[linux下进程行为检测] 3.strace工具、ptrace函数

最新推荐文章于 2024-05-18 21:41:29 发布
最新推荐文章于 2024-05-18 21:41:29 发布
阅读量921 收藏 7
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42172261/article/details/122494367
版权

本文为作者本科毕业设计相关内容的系列文章,记录从零基础到开发一个linux下软件行为检测程序(或者只是学习成果)的过程(详细笔记)。

前文连接
[linux下进程行为检测] 1.proc、sys文件系统
[linux下进程行为检测] 2.auditd、bpftrace工具了解

文章目录

strace

strace可以用来监控用户空间进程和内核的交互,比如系统调用、信号传递、进程状态变更等。
strace 从内核接收信息,而且不需要以任何特殊的方式来构建内核。

lab.c

#include <stdio.h>
#include <stdlib.h>
int main(){
	FILE *fp = fopen("./a.txt", "w");
	fprintf(fp, "hello");
	fclose(fp);
	return 0;
}

strace ./lab

execve("./lab", ["./lab"], 0x7fff00a36c10 /* 53 vars */) = 0
brk(NULL)                               = 0x5621d7564000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
openat(AT_FDCWD, "/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=90100, ...}) = 0
mmap(NULL, 90100, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f0fe8b61000
close(3)                                = 0
openat(AT_FDCWD, "/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\3\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\200\177\2\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=1839168, ...}) = 0
...
close(3)                                = 0
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f0fe8998000
arch_prctl(ARCH_SET_FS, 0x7f0fe8b60540) = 0
mprotect(0x7f0fe8b55000, 12288, PROT_READ) = 0
mprotect(0x5621d6cf3000, 4096, PROT_READ) = 0
mprotect(0x7f0fe8ba1000, 4096, PROT_READ) = 0
munmap(0x7f0fe8b61000, 90100)           = 0
brk(NULL)                               = 0x5621d7564000
brk(0x5621d7585000)                     = 0x5621d7585000
openat(AT_FDCWD, "./a.txt", O_WRONLY|O_CREAT|O_TRUNC, 0666) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=0, ...}) = 0
write(3, "hello", 5)                    = 5
close(3)                                = 0
exit_group(0)                           = ?
+++ exited with 0 +++

ptrace

ptrace是一个函数接口

long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

ptrace提供了父进程可以观察和控制其子进程执行的能力,并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,而子进程则会被阻塞,这时子进程的状态就会被系统标注为TASK_TRACED。而父进程收到信号后,就可以对停止下来的子进程进行检查和修改,然后让子进程继续运行。

demo示例

#include <sys/types.h>
#include <sys/wait.h>
#include <unistd.h>
#include <sys/user.h> 
#include <stdio.h>
int main()
{   pid_t child;
    struct user* user_space = NULL;
    long orig_eax;
    child = fork();
    if(child == 0) {
        ptrace(PTRACE_TRACEME, 0, NULL, NULL);
        execl("/bin/ls", "ls", NULL);
    }
    else {
        wait(NULL);
        orig_eax = ptrace(PTRACE_PEEKUSER,child, &user_space->regs.orig_rax,NULL);
        printf("The child made a ""system call %ld\n", orig_eax);
        ptrace(PTRACE_CONT, child, NULL, NULL);
    }
    return 0;
}

PTRACE_TRACEME:本进程被其父进程所跟踪。
PTRACE_PEEKUSER:检查用户态内存区域,从用户区域中读取一个字节,偏移量为addr
PTRACE_CONT:继续运行

父进程 fork() 子进程,子进程中执行要trace的程序,在子进程调用exec()前,子进程需要先调用一次 ptrace,以 PTRACE_TRACEME 为参数告诉内核当前进程是traced状态,当子进程执行 execve() 之后,子进程会进入暂停状态,通过SIG_CHLD信号把控制权转给父进程。
父进程在fork()后调用了wait() 等待子进程,当 wait() 返回后,父进程查看子进程的寄存器或者对子进程做其它的事情。
当系统调用发生时,内核会把当前的寄存器中的内容(即系统调用的编号)保存到子进程的用户态代码段中,通过调用函数ptrace(PTRACE_PEEKUSER,…)来读取这个寄存器的值,拿到数据后通过ptrace(PTRACE_CONT,…)让子进程继续运行。

