android ptrace 检测,Android ptrace函数的实现

最新推荐文章于 2023-09-11 19:24:11 发布
最新推荐文章于 2023-09-11 19:24:11 发布
阅读量802 收藏
点赞数
文章标签: android ptrace 检测

首先看sys/ptrace.h

50be31abab8a

/bionic/libc/include/sys/ptrace.h

我们在调用的时候使用的是PTRACE_的导出符号,glibc也导出了PT_开头的符号。PTRACE_开头的符号定义在/bionic/libc/kernel/uapi/linux/ptrace.h中

50be31abab8a

都是int型的数字,回到ptrace函数的定义,头文件中写的是一个不定参数的形式

long ptrace(int, ...);

50be31abab8a

继续跟进__ptrace函数

50be31abab8a

__ptrace函数使用汇编实现,其中____NR_ptrace是系统调用号,根据调用号进入kernel层即linux内核的逻辑。此处__NR_ptrace的调用号为26,swi #0 为产生中断,切换到内核模式

50be31abab8a

内核的实现是在/kernel/ptrace.c中

PTRACE_TRACEME调用

static int ptrace_traceme(void)

382{

383 int ret = -EPERM;

384

385 write_lock_irq(&tasklist_lock);

386 /* Are we already being traced? */

387 if (!current->ptrace) {

388 ret = security_ptrace_traceme(current->parent);

389 /*

390 * Check PF_EXITING to ensure ->real_parent has not passed

391 * exit_ptrace(). Otherwise we don't report the error but

392 * pretend ->real_parent untraces us right after return.

393 */

394 if (!ret && !(current->real_parent->flags & PF_EXITING)) {

395 current->ptrace = PT_PTRACED;

396 __ptrace_link(current, current->real_parent);

397 }

398 }

399 write_unlock_irq(&tasklist_lock);

400

401 return ret;

402}

__ptrace_link函数

void __ptrace_link(struct task_struct *child, struct task_struct *new_parent)

38{

39 BUG_ON(!list_empty(&child->ptrace_entry));

40 list_add(&child->ptrace_entry, &new_parent->ptraced);

