ptrace的使用流程

最新推荐文章于 2022-03-18 21:42:51 发布
最新推荐文章于 2022-03-18 21:42:51 发布
阅读量2.7k 收藏 4
点赞数
分类专栏: MIPS/ARM体系结构/汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38669561/article/details/103777900
版权
Step 1:tracer和tracee的跟踪状态建立

两种方式:一种情况是tracer是tracee的父进程,进程tracee主动调用PTRACE_TRACEME.另外一种是进程tracer调用PTRACE_ATTACH或者或PTRACE_SEIZE。
区别在于PTRACE_SEIZE不会停止tracee进程,如果要停止tracee则需要使用PTRACE_INTERRUPT,通常PTRACE_SEIZE和PTRACE_INTERRUPT结合使用。

而PTRACE_ATTACH请求时会向tracee发送一个SIGSTOP信号。
使用ATTACH建立跟踪例如:

		if (ptrace(PTRACE_ATTACH, PID, NULL, NULL) == -1) {
			pr_perror("Can't attach");
			goto out_pt;
		}

这个函数调用完后tracee会停止运行 ,这个过程在内核完成,原理如下:
  进程在从内核空间返回用户空间时会检查是否有挂起信号,如果有的话,调用do_signal进行处理。do_signal需要调用get_signal来填充一个ksignal结构体。在get_signal过程中,会检查当前进程是否处于被ptrace跟踪的状态,如果是的话,且当前信号不是SIGKILL,则会调用ptrace_signal。ptrace_signal调用ptrace_stop来使当前进程停下来。

  ptrace_stop首先将进程状态设置为TASK_TRACED,这样的话,下次进行进程调度时就不会调度该进程了。设置完进程状态后,会发送SIGCHLD信号通知当前进程的parent和real_parent。最后调用freezable_schedule进行进程调度,将该进程停下来。

Step 2:获取/设置tracee信息
/*demo:获取tracee进程的通用寄存器信息 */
    user_regs_struct_t regs
	iov.iov_base = &regs;
	iov.iov_len = sizeof(user_regs_struct_t);
	int ret = ptrace(PTRACE_GETREGSET, pid, NT_PRSTATUS, &iov);

  PTRACE_GETREGSET表示读取寄存器信息。不同的架构CPU可能都存在通用寄存器组、浮点寄存器组、向量寄存器组等。那么NT_PRSTATUS就指明了要获取的是通用寄存器组信息。

  还有两个值PTRACE_GETREGS, PTRACE_GETFPREGS分别用于获取通用寄存器组和浮点寄存器组信息。这两个类型不是所有的架构都有实现。所以安全起见还是使用PTRACE_GETREGSET为好。