H4ppyD0g
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
android ptrace 检测,Android ptrace函数的实现
weixin_39992660的博客
05-28 796
首先看sys/ptrace.h/bionic/libc/include/sys/ptrace.h我们在调用的时候使用的是PTRACE_的导出符号,glibc也导出了PT_开头的符号。PTRACE_开头的符号定义在/bionic/libc/kernel/uapi/linux/ptrace.h中都是int型的数字,回到ptrace函数的定义,头文件中写的是一个不定参数的形式long ptrace(in...
内核级利用通用Hook函数方法检测进程
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
05-11 3721
内核级利用通用Hook函数方法检测进程作者: LionD8QQ: 10415468Email: [email protected]: http://blog.csdn.net/LionD8          http://liond8.126.com介绍通用Hook的一点思想: 在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问了大量的寄存器
Microsoft.SqlServer.Diagnostics.STrace.zip
06-04
标题: Microsoft SQL Server Management Studio “Microsoft.SqlServer.Management.Dmf.PolicyStore”的类型初始值设定项引发异常。 (Microsoft.SqlServer.Dmf) 其他信息: 未能加载文件或程序集“Microsoft.SqlServer.Diagnostics.STrace, Version=10.0.0.0, Culture=neutral, PublicKeyToken=89845dcd8080cc91”或它的某一个依赖项。系统找不到指定的文件。 (Microsoft.SqlServer.Dmf) 按钮: 确定
Microsoft.SqlServer.Diagnostics.STrace.dll
03-01
未能加载文件或程序集“Microsoft.SqlServer.Diagnostics.STrace, Version=10.0.0.0, Culture=neutral, PublicKeyToken=89845dcd8080cc91” 或它的某一个依赖项。系统找不到指定的文件。 (Microsoft.SqlServer.Dmf)
linux下的程序调试工具ltrace和strace终版.pdf
02-01
linux下的程序调试工具ltrace和strace终版.pdf
某鹅手游保护简略
Rorschach:Blog
02-12 1405
写在开始相比于某密的,某鹅的手游保护明显上了一个层级,但是笔者在分析的过程中,发现了还是有较多地方的改进。 注意,本文是基于17年初的版本进行分析。功能测试功能强大了很多,包含了ptrace所有线程、三进程保护、字符串加密、文件校验、DLL动态解密、mono动态解密、反修改器、反加速器、反暂停等等…可以看出,功能挺实用的…不过,功能覆盖挺全面,但在涉及上有很多点有逻辑问题,以及有些保护功能反而能加
Android性能分析工具strace (2)strace流程之ptrace跟踪目标进程系统调用
wellt606的博客
09-11 403
ptrace定义为long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data),参数 request是请求类型,其中PTRACE_ATTACH用于建立tracer和tracee关系,PTRACE_SYSCALL用于跟踪pid对应tracee的系统调用。ptrace_request()根据请求类型的不同调用不同的函数处理,PTRACE_SYSCALL请求类型对应的是ptrace_resume()。
检测进程是否存在的小函数&&检测命令是否执行成功的小函数
Donny2007的专栏
12-14 575
需求为按指定用户执行些服务的启动命令,不能重服启动。 其实很简单只要把这些命令穿起来就行了,如果多,可以也可用循环。另外加了一个检测进程是否已经启动的功能,如果已启动退出。我这里用的是#ps aux|grep 的方法,如果是标准的服务用pgrep命令比较好,得到PID可以kill 掉它。我这里不是像HTTP 之类的标准的服务,所以在pgrep 后面跟参数不准确,用不了。这里只说这两个小函数
strace gdb与ptrace
echoisland的专栏
08-18 993
strace gdb与ptrace 2011-05-24 10:20 121人阅读 评论(0) 收藏 举报 学习, 转贴自: http://blog.csdn.net/Javadino/archive/2008/09/06/2891413.aspx http:
strace原理、ptrace PTRACE_SYSCALL 调用跟踪
kiraskyler的博客
01-08 1061
strace实现原理分析
SqlServer.Diagnostics.STrace.dll
05-04
