ptrace 分析[基于Android 8.0 msm-4.4]

最新推荐文章于 2024-03-08 10:53:51 发布
原创 最新推荐文章于 2024-03-08 10:53:51 发布 · 2.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ptrace

1.ptrace 基础用法

从 man开始:

$man 2 ptrace

PTRACE(2)                                                                       Linux Programmer's Manual                                                                       PTRACE(2)

NAME
       ptrace - process trace
SYNOPSIS
       #include <sys/ptrace.h>
       long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);
DESCRIPTION
       The  ptrace() system call provides a means by which one process (the "tracer") may observe and control the execution of another process (the "tracee"), and examine and change the tracee's memory and registers.  It is primarily used to implement breakpoint debugging and system call tracing.

       A tracee first needs to be attached to the tracer.  Attachment and subsequent commands are per thread: in a multithreaded process, every thread can be individually attached to  a (potentially  different) tracer, or left not attached and thus not debugged.  Therefore, "tracee" always means "(one) thread", never "a (possibly multithreaded) process".  

Ptrace commands are always sent to a specific tracee using a call of the form

           ptrace(PTRACE_foo, pid, ...)
       where pid is the thread ID of the corresponding Linux thread.
       (Note that in this page, a "multithreaded process" means a thread group consisting of threads created using the clone(2) CLONE_THREAD flag.)
       A process can initiate a trace by calling fork(2) and having the resulting child do a PTRACE_TRACEME, followed (typically) by an execve(2).  Alternatively, one process  may  commence tracing another process using PTRACE_ATTACH or PTRACE_SEIZE.
       While being traced, the tracee will stop each time a signal is delivered, even if the signal is being ignored.  (An exception is SIGKILL, which has its usual effect.) The tracer will be notified at its next call to waitpid(2) (or one of the related "wait" system calls); that call will return a status value containing information that indicates the  cause of  the  stop in the tracee.  While the tracee is stopped, the tracer can use various ptrace requests to inspect and modify the tracee.  The tracer then causes the tracee to continue, optionally ignoring the delivered signal (or even delivering a different signal instead).
       If the PTRACE_O_TRACEEXEC option is not in effect, all successful calls to execve(2) by the traced process will cause it to be sent a SIGTRAP signal, giving the parent  a  chanceto gain control before the new program begins execution.
       When the tracer is finished tracing, it can cause the tracee to continue executing in a normal, untraced mode via PTRACE_DETACH.

       The value of request determines the action to be performed:

       .....

       简单来讲, ptrace 就是用来提供进程跟踪/控制的一个系统调用,允许 tracer 观察/修改 tracee的 Memory & Registers;

       它主要用来实现 断点调试 / 系统调用跟踪 的功能。

        tracee 进程被跟踪的前提(参考 cap_ptrace_traceme 函数):

    1. 它是 tracer的子进程,tracer 拥有和 tracee 相同的或者更高一级的 user_ns,并且tracer 拥有当前 tracee的所有capabilities
    2. 或者,tracer 拥有对 tracee 的 ptrace 权限

long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

其中,ptrace 请求 request 决定了 ptrace系统调用的功能,下面是比较常用的一些请求及说明:

ptrace requests
requests comment
PTRACE_TRACEME 由 tracee进程发出该请求,表示tracee进程可被父进程 trace,除了该请求,其他的请求均由 tracer进程调用;
PTRACE_PEEKTEXT, PTRACE_PEEKDATA Read  a word at the address addr in the tracee's memory, returning the word as the result of the ptrace() call. 当前这个两个请求完全相等。data 参数忽略。
PTRACE_PEEKUSER 从 USER区域读出一个 word,addr是偏移量,读取的word作为 ptrace返回值。
PTRACE_POKETEXT, PTRACE_POKEDATA 向 tracee的内存写入一个 word,内存地址是 addr,data是要写入的数据
PTRACE_POKEUSER
最低0.47元/天 解锁文章

