64位机 ptrace问题

最新推荐文章于 2021-05-26 22:02:27 发布
最新推荐文章于 2021-05-26 22:02:27 发布
阅读量1.6k 收藏
点赞数
分类专栏: Linux程序设计笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangqisheng/article/details/9208671
版权

今天看书看到ptrace这个函数。有人说功能强大,是strace等跟踪工具和gdb调试器的基石。我按网上的资料写个测试程序,发现点问题。

syscallID = ptrace(PTRACE_PEEKUSER, pid, ORIG_EAX*4, NULL);

这是网上某人写的代码。我把它放到64位linux上编译,发现编译不过,说找不到ORIG_EAX。我明明#include <sys/reg.h>了,怎么回事,我打开reg.h一看,原来里面用了#if WORDSIZE==64  #define ORIG_RAX 15。32位上是ORIG_EAX, 64位上应该用ORIG_RAX。改过来后,编译能过。但运行后,syscallID = -1, 即ptrace返回出错。于是我改成 

syscallID = ptrace(PTRACE_PEEKUSER, pid, ORIG_RAX*8, NULL);

再一次运行,ptrace没有返回错误。但是返回的system call ID 不对。比如execv应该返回11, 而上面这句返回59。其它好多返回的system call ID都不对。google了很长时间,没找到相关信息,只是发现一个英文网页http://t977.codeinpro.us/q/508128f74f1eba38a41c015e,这个哥们和我遇到同样问题,但好像没人说清为什么。这可能要看下ptrace的文档和代码,才能搞清楚到底怎么回事。