  在内核里,PTRACE_GETREGSET通过CONFIG_HAVE_ARCH_TRACEHOOK来实现不同架构下的寄存器读取/设置。

Step 3:使tracee继续运行

使用PTRACE_CONT
正常情况你可以收到SIGTRAP信号,si_nodes值应该为SI_KERNEL

参考链接: https://blog.csdn.net/imred/article/details/90141080

海棠花败
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ptrace 跟踪多线程程序
heliming945073280的专栏
09-23 3404
1.ptrace 原型说明   #include long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);    在使用PTRACE_TRACEME参数时,跟踪多线程程序需要使用PTRACE_SETOPTIONS来设置ptrace相关属性。  PTRACE_SETOPTIONS
ptrace运行原理及使用详解
热门推荐
AddyLee的专栏
03-25 4万+
你想过怎么实现对系统调用的拦截吗?你尝试过通过改变系统调用的参数来愚弄你的系统kernel吗?你想过调试器是如何使运行中的进程暂停并且控制它吗? 你可能会开始考虑怎么使用复杂的kernel编程来达到目的,那么,你错了。实际上Linux提供了一种优雅的机制来完成这些:ptrace系统函数。 ptrace提供了一种使父进程得以监视和控制其它进程的方式,它还能够改变子进程中的寄存器和内核映像,因而可以
ptrace使用
宝剑锋从磨砺出,梅花香自苦寒来!
07-24 1万+
1.     函数使用说明 名字 ptrace – 进程跟踪   形式 #include int ptrace(int request, int pid, int addr, int data);   描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通
[转] Playing with ptrace, Part II — 玩转ptrace(二)
weixin_30814319的博客
02-16 222
Playing with ptrace, Part IIby Pradeep Padala p_padala@yahoo.com http://www.cise.ufl.edu/~ppadalaCreated 2002-11-01 02:00 翻译: Magic.D E-mail: adamgic@163.com 在第一部分中我们已经看到ptrace怎么获取子进程的系统调用以及改变系统调用的参数。...
Linux系统调用--ptrace函数详解
feiying61207的博客
03-22 1576
转:Linux系统调用--ptrace函数详解 标签:  linux   ptrace   it 分类: Linux Linux系统调用--ptrace函数详解 说明:整理转载 转载地址:http://hi.baidu.com/lisuo/blog/item/05b70a248be7662fd50742
一种绕过PTRACE反调试的办法
weixin_30914981的博客
10-28 1311
Linux 系统gdb等调试器,都是通过ptrace系统调用实现。Android加固中,ptrace自身防止调试器附加是一种常用的反调试手段。 调试时一般需要手工在ptrace处下断点,通过修改ptrace返回值过掉反调试。下面提供另一种思路,降低手工操作复杂度: 测试代码(反调试程序): #include <stdio.h> #include <stdlib.h>...
使用ptrace向已运行进程中注入.so并执行相关函数讲解.docx
10-22
本文将深入探讨如何使用ptrace系统调用来向已运行的进程中注入动态链接库(.so)并执行其中的函数。ptrace是Linux系统提供的一种强大的调试工具,允许一个进程(调试器)控制另一个进程(被调试器)的执行。 1. **...
使用ptrace向已运行进程中注入.so并执行相关函数讲解.pdf
11-13
本文将详细介绍如何使用ptrace工具向已运行的进程中注入动态链接库(.so)并执行相关函数。这个过程涉及到对目标进程内存空间的操作、函数调用以及汇编代码的编写。 首先,理解“注入”的概念至关重要。当我们将.so...
模糊查询的通用存储过程
01-19
代码如下:IF Exists(Select 1 From sysobjects Where Name=’sp_search’ And xType=’P’) Drop Procedure sp_search go /* 模糊查询的通用存储过程 create by sxm,date 2009-7-14 参数: @table_name 表名 @...
Android 逆向 - 修改 Android 进程内存.zip
10-31
【Android 逆向】修改运行中的 Android 进程的内存数据 ( Android 系统中调试器进程内存流程 | 编译内存调试动态库以及调试程序 ) https://hanshuliang.blog.csdn.net/article/details/121063591 博客资源
Linux下Ptrace()调用的安全分析.pdf
09-07
Linux下Ptrace()调用的安全分析.pdf
Linux应用调试使用gdb和gdbserver命令详解
09-15
它允许开发者在程序运行时设置断点、检查变量、单步执行代码等,从而找出程序中的错误或理解程序的执行流程。 gdbserver则是一个轻量级的调试服务器,通常运行在目标设备(如开发板)上,接收来自gdb客户端(如在...
ptrace
jxxiaohou的专栏
05-28 1289
1. 介绍 ptrace()是一个系统调用,它允许一个进程控制另外一个进程的执行.不仅如此,我们还可以借助于ptrace修改某个进程的空间(内存或寄存器),任何传递给一个进程(即被跟踪进程)的信号(除了会直接杀死进程的SIGKILL信号)都会使得这个进程进入暂停状态,这时系统通过wait()通知跟踪进程,这样,跟踪进程就可以修改被跟踪进程的行为了. 如果跟踪进程在被跟踪进程的内存中设置
[Pthread] Linux程序调试的基石(二)--Inside GDB
