Step 1:tracer和tracee的跟踪状态建立
两种方式:一种情况是tracer是tracee的父进程,进程tracee主动调用PTRACE_TRACEME.另外一种是进程tracer调用PTRACE_ATTACH或者或PTRACE_SEIZE。
区别在于PTRACE_SEIZE不会停止tracee进程,如果要停止tracee则需要使用PTRACE_INTERRUPT,通常PTRACE_SEIZE和PTRACE_INTERRUPT结合使用。
而PTRACE_ATTACH请求时会向tracee发送一个SIGSTOP信号。
使用ATTACH建立跟踪例如:
if (ptrace(PTRACE_ATTACH, PID, NULL, NULL) == -1) {
pr_perror("Can't attach");
goto out_pt;
}
这个函数调用完后tracee会停止运行 ,这个过程在内核完成,原理如下:
进程在从内核空间返回用户空间时会检查是否有挂起信号,如果有的话,调用do_signal进行处理。do_signal需要调用get_signal来填充一个ksignal结构体。在get_signal过程中,会检查当前进程是否处于被ptrace跟踪的状态,如果是的话,且当前信号不是SIGKILL,则会调用ptrace_signal。ptrace_signal调用ptrace_stop来使当前进程停下来。
ptrace_stop首先将进程状态设置为TASK_TRACED,这样的话,下次进行进程调度时就不会调度该进程了。设置完进程状态后,会发送SIGCHLD信号通知当前进程的parent和real_parent。最后调用freezable_schedule进行进程调度,将该进程停下来。
Step 2:获取/设置tracee信息
/*demo:获取tracee进程的通用寄存器信息 */
user_regs_struct_t regs
iov.iov_base = ®s;
iov.iov_len = sizeof(user_regs_struct_t);
int ret = ptrace(PTRACE_GETREGSET, pid, NT_PRSTATUS, &iov);
PTRACE_GETREGSET表示读取寄存器信息。不同的架构CPU可能都存在通用寄存器组、浮点寄存器组、向量寄存器组等。那么NT_PRSTATUS就指明了要获取的是通用寄存器组信息。
还有两个值PTRACE_GETREGS, PTRACE_GETFPREGS分别用于获取通用寄存器组和浮点寄存器组信息。这两个类型不是所有的架构都有实现。所以安全起见还是使用PTRACE_GETREGSET为好。
在内核里,PTRACE_GETREGSET通过CONFIG_HAVE_ARCH_TRACEHOOK来实现不同架构下的寄存器读取/设置。
Step 3:使tracee继续运行
使用PTRACE_CONT
正常情况你可以收到SIGTRAP信号,si_nodes值应该为SI_KERNEL
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
