系统调用,ptrace,go语言syscall

最新推荐文章于 2023-07-28 17:49:31 发布
最新推荐文章于 2023-07-28 17:49:31 发布 816 收藏 3
文章标签: go语言 go 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49393427/article/details/115259733
版权

系统调用

内核实现了很多系统调用函数,为每个函数提供一个标识,也就是系统调用号,在不同的架构中可能不同。
通过syscall(2) man page可以看到完整的系统调用列表

系统调用的执行流程:

  1. 用户程序调用C库或者直接通过自身的汇编指令进行系统调用,需要传递的变量及系统的调用编号保存在CPU寄存器中;
  2. 进程进入内核态,通过寄存器保存的系统调用编号识别系统函数,并执行系统调用;
  3. 系统调用结束后,结果、返回值和参数保存在寄存器,用户程序获取结果

go提供了syscall包直接通过汇编代码进行系统调用。

ptrace

定义

long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);
  • pid:要跟踪的进程ID
  • request:使用的ptrace请求

Go - syscall

数据结构

寄存器数据:syscall.PtraceRegs
状态数据:syscall.WaitStatus

封装的系统调用

PTRACE_ATTACH:func PtraceAttach(pid int) (err error)
PTRACE_DETACH:func PtraceDetach(pid int) (err error)
PTRACE_SYSCALL:func PtraceSyscall(pid int, signal int) (err error)
PTRACE_GETREGS:func PtraceGetRegs(pid int, regsout *PtraceRegs) (err error)
等待状态改变:func Wait4(pid int, wstatus *WaitStatus, options int, rusage *Rusage) (wpid int, err error)

存储位置

参考:https://man7.org/linux/man-pages/man2/syscall.2.html

x86_64

Orig_rax:系统调用时系统调用号
Rax:返回时返回值
regs.rdi - Stores the first argument
regs.rsi - Stores the second argument
regs.rdx - Stores the third argument
regs.r10 - Stores the fourth argument
regs.r8 - Stores the fifth argument
regs.r9 - Stores the sixth argument

arm/EABI

调用参数r0-r6
返回值r0,r1
调用号r7

读取方式

文件描述符int fd,通过/proc/pid/fd/%llu来读取filepath

sprintf(fdpath,"/proc/%u/fd/%llu",proc,regs.rdi);
size = readlink(fdpath, filepath, 256);  //this gives the filepath for a particular fd
filepath[size] = '\0';
printf("File-%s-\n", filepath);

指向缓冲区的指针void *buf,通过PTRACE_PEEKDATA / PTRACE_PEEKTEXT读取,ptrace一次返回8字节,所以要迭代读取数据,同时需要一个指针指向内存的开始位置,用于后续读取字符串。比如read参数第二个参数指示缓冲区位置,第三个参数指示长度

char message[1000];
char* temp_char2 = message;
int j = 0;
long temp_long;

while( j < (regs.rdx/8) ) //regs.rdx stores the size of the input buffer
{
    temp_long = ptrace(PTRACE_PEEKDATA, proc, regs.rsi + (j*8) , NULL);
    memcpy(temp_char2, &temp_long, 8);
    temp_char2 += sizeof(long);
    ++j;
}
message[regs.rdx] = '\0';
printf("Message-%s-\n\n", message);

参考链接

https://github.com/eaburns/ptrace
LinuGo - 用Go看到进程中发生的系统调用
linux 系统调用号表
ptrace手册
Linux System Call Table for x86 64
Extracting system call name and arguments using ptrace
strace 源码分析 (快速分析源码,半小时搞懂)
ptrace函数深入分析
strace 是如何工作的

go语言类似strace的项目

jfrabaute/libtrace
jfrabaute/gotrace
eaburns/ptrace
agis/gtrace(看起来还可以)
maebashi/go-strace
hugelgupf/go-strace(这个库很不错)
hugelgupf/go-strace/strace 文档

