1.1 CPU 7 1.1.2 存储器 8 1.1.3 总线 8 1.1.4 控制器和外设 8 1.1.5 地址空间 9 1.1.6 时钟 9 1.2 软件基础 9 1.2.1 计算机语言 9 1.2.2 ...
Ptrace--Linux中一种代码注入技术的应用
Litost_Cheng的博客
10-14 4951
PtraceLinux中一种代码注入技术的应用
Linux ptrace系统调用
最新发布
小立仔
08-31 1378
Linux ptrace系统调用简介
进程系统调用——fork函数深入理解
去实验室,奔跑吧
04-12 1万+
原创作品 转载请注明出处http://blog.csdn.net/always2015/article/details/45008785当我们在一个现代系统上运行一个程序的时候,我们会得到一个假象,就好像我们的程序是系统中当前运行的唯一程序。我们的程序好像是独占的使用处理器和存储器。处理器就是无间断的一条一条地执行我们程序中的指令。最后我们程序中的代码和数据显得好像是系统存储器中唯一的对象。这些假
小张学linux内核:十一.进程和线程的创建过程
qq_40036519的博客
07-26 618
考试题。。。
GDB 源码分析系列文章一:ptrace 系统调用和事件循环(Event Loop)
Dong_HFUT的博客
05-04 7059
关于 gdb 内部实现介绍的文章非常少,本人计划通过阅读 gdb 源码,推出系列文章介绍 gdb 内部实现的机制,以窥视 gdb 内部是如何控制和调试程序的。
(莱昂氏unix源代码分析导读-26) trace
cszhao1980的专栏
08-14 2414
by:cszhao1980 trace是unix提供的一种是父进程可以跟踪子进程进展的手段,子进程被跟踪时,当子进程 收到signal后,会进入“暂停(SSTOP)”状态,使父进程有机会进行干预。子进程的暂停 是在issig()函数中实现的:   3997:    if(n = p->p_sig) { 3998:       if (p->p_flag&STRC) {   /进程处
linux ptrace 内核源码分析,Linux ptrace详细分析系列(一)
weixin_36000501的博客
05-13 596
原标题:Linux ptrace详细分析系列(一) 本文为看雪论坛优秀文章看雪论坛作者ID:有毒备注:文章中使用的Linux内核源码版本为Linux 5.9,使用的Linux版本为Linux ubuntu 5.4.0-65-generic一、简述ptrace系统调用提供了一个进程(tracer)可以控制另一个进程(tracee)运行的方法,并且tracer可以监控和修改tracee的内存和寄存器,...
ptrace源代码分析
潜行
06-16 1690
ptrace作为应用程序调试的基石,要想对其有深入的了解,最好的方法是分析它的源代码。选取linux2.6.8,更高版本的内容基本相同。实现ptrace系统调用功能的主要是sys_ptrace函数,当然还包括一些读写寄存器的辅助函数。该函数的基本结构比较简单: (1)判断该进程是否被跟踪,即request==PTRACE_TRACEME,如果是,对其进行处理。 (2)根据被跟踪子进程的pid找
linux内核中怎么应用ptrace
06-09
Linux 内核中,ptrace 是 Process Trace 的缩写,是一种进程间通信机制,可以用于跟踪和调试进程。它可以让一个进程控制另一个进程的执行,包括读取和修改它的寄存器、内存和指令指针等信息,从而实现单步调试、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值