200万优质内容无限畅学
linux kernel ptrace 流程梳理
techtitan的专栏
11-07 512
ptrace 背景 ptracelinux 中跟踪进程使用的一种方式手段,主要方法是使用stop 信号将目的进程stop掉, 然后使用gup.c中的get_user_page对目的进程的地址空间进行访问 从代码角度讲,ptracelinux 的一个系统调用, 详细描述可以man ptrace查看 代码流程 ptrace 系统调用 代码文件 kernel/ptrace.c 主要代码流程: ptrace_attach: 1) ptrace_link将自己链接到parent 2) 将对方任务stop掉,
Android 8.0系统源码分析--应用进程启动过程分析
红旺永福
12-24 2197
Android 8.0源码分析
玩转ptrace(一) [z](转帖真的很好)
zgl07的专栏
01-12 822
 玩转ptrace(一) [z]  by Pradeep Padala Created 2002-11-01 02:00翻译: Magic.D E-mail: adamgic@163.com译者序:在开发Hust Online Judge的过程中,查阅了不少资料,关于调试器技术的资料在网上是
linux ptrace 内核源码分析,Linux ptrace详细分析系列(一)
weixin_36000501的博客
05-13 732
原标题:Linux ptrace详细分析系列(一) 本文为看雪论坛优秀文章看雪论坛作者ID:有毒备注:文章中使用的Linux内核源码版本为Linux 5.9,使用的Linux版本为Linux ubuntu 5.4.0-65-generic一、简述ptrace系统调用提供了一个进程(tracer)可以控制另一个进程(tracee)运行的方法,并且tracer可以监控和修改tracee的内存和寄存器,...
Android Ptrace 注入
七月冷雨
04-04 1万+
由于安卓采用的是修改后的linux内核,所以linux上的很多注入技术都可以用于安卓。ptrace远程注入技术便是一种。现在我们将实现对一款游戏进行注入。该例子是腾讯游戏安全实验室提供的,再此表示感谢!如有侵权的话,希望联系我。 一、Ptrace函数介绍 Ptrace注入技术主要使用的是linux系统下的ptrace函数。关于如何深入学习Ptrace函数。大家可以参看我前面写的几篇文章:
Android systrace/atrace/ftrace抓取方法
知识空间
11-18 9606
android 中的trace分为三种:systrace、atrace和ftrace,本文主要介绍systrace/atrace/ftrace抓取的详细命令和方法,直接使用命令即可抓取,可以轻松上手各种trace的抓取
Frida-Honor9i(LLD-AL20) Android8.0.0 kernel4.4.23+.img
05-19
去除Honor9i(LLD-AL20) Android8.0.0 kernel4.4.23+的ptrace限制,可以正常使用Frida,具体制作教程看https://blog.csdn.net/qq_26914291/article/details/116978870?spm=1001.2014.3001.5502
Android逆向-基础与实践 (七)-ptrace注入
最新发布
10-22
Android逆向工程作为移动安全领域的重要分支,涵盖了对Android应用程序的代码和行为进行分析、理解、修改和重建的一系列技术。在这一过程中,“ptrace注入”是一种高级技术,它涉及到ptrace系统调用的使用,这是Unix...
python-ptrace:python-ptraceptrace库的Python绑定
05-05
python-ptrace python-ptrace是使用以Python编写的ptraceLinux,BSD和Darwin系统调用以跟踪进程)的调试器。 python-ptrace是在GNU GPLv2许可下用Python编写的开源项目。 它支持Python 3.6及更高版本。
Linux freezer机制
专注于系统快稳省领域
02-22 1541
系统进入suspended或进程被加入到cgroup冻结或解冻分组,用户进程和部分内核线程被冻结后,会剥夺执行cpu资源,解冻或唤醒后恢复正常。
LinuxPtrace()调用的安全分析.pdf
09-07
LinuxPtrace()调用的安全分析.pdf
Error running ‘Attach debug to process‘
dreamsever的专栏
03-08 2754
网上找了很久没有找到原因,怀疑是自己的Android Studio版本太高了,遂卸载Android Studio。卸载后安装:Android Studio Hedgehog | 2023.1.1。原来版本是:Android Studio Iguana | 2023.2.1。
使用ptrace向已运行进程中注入.so并执行相关函数
热门推荐
MyArrow的专栏
07-30 1万+
1. 简介     使用ptrace向已运行进程中注入.so并执行相关函数,其中的“注入”二字的真正含义为:此.so被link到已运行进程(以下简称为:目标进程)空间中,从而.so中的函数在目标进程空间中有对应的地址,然后通过此地址便可在目标进程中进行调用。      到底是如何注入的呢?      本文实现方案为:在目标进程中,通过dlopen把需要注入的.so加载到目标进程的空间中。
进程管理(八)--创建进程fork
奇小葩
05-17 2021
在最新的版本的POSIX标准中,定义了进程创建和终止的操作,进程创建包括fork()和execve(),进程终止包括wait(),waitpid(),kill()以及exit()。Linux系统为了提高效率,把POSIX标准的fork()扩展为vfork和clone。 前面一章我们学习了用GCC将一个最简单的程序(如hello world程序)编译成ELF文件,在shell提示符下输入该可执行文件并且按回车后,这个程序就开始执行了。起始这里shell会调用fork()来创建一个新进程,然后调用execve(
浅析CVE-2012-0056
少仲
04-23 1731
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0056 0x1 漏洞描
linux 3.5.4 PTRACE(系列九)
shen332401890的专栏
12-18 1352
本文主要分析ptrace的单步调试功能 单步调试的含义相信大家已经非常清楚了,PTRACE_SINGLESTEP参数就能够使被跟踪的程序单步执行。 PTRACE_SINGLESTEP重新启动被停止的程序,让其执行一条指令之后又停止。我们用下面的代码加以验证。 list11.c #include "ptrace.h" void main(int argc,char *argv[]) {
ptrace函数深入分析
weixin_30667301的博客
06-07 1097
ptrace函数:进程跟踪。 形式:#include<sys/ptrace.h> Int ptrace(int request,int pid,int addr,int data); 概述: 父进程控制子进程运行,检查和改变它的核心Image。Ptrace主要用来实现断点调试。当进程被中止,通知父进程,进程的内存空间可以被读写,父进程可以选择是子进程继续执行,还是中止...
ptrace
u011661836的博客
11-21 1235
Anti ptrace 20 DEC 2015 学习了 http://www.iosre.com/t/7-2-0-ios/770 和 http://bbs.iosre.com/t/ptrace/371 两篇文章后,上手操作了下。 发现高德地图7.5.4版本已经没有了sub函数,而是直接在start中加入了ptrace的动态加载。如下图: 想来可以直接hook dlsym,当第二个参数为”
Ptrace 详解 转载
weixin_57023347的博客
08-05 1082
转载:Ptrace 详解 引子:1.Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态?2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?所有这一切的背后都隐藏着Linux所提供的一个强大的系统调用ptrace().1.ptrace系统调用ptra
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值