Javadino的专栏
09-06 3025
3. GDB的实现GDB是GNU发布的一个强大的程序调试工具,用以调试C/C++程序。可以使程序员在程序运行的时候观察程序在内存/寄存器中的使用情况。它的实现也是基于ptrace系统调用来完成的。其原理是利用ptrace系统调用,在被调试程序和gdb之间建立跟踪关系。然后所有发送给被调试程序的信号(除SIGKILL)都会被gdb截获,gdb根据截获的信号,查看被调试程序相应的内存地址,并控制被调试
为什么ptrace的PTRACE_ATTACH后面要有waitpid
博客
05-23 1090
ptrace的PTRACE_ATTACH将尝试附加到pid指定的进程上。附加成功后,目标进程将处于挂起状态。此时被跟踪进程将会发送SIGSTOP信号给跟踪者。跟踪者需要调用waitpid(2)以接收被跟踪进程传来的SIGSTOP信号。 如果不调用waipid,那么程序会直接僵尸。 ...
触发一个断点_断点原理与实现
weixin_39575212的博客
11-29 816
(网易游戏运维平台)关注我们,获一手游戏运维方案渣渣飞 渣渣飞,长年在票圈深夜放毒,是网易游戏高级运维工程师,对代码性能及系统原理饶有兴趣,三人行,必有我师。现负责监控相关业务开发。前言 从事编程工作的我们,总有调试的时刻,不管是通过 IDE 调试开发中的代码,还是通过 GDB 排查正在运行的进程。特别是经常使用 GDB 的童鞋,对它提供的强大功能更加如数家珍,其中就不乏 breakpoint(...
coredump 断点_Linux:断点原理与实现
weixin_36076139的博客
02-06 176
前言从事编程工作的我们,总有调试的时刻,不管是通过 IDE 调试开发中的代码,还是通过 GDB 排查正在运行的进程。特别是经常使用 GDB 的童鞋,对它提供的强大功能更加如数家珍,其中就不乏 breakpoint(断点)。刚好最近做到 Ptrace 相关的实验,也顺便撸了这篇小文来分享下 断点 当中的道理。简单 GDB 示范// test.cpp#include#includevoid test...
对ptrace运行机制的理解
weixin_57140753的博客
03-18 522
掌握系统中程序执行过程对安全员来说是非常重要的。本人小白,在观摩过许多大佬的文章后,对ptrace运行机制有了一些自己的理解,结合CTF比赛相关知识,想谈谈自己的看法,不足之处欢迎指正! 详细参考:(15条消息) ptrace运行原理及使用详解_忧郁的废物_Addy的博客-CSDN博客_ptrace 一、ptrace的整体概念 ptrace是一种系统函数,可以实现父进程对子进程的一系列操作,比如查看寄存器值,修改数据段等。 函数包含四个参数 long ptrace(enum __ptrace_re
Linux 动态库hook注入
lxb122435677的博客
08-02 3258
由于工作上的需要,之前只是对大概的原理了解,现对此进行详细的分析。 涉及到的关键API以及数据结构: 1. ptrace PTRACE_ATTACH:挂载到指定的pid进程上 PTRACE_GETREGSET:读取目标进程的寄存器 PTRACE_POKETEXT:复制一个word的数据 PTRACE_PEEKTEXT:复制一个word的数据 PTRACE_SETREGSET:设置寄存器 PTRAC...
怎么使用ptrace劫持进程?
最新发布
06-07
使用ptrace劫持进程一般需要以下几步: 1. 获取目标进程的PID(进程标识符)。 2. 使用ptrace系统调用附加到目标进程。 3. 使用ptrace系统调用在目标进程中设置断点,或者修改目标进程的寄存器状态、内存空间等。 4. 使用ptrace系统调用恢复目标进程的执行,等待目标进程触发断点,或者在目标进程中运行自己的代码。 5. 使用ptrace系统调用脱离目标进程。 下面是一个简单的示例代码,演示如何使用ptrace在目标进程中设置断点: ``` #include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> #include <sys/types.h> #include <sys/wait.h> #include <unistd.h> int main() { pid_t child_pid; long orig_eax; int status; int data; child_pid = fork(); if (child_pid == 0) { // 子进程 ptrace(PTRACE_TRACEME, 0, NULL, NULL); execl("/bin/ls", "ls", NULL); } else { // 父进程 wait(&status); while (WIFSTOPPED(status)) { // 目标进程被暂停 orig_eax = ptrace(PTRACE_PEEKUSER, child_pid, 4 * ORIG_EAX, NULL); if (orig_eax == SYS_write) { // 目标进程执行了write系统调用,设置断点 data = ptrace(PTRACE_PEEKUSER, child_pid, 4 * EBX, NULL); printf("Write called with " "parameter %d\n", data); // 修改目标进程的内存空间 ptrace(PTRACE_POKEDATA, child_pid, data, 0); } // 恢复目标进程执行 ptrace(PTRACE_SYSCALL, child_pid, NULL, NULL); wait(&status); } } return 0; } ``` 这段代码创建了一个子进程,在子进程中执行了/bin/ls命令,父进程使用ptrace附加到子进程,并在子进程中设置了一个断点,当子进程执行了write系统调用时,会暂停执行并触发断点。在断点处理函数中,修改了子进程的内存空间,并恢复了子进程的执行。这是一个简单的示例,实际的ptrace劫持进程需要更加复杂和细致的处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海棠花败

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值