阅读终点,创作起航,您可以撰写心得或摘录文章要点写篇博文。去创作
苏打呀
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
系统调用syscall函数和字符设备驱动file_operations
xcxhzjl的博客
01-06 547
Linux系统调用syscall函数
Golang标准库-syscall(什么是系统调用/Go 语言中的系统调用
西京刀客
05-25 1万+
文章目录一、什么是系统调用二、Golang标准库-syscall1. syscall无处不在2. syscall demo举例: go版本的straceStracego版本的strace三、参考 一、什么是系统调用 In computing, a system call is the programmatic way in which a computer program requests a service from the kernel of the operating system it is exe
golang文件锁,目录锁,syscall包的使用
最新发布
papaya的博客
07-28 448
golang 文件锁/目录锁的实现
ptrace使用和调试
&Ψ的博客
06-12 3180
1. 文章参考 [原创]一窥GDB原理-Pwn Linux ptrace系统调用详解:利用 ptrace 设置硬件断点 <<软件调试>> 张银奎 2. ptrace函数原型 enum __ptrace_request { PTRACE_TRACEME = 0, //被调试进程调用 PTRACE_PEEKDATA = 2, //查看内存 PTRACE_PEEKUSER = 3, //查看struct user 结构体的值 PTRACE_POKEDATA = 5, //
letmedebug:禁用ptrace的PT_DENY_ATTACH-修补ptrace系统调用
05-18
甲虫禁用ptrace的PT_DENY_ATTACH 修补ptrace系统调用
golang syscall原理
惜暮
03-07 1万+
Golang System call1.入口2.系统调用管理3.runtime 中的 SYSCALL4.用户代码的系统调用和调度交互entersyscall和exitsyscall的pipelineentersyscallexitsyscallentersyscallblock5. 总结 这篇文章主要是分析在golang里面用户态进行系统调用时候的一些原理,主要关注点将会放在system call...
系统调用
wuguinianjing的博客
11-02 164
系统调用的弊端 系统调用完成了应用程序和内核交流的工作,因此理论上只需要系统调用就可以完成一些程序,但是: 事实上,包括Linux,大部分操作系统系统调用都有两个特点: 使用不便。 操作系统提供的系统调用接口往往过于原始,程序员须要了解很多与操作系统相关的细节。如果没有进行很好的包装,使用起来不方便。(包装使得抽象) 各个操作系统之间系统调用不兼容。 首先 Windows系统和Linux系统之间的系统调用就基本上完全不同,虽然它们的内容很多都一样,但是定义和实现大不一样。即使是同系列的操作系统的系
golang syscall 如何读取内存
weixin_35754962的博客
01-24 205
在 Go 中使用 syscall 库来读取内存需要使用 syscall.PtracePeekData() 函数。这个函数需要传入两个参数,一个是进程 ID,另一个是内存地址。它返回一个字节数组和一个错误信息。示例代码如下: package main import ( "fmt" "syscall" ) func main() { data, err := syscall...
psyscall:Linux syscall() 注入
05-29
使用ptrace(2)以可移植的方式将 Linux syscall() 注入到外部进程。 已在x86(Arch Linux和Ubuntu),ARMv7(Android 6和7),MIPS(Debian),PPC64(Debian)上进行测试。 需要echo 0 | sudo tee /proc/sys/...
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 168
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
Linux源码分析之Ptrace
七月冷雨
03-05 7192
本文摘自互联网,如有侵权,请联系我。一、函数说明1.函数使用说明名字ptrace – 进程跟踪形式#include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
08-27
主要给大家介绍了关于iOS安全防护系列之ptrace反调试与汇编调用系统方法的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
曹春晖:谈一谈 Go 和 Syscall
flynetcn的专栏
09-25 794
本文能够帮助读者理解 Go 语言怎么与系统打交道,同时了解底层 runtime 在 syscall 优化方面的一些当心思,从而更为深刻地理解 Go 语言。
Linux下Ptrace()调用的安全分析.pdf