“Microsoft.SqlServer.Management.Dmf.PolicyStore”的...找对版本将Microsoft.SqlServer.Diagnostics.STrace.dll复制到C:\Program Files\Microsoft SQL Server\100\Tools\Binn\VSShell\Common7\IDE这个目录 即可。
linux下的程序调试工具ltrace和strace借鉴.pdf
11-28
linux下的程序调试工具ltrace和strace借鉴.pdf
使用strace,lstrace,truss来跟踪程序的运行过程
Yu's Notes
03-31 843
转发comment: 可以用这篇文章了解一些 strace,lstrace,truss 命令的概念和用法。 原文地址:https://www.ibm.com/developerworks/cn/linux/l-tsl/ 简介 进程无法启动,软件运行速度突然变慢,程序的"Segment Fault"等等都是让每个Unix系统用户头痛的问题,本文通过三个实际案例演示如何使用truss、strace和l...
强大的strace命令用法详解
Lansonli(蓝深李)的博客
10-03 1166
strace是什么? 按照strace官网的描述, strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器。我们用它来监控用户空间进程和内核的交互,比如系统调用、信号传递、进程状态变更等。 strace底层使用内核的ptrace特性来实现其功能。 在运维的日常工作中,故障处理和问题诊断是个主要的内容,也是必备的技能。strace作为一种动态跟踪工具,能够帮助运维高效地定位进程和服务故障。它像是一个侦探,通过系统调用的蛛丝马迹,告诉你异常的真相。 strace能做什么? 运维工程师都
strace实现原理:ptrace系统调用
RToax
11-19 2485
《GDB调试之ptrace实现原理》 《C语言程序调用栈:backtrace+backtrace_symbols+backtrace_symbols_fd》 目录 strace是什么? ptrace系统调用 运行被跟踪程序 编写跟踪进程代码 获取进程寄存器的值 strace是什么? 按照strace官网的描述, strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器。我们用它来监控用户空间进程和内核的交互,比如系统调用、信号传递、进程状态变更等。 strace底层使用内核的p
Linux内核调试方法总结之strace ,ltrace, ptrace, ftrace, sysrq
zmjames2000 Just record
03-12 9614
come from :https://www.cnblogs.com/justin-y-lin/tag/%E5%86%85%E6%A0%B8/ strace 【用途】 strace是一个功能强大的调试、分析、诊断工具,跟踪程序或进程执行时的系统调用和所接收的信号。可将所调用的系统调用的名称、参数和返回值输出到标准输出或者输出到-o指定的文件。 【命令格式】 strace [ -dffh...
Linux:内核调试方法之strace ,ltrace, ptrace, ftrace, sysrq
hhd1988的专栏
03-15 1252
Linux:内核调试方法之strace ,ltrace, ptrace, ftrace, sysrq
模拟器修改内核绕过ptracepid检测
inquisiter
12-17 7412
模拟器修改内核绕过ptracepid检测我看了下很多检测反调试的应用都会调用这个功能个,修改个内核做个系统还是很重要的。不够我自己嫌修改真机的内核太麻烦,现在模拟器上练个手,虽然网上没有如何修改具体的教程,不过真机修改内核还是有很多。我这里自己类推下:模拟器文件结构分析 我们先要找到内核文件的位置,如果是真机的话,需要找到boot.img。模拟器要简单很多,如上图,内核文件就是kernel-qem
selinux的安全策略可以影响ntp的方式
最新发布
ALex_zry的博客
05-18 225
默认情况下,NTP使用UDP端口123进行通信,SELinux 策略需要允许NTP守护进程访问该端口。例如,可以创建一个策略,只允许受信任的NTP服务器与本地系统通信。:SELinux 提供了详细的日志和审计功能,可以帮助管理员监控和分析NTP守护进程行为,以及检测任何潜在的安全问题。:SELinux 还可以限制NTP守护进程可以执行的操作,例如,是否可以打开套接字、是否可以读取或写入特定的设备等。:如果SELinux策略设置得太严格,可能会与NTP的正常操作发生冲突,导致NTP无法正常同步时间。
.strace如何使用
03-31
straceLinux系统中的一种调试工具,用来跟踪一个进程的系统调用和信号。使用方法如下: 1. 使用 strace 命令加上要跟踪的程序的名称来运行程序,例如: ``` strace ls ``` 2. 可以使用 -p 参数来指定要跟踪的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

H4ppyD0g

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值