41 child->

最低0.47元/天 解锁文章
weixin_39992660
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ptrace-for-android
06-12
==================== PTrace for Android 介绍 Ptrace 系统调用提供了一个框架,进程(跟踪器)可以通过该框架查看任何其他被跟踪进程将使用的系统调用并修改跟踪进程的属性。 通过使用 ptrace 调用附加到另一个进程,工具可以对其目标的操作进行广泛的控制。 这包括对其文件描述符、内存和寄存器的操作。 它可以单步执行目标的代码,可以观察和拦截系统调用及其结果,并且可以操纵目标的信号处理程序并代表它接收和发送信号。 写入目标内存的能力不仅可以更改其数据存储,还可以更改应用程序自己的代码段,从而允许控制器安装断点并修补目标的运行代码。 设计 我们为 android 设计了一个带有命令行界面和 GUI 的跟踪器和调试器应用程序。 该应用程序可以生成任何其他 android 应用程序并附加到它,从而使跟踪器应用程序能够跟踪和逐步调试被跟踪应用程序。 特征 T
Ptrace-for-Android:一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序
07-02
Ptrace-for-Android 一个用户级调试应用程序,可以跟踪 Android 中正在运行的应用程序。 一、简介: Ptrace 是 linux 发行版中最重要的系统调用之一。大多数调试实用程序(如 gdb 和其他常见调试实践)在很大程度上都涉及 Ptrace 的使用。另一方面,考虑到 android 是建立在 linux 之上的事实, android 同样喜欢 Ptrace 的内置实现。但是可以利用 AndroidPtrace 效率的现成工具/实用程序数量非常有限。所以在这个项目中,我们设计了一个应用程序跟踪器,它基本上适用于 android 平台,它具有跟踪应用程序与内核交互的能力。我们的跟踪器列出了所有交互,这些交互基本上是系统调用,并为任何调试器提供了足够的信息。我们的跟踪器提供了一些其他附加功能,使用户能够密切检查/监视特定系统调用,可以在发生可疑系统调用时杀
【GDB】GDB工作原理--ptrace(让父进程可观察和控制其它进程、检查和改变其核心映像及寄存器)
bandaoyu的note
07-16 564
一、gdb简介   gdb:GNU debugger   UNIX及UNIX-like下一个强大的命令行的调试工具   gdb调试的整体架构如下图所示:      可以发现gdb调试不管是本地调试还是远程调试,都是基于ptrace系统调用来实现的    二、ptrace gdb凭什么可以调试一个程序?凭什么能够接管一个程序的运行?我以前也想过这样的问题,但是后来居然忘记去查看了。我想到了我们的二进制翻译器,想到了intel的pin,Dynamo。这些都是将翻译后的代码放到codecache中去.
[linux下进程行为检测] 3.strace工具、ptrace函数
H4ppyD0g的博客
01-14 928
本文为作者本科毕业设计相关内容的系列文章,记录从零基础到开发一个linux下软件行为检测程序(或者只是学习成果)的过程(详细笔记)。 前文连接 [linux下进程行为检测] 1.proc、sys文件系统 [linux下进程行为检测] 2.auditd、bpftrace工具了解 文章目录straceptrace strace strace可以用来监控用户空间进程和内核的交互,比如系统调用、信号传递、进程状态变更等。 strace 从内核接收信息,而且不需要以任何特殊的方式来构建内核。 lab.c #inc
Android Native反调试-检测TCP端口,ptrace自身,查看TracerPid
zhangmiaoping23的专栏
08-06 4172
Android Native反调试-检测TCP端口 转:http://www.cnblogs.com/dacainiao/p/5139880.html 之前转载了一篇文章介绍了两种反调试方式,分别是ptrace自身和查看TracerPid信息,文章地址: http://www.cnblogs.com/dacainiao/p/5124151.html 这一处反调试是在调
ptrace的使用
热门推荐
宝剑锋从磨砺出,梅花香自苦寒来!
07-24 1万+
1.     函数使用说明 名字 ptrace – 进程跟踪   形式 #include int ptrace(int request, int pid, int addr, int data);   描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通
linux 分析 ptrace
weixin_33670786的博客
01-26 384
linux分析ptrace() 形式 #include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心p_w_picpath。它主要用于实现断点调试。一...
Android性能分析工具strace (2)strace流程之ptrace跟踪目标进程系统调用
最新发布
wellt606的博客
09-11 423
ptrace定义为long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data),参数 request是请求类型,其中PTRACE_ATTACH用于建立tracer和tracee关系,PTRACE_SYSCALL用于跟踪pid对应tracee的系统调用。ptrace_request()根据请求类型的不同调用不同的函数处理,PTRACE_SYSCALL请求类型对应的是ptrace_resume()。
Android安全】Ptrace原理
Juruo@Security
08-01 229
Android安全】Ptrace原理
android inject(一)ptrace基础
qq_17748035的专栏
11-22 1291
理论不说了,以下提供三个demo,几乎逐行注释,看懂了应该就懂了。 一.完成了两件事儿: 1.儿子告诉爸爸,儿子到信息可以被查看/修改 PTRACE_TRACEME 2.爸爸查看儿子的信息 PTRACE_PEEKUSER #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;sys/ptrace.h&gt; #in......
Android 逆向】ptrace 函数 ( C 标准库 ptrace 函数简介 | ptrace 函数真实作用 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-29 2446
一、C 标准库 ptrace 函数简介、 二、ptrace 函数真实作用
利用PtraceAndroid平台实现应用程序控制
07-09
Android平台上,Ptrace 被广泛用于实现应用程序控制,特别是API Hook和App Control,因为这种方式可以直接对特定进程进行精确操作,而不是像在内核中拦截那样可能无法获取到足够的上下文信息。 在Android系统中,...
Android安全机制 PPT版本
01-27
Android应用程序是运行在一个沙箱中。这个沙箱是基于Linux内核提供的用户ID(UID)和用户组ID...此外,有root权限的应用程序,还可以通过Linux的ptrace注入到其它应用程序进程,以及系统进程,进行各种函数调用拦截。
rd:Android 反根检测概念证明
06-07
Root 检测Android 安全的狂热崇拜者。 每个人都这样做,没有人知道为什么。 它是如何工作的? 我使用ptrace在远程进程上调用dlopen 。 加载的库有一个构造函数,用自己的构造函数替换access代码。 如果您查看 ...
android ro属性调试修改(mprop逆向)1
08-08
"Android RO属性调试修改(mprop逆向)" Android作为一个流行的移动...通过了解init进程的实现机制和__system_property_update函数的原理,我们可以模拟mprop工具来实现RO属性的修改,从而实现Android应用程序的调试。
浅谈Android下binder的调用与拦截.pdf
09-21
Binder是Android系统中实现进程间通信(IPC)的关键机制,相较于Linux系统中的管道、System V IPC、socket等其他IPC方式,Binder具有更高效、安全和灵活的优势。本文将深入探讨Binder的工作原理,以及如何在拥有root...
Ptrace--Linux中一种代码注入技术的应用
Litost_Cheng的博客
10-14 4970
Ptrace–Linux中一种代码注入技术的应用
Android hook、检测及对抗相关
jinganggiao的博客
09-19 3214
frida——hook 内存访问断点
ptrace函数详解
05-26
`ptrace()` 函数可以用于以下目的: 1. 跟踪进程的执行 2. 修改进程的寄存器和内存 3. 捕获进程的信号 4. 实现断点调试等功能 下面是 `ptrace()` 函数的参数: ```C long ptrace(enum __ptrace_request request, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值