yangqisheng
关注
专栏目录
[Ptrace]Linux内存替换(五)x86_64平台代码注入
BraveWinds B10G
08-12 2014
上一节完成了x86平台的简单代码注入,本节将该过程移植到x86_64平台下测试成功。 【测试环境】 CentOS 5.4 (Final)x86_64 Linux version 2.6.18-164.el5. x86_64 GCC version 4.4.2 20080704
android绕过反调试方法,安卓|使用ptrace绕过ptrace反调试(二)
weixin_35171513的博客
05-26 1706
项目地址: https://github.com/chroblert/JC-AntiPtrace环境:kali2020,ndkr17c,arm64,pixel2,android8.1一、适用场景描述:zygote通过fork()系统调用,fork出一个appapp内通过ptrace(PTRACE_TRACEME,0,0,0);将父进程zygote做为自己的tracer这样其他进程就无法ptrace...
ptrace x64 转
weixin_33701251的博客
05-21 87
#include &lt;sys/ptrace.h&gt; #include &lt;sys/types.h&gt; #include &lt;sys/wait.h&gt; #include &lt;unistd.h&gt; #include &lt;sys/reg.h&gt; //#include &lt;linux/user.h&gt; #include &lt;sy...
【ptrace】linux下ptrace注入器的实现,(x86和x86_64)
Kaller的博客
03-04 945
KKPtrace是我写的ptrace注入器类的名称,注入器将会实现进程附加、内存读、内存写、寄存器读写等操作。目前已实现功能: 进程 进程附加 取消附加 继续运行 内存读 int32 byteList(字节数组,Vector<uint8>) 内存写 int8 int16 int32 int64 byteList 寄存器 获取 设置 打印 call 计算远程libc中函数地址 批量call 得到call的返回值
ptrace 捕捉系统调用 x64 version
zgl07的专栏
01-20 628
#include #include #include #include #include //#include #include const int long_size = sizeof(long); void reverse(char *str) { int i, j; char temp; for(i = 0, j =
Anti ptrace:去掉AlipayWallet的ptrace 反调试保护,进行lldb调试---仅用于参考学习
weixin_33739646的博客
11-28 1959
新的博客 学习笔记 前言 code 软件环境:Xcode硬件环境:iPhone5越狱手、Mac开发工具: Cycript、LLDB、logos Tweak、hopper、MonkeyDev、AFLEXLoader、dumpdecrypted、debugserver、ssh、class_dump、hook 本文采用tweak 的方式进行M...
PMD工具(Ptrace-based Memory Dump)源代码(注释版)
BreakingPoint
08-08 935
1. PMD工具 PMD工具是基于ptrace的Android手内存dump工具,其能够获取Android手指定进程的内存,并生成相应的map文件和mem文件。 Usage: pid out_dir [-s ] PMD工具的编译与使用见我的另一篇博客: http://blog.csdn.net/rzwinters/article/details/75517107 2.
Android arm64(aarch64)中的so注入(inject) - 兼容x86 and arm
Leo的memo
05-04 1万+
实现Android arm64(aarch64)中的so注入(inject) ,并且兼容x86和arm。如果没有搞错,这是国内外第一份公开的arm64注入的针对性完整资料~~ 代码基于 ariesjzj 的 http://blog.csdn.net/jinzhuojun/article/details/9900105,增加了对arm64的支持。(目前已经开始有64位安卓手) 同样,代码由
android 重新编译内核,[原创]华为内核重新编译踩坑记
weixin_33837516的博客
05-26 2116
华为内核重新编译踩坑记前几天有朋友找我帮他跟一个加密,由于js太乱了,想从app入手,于是打算用frida脱壳,结果发现报错Failed to attach: remote_write PTRACE_POKEDATA head failed: 5查询后发现是华为内核没有开启Ptrace,正好看到了吾爱的一篇文章华为手重新编译内核开启Ptrace,开始照着他的步骤开始编译,发现了很多坑点,在这里记...
Linux ptrace函数学习
04-04 336
因为要学习调试器是如何工作的,结果发现里面用到了ptrace这个函数,所以先要搞明白ptrace的作用和用法。国外有篇文章介绍的比较好Playing with ptrace, Part I ,这里记录一下学到的主要内容。那么先看最简单的一个的使用ptrace的例子 #include <sys/ptrace.h> #include <sys/types.h> #include...
ptrace(PTRACE_PEEKUSER,pid,ORIG_EAX*4,NULL)
zuihoudebingwen的专栏
06-17 2976
所有的系统调用陷入内核的方式都是一样的,所以仅仅是陷入内核空间是不够的。因此必须把系统调用号一并传给内核。在x86上,这个传递动作是通过在触发软中断前把调用号装入eax寄存器实现的。这样系统调用处理程序一旦运行,就可以从eax中得到数据。上述所说的system_call()通过将给定的系统调用号与NR_syscalls做比较来检查其有效性。如果它大于或者等于NR_syscalls,该函数就返回-E
ptrace运行原理及使用详解
AddyLee的专栏
03-25 4万+
你想过怎么实现对系统调用的拦截吗?你尝试过通过改变系统调用的参数来愚弄你的系统kernel吗?你想过调试器是如何使运行中的进程暂停并且控制它吗? 你可能会开始考虑怎么使用复杂的kernel编程来达到目的,那么,你错了。实际上Linux提供了一种优雅的制来完成这些:ptrace系统函数。 ptrace提供了一种使父进程得以监视和控制其它进程的方式,它还能够改变子进程中的寄存器和内核映像,因而可以
Android6.0 X86 ARM64位可用的注入Inject
ganyao939543405的博客
09-19 6327
最近在网上搜索Android的Inject与Hook,发现很多都因为时间久远而失效了,试了很多方案,最终找到了一个,特地来转载分享一下,本人的三星S6 6.0.1系统测试可用,另外4.2 4.4也都测试通过。 另外加上了注释便于大家理解。 转自 http://blog.csdn.net/jinzhuojun/article/details/9900105 1.inject.c #i
linux调试器的实现---有关寄存器操作的实现
darmao的博客
11-14 511
在这里,依旧是我们的利器ptrace//reg.h #ifndef DEBUGGER_REG_H #define DEBUGGER_REG_H#include <string> #include <boost/mpl/size_t.hpp> #include <array> #include <algorithm> enum class reg { rax,rbx,rcx,rdx,
C语言,C++编译遇到问题:has no member named ''XXX‘
热门推荐
ZDF19的博客
01-20 9万+
has no member named ''XXX‘ 也许你在使用c++的时候会出现问题:has no member named '...' 意思就是类没有成员变量XXA 实际上类是具有成员变量XX的 问题的原因在于工程中定义的变量和系统头文件定义的宏冲突所致:处理类定义之前,发现了同名的宏,导致在编译之前(预处理阶段)把类成员当作宏做了宏体的替换。 解决方案有2个 1. #if
开发一个Linux调试器(三):寄存器和内存
weixin_33701294的博客
08-08 270
上一篇博文中我们给调试器添加了一个简单的地址断点。这次,我们将添加读写寄存器和内存的功能,这将使我们能够使用我们的程序计数器、观察状态和改变程序的行为。 系列文章索引 随着后面文章的发布,这些链接会逐渐生效。 准备环境 断点 寄存器和内存 Elves 和 dwarves 源码和信号 源码级逐步执行 源码级断点 调用栈展开 读取变量 下一步 ...
[ptrace修改内存]实现进程代码注入
HotIce0
09-26 8475
一、背景 ptrace是Unix系列系统的系统调用之一。其主要功能是实现对进程的追踪。对目标进程,进行流程控制,用户寄存器值读取&amp;amp;amp;amp;amp;amp;amp;amp;写入操作,内存进行读取&amp;amp;amp;amp;amp;amp;amp;amp;修改。这样的特性,就非常适合,用于编写实现,远程代码注入。大部分的病毒会使用到这一点,实现,自用空间注入,rip位置直接注入,text段与data段之间的空隙注入。 二、主要流程 实验使用的方式是,直接rip
关于64位CentOS上ptrace报<linux/user.h> no such file 错误的解决方法
一只叫做Unix的猫
04-13 4320
首先介绍一下ptrace: ptrace提供了一种使父进程得以监视和控制其它进程的方式,它还能够改变子进程中的寄存器和内核映像,因而可以实现断点调试和系统调用的跟踪。 使用ptrace,你可以在用户层拦截和修改系统调用(sys call) 我们以一个实例为例: [cpp] view plain copy  print? #include 
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值