09-07
Linux下Ptrace()调用的安全分析.pdf
论文研究-Linux下Ptrace()调用的安全分析.pdf
07-22
对Linux下的系统调用Ptrace()所拥有的进程跟踪和控制调试功能进行了分析;结合内核漏洞的具体实例研究其对系统可能造成的安全威胁;最后就病毒技术中的一项关键技术——隐藏,讨论了Ptrace()在Linux病毒隐藏技术中的...
[ptrace修改内存]实现进程代码注入
HotIce0
09-26 7338
一、背景 ptrace是Unix系列系统系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&amp;amp;amp;amp;amp;amp;amp;amp;写入操作,内存进行读取&amp;amp;amp;amp;amp;amp;amp;amp;修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。 二、主要流程 实验使用的方式是,直接rip
玩转ptrace
热门推荐
么刚的专栏
08-23 1万+
下面是转帖的内容,写的很详细。但是不同的linux发行版中头文件的路径和名称并不相同。如在某些发行版中就不存在,其中定义的变量出现在和中。 =====================================================================
Go标准库syscall调用dll
go go go
11-09 1737
golang调用dll库
linux hook 系统调用
06-28
### 回答1: Linux Hook 系统调用是指在 Linux 操作系统中,通过修改系统调用表来拦截和修改系统调用的行为。这种技术可以用于实现各种功能,如监控系统调用、实现安全策略、实现虚拟化等。Hook 系统调用的实现方式有多种,如使用内核模块、使用 LD_PRELOAD 环境变量、使用 ptrace 等。但是,Hook 系统调用也可能会带来一些安全风险,因此需要谨慎使用。 ### 回答2: Linux系统中的hook是一种通过修改系统内核来实现对系统或应用程序行为的改变的技术手段。hook技术的实现方式有很多种,比如LD_PRELOAD,在程序运行前拦截系统调用,重定向到用户编写的函数中,实现对系统调用进行Hook;也可以修改内核源代码,在内核中添加对指定系统调用的Hook函数,并重新编译部署内核。 在Linux系统中,Hook技术被广泛运用于安全防护、性能优化、监控记录等领域。安全防护方面,通过Hook技术可以拦截进程的系统调用,实现对安全攻击的检测和防范;在性能优化方面,Hook技术可以记录系统资源使用情况,进行优化分析;在监控记录方面,Hook技术可以通过修改系统调用返回值,实现对应用程序的状态监控和记录等功能。 Hook技术的实现需要一定的计算机专业知识和技能,同时也需要了解目标系统的内部运行机制和系统调用的使用方法。在使用时需要注意,Hook技术对系统稳定性和性能会产生影响,需要谨慎使用和调试。同时,在使用Hook技术时需要考虑到实现方式的兼容性、对日后维护的影响等问题,从而保证Hook技术的稳健性和长期有效性。 综上所述,在Linux系统中,Hook技术是一种应用广泛、有效性高的技术手段,可以实现对系统和应用程序行为的灵活定制和改变,通过对系统调用的拦截和修改,实现安全防护、性能优化、监控记录等多种功能。不过,在使用时需要注意风险和影响,选择合适的实现方式,从而确保Hook技术的有效性和稳健性。 ### 回答3: Linux 系统调用是操作系统的一个重要组成部分,它提供了应用程序与操作系统之间通信的桥梁,使得应用程序可以利用操作系统的功能进行各种操作。然而,在某些情况下,用户可能需要修改某些系统调用的行为或者监控它们的使用情况,这就需要使用 Linux hook 系统调用。 Linux hook 系统调用,也称为系统调用钩子,是一种在系统调用进行时拦截和修改系统调用的技术。其主要作用是通过程序实现拦截和修改系统调用的行为,以达到特定的目的。比如,通过修改文件访问系统调用的行为,可以对文件进行加密、解密和防止恶意软件操作等。 Linux hook 系统调用的实现方式有很多种,其中最常见的方式就是使用内核模块实现。内核模块是一种动态加载到内核中的代码,可以通过内核提供的对模块的管理函数进行加载、卸载和修改等操作。利用内核模块,可以实现对指定系统调用的拦截与修改,具体实现方法是通过在模块中添加指定系统调用的替代函数来实现。 除此之外,还可以使用 LD_PRELOAD 环境变量或者 ptrace 系统调用来实现 Linux hook 系统调用。其中,LD_PRELOAD 环境变量是一种可以动态加载库文件的方法,通过在 LD_PRELOAD 中指定某个库文件,可以在程序运行时优先加载该库文件,从而实现对系统调用的拦截;而 ptrace 系统调用则是一种常用的系统调用监控方法,可以用来检测系统调用调用次数、参数和返回结果等信息。 总体来说,Linux hook 系统调用是一种非常实用的技术,可以用来实现各种监控和安全保障功能。但是,在使用时需要注意保证系统的稳定性和安全性,避免出现非预期的系统崩溃或安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏打呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值