ptrace系统调用的实现

最新推荐文章于 2025-09-25 20:50:41 发布
原创 最新推荐文章于 2025-09-25 20:50:41 发布 · 3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ptrace #gdb #debug #linux #kernel

部署运行你感兴趣的模型镜像

最近遇到这样一个问题,机器跑着跑着画面冻结了,打开top看到Xorg的cpu占用率100%。想用gdb挂上去看一下,结果gdb一直卡着挂不上去。后来又换用perf分析,结果发现进程99%的时间花在了一个ioctl调用。这个ioctl操作的是nvidia显卡,进程实际上是卡在了nvidia的驱动中。

我对gdb挂不上去这件事感到很好奇,之前除了因为进程已经被另一个gdb调试而导致gdb挂不上去之外,还没有遇到过这种情况,所以看了内核源码分析了一下。

先说结论,为什么此时gdb挂不上去呢?简单的来说就是:调试器(tracer)是基于ptrace实现的,使用ptrace连接(attach)被调试进程(tracee)时,会向tracee发送一个SIGSTOP信号,让tracee停下来,后续的调试工作要等tracee停下来才能继续进行。而tracee能够停下来又要依赖对信号的响应,但是进程只有在从内核空间返回用户空间时,才会检查是否有待处理的信号,并进行响应。而如果进程一直卡在内核空间的话,就无法返回用户空间,所以就无法响应信号,导致进程无法停止。这样的话,tracer就只能一直等着tracee,无法进行调试。

上面是概要的结论,下面对ptrace系统调用的基本流程分析一下,由于ptrace的实现细节非常多,所以此处只是其大致框架。我使用的内核版本是4.16,系统架构为64位x86。为了与文档和代码中的术语保持一致,不再使用“调试”这个词,而是使用“跟踪”(trace)。(“跟踪”实际上是手段,“调试”是目的)

ptrace操作的环境

除了PTRACE_TRACEMEPTRACE_ATTACHPTRACE_SEIZE这些用于本身就用于建立ptrace操作环境的请求之外,其他请求在执行之前都会检查ptrace环境是否已经建立。

SYSCALL_DEFINE4(ptrace, long, request, long, pid, unsigned long, addr,
		unsigned long, data)
{
......
	ret = ptrace_check_attach(child, request == PTRACE_KILL ||
				  request == PTRACE_INTERRUPT);
	if (ret < 0)
		goto out_put_task_struct;
......
}

ptrace_check_attach函数就是用来检查ptrace环境的。ptrace环境有两部分:一部分是要求tracer和tracee有跟踪关系,另一部分是要求tracee处于被跟踪的停止状态。后一部分在请求为PTRACE_KILL或者PTRACE_INTERRUPT时不需要保证。

static int ptrace_check_attach(struct task_struct *child, bool ignore_state)
{
	int ret = -ESRCH;

	/*
	 * We take the read lock around doing both checks to close a
	 * possible race where someone else was tracing our child and
	 * detached between these two checks.  After this locked check,
	 * we are sure that this is our traced child and that can only
	 * be changed by us so it's not changing right after this.
	 */
	read_lock(&tasklist_lock);
	if (child->ptrace && child->parent == current) {
		WARN_ON(child->state == __TASK_TRACED);
		/*
		 * child->sighand can't be NULL, release_task()
		 * does ptrace_unlink() before __exit_signal().
		 */
		if (ignore_state || ptrace_freeze_traced(child))
			ret = 0;
	}
	read_unlock(&tasklist_lock);

	if (!ret && !ignore_state) {
		if (!wait_task_inactive(child, __TASK_TRACED)) {
			/*
			 * This can only happen if may_ptrace_stop() fails and
			 * ptrace_stop() changes ->state back to TASK_RUNNING,
			 * so we should not worry about leaking __TASK_TRACED.
			 */
			WARN_ON(child->state == __TASK_TRACED);
			ret = -ESRCH;
		}
	}

	return ret;
}

上面的child->ptrace && child->parent == current用来保证tracer和tracee的跟踪关系,而ptrace_freeze_traced函数用来测试tracee是否处于期望的状态,即tracee的状态有__TASK_TRACED标志位,且当前没有未处理的SIGKILL信号。

static bool ptrace_freeze_traced(struct task_struct *task)
{
	bool ret = false;

	/* Lockless, nobody but us can set this flag */
	if (task->jobctl & JOBCTL_LISTENING)
		return ret;

	spin_lock_irq(&task->sighand->siglock);
	if (task_is_traced(task) && !__fatal_signal_pending(task)) {
		task->state = __TASK_TRACED;
		ret = true;
	}
	spin_unlock_irq(&task->sighand->siglock);

	return ret;
}

下面来分析如何建立ptrace环境。

tracer和tracee的跟踪状态

进程tracer首先要成为进程tracee的跟踪进程,即要满足:tracee->ptrace && tracee->parent == tracer。如何做到呢?有两种方式:一种情况是tracer是tracee的父进程,进程tracee主动调用ptrace(PTRACE_TRACEME, 0, 0, 0),另外一种是进程tracer调用ptrace(PTRACE_ATTACH, tracee->pid, 0, 0)。我们来看一下这两种方式的流程。

ptrace(PTRACE_TRACEME, 0, 0, 0)

ptrace系统调用中,当请求为PTRACE_TRACEME时,会直接调用ptrace_traceme

SYSCALL_DEFINE4(ptrace, long, request, long, pid, unsigned long, addr,
		unsigned long, data)
{
	......
	if (request == PTRACE_TRACEME) {
		ret = ptrace_traceme();
		......
	}
    ......
}

ptrace_traceme函数中,首先要检查现在没有其他进程跟踪当前进程,然后进行权限检查。都没有问题的话,将当前进程ptrace字段置为PT_PTRACED,然后调用ptrace_link,而ptrace_link最终调用了__ptrace_link,最终将父进程设为了跟踪进程。

static int ptrace_traceme(void)
{
	int ret = -EPERM;

	write_lock_irq(&tasklist_lock);
	/* Are we already being traced? */
	if (!current->ptrace) {
		ret = security_ptrace_traceme(current->parent);
		/*
		 * Check PF_EXITING to ensure ->real_parent has not passed
		 * exit_ptrace(). Otherwise we don't report the error but
		 * pretend ->real_parent untraces us right after return.
		 */
		if (!ret && !(current->real_parent->flags & PF_EXITING)) {
			current->ptrace = PT_PTRACED;
			ptrace_link(current, current->real_parent);
		}
	}
	write_unlock_irq(&tasklist_lock);

	return ret;
}

__ptrace_link首先将tracee放到tracer的ptraced列表中,然后将tracee的parent字段置为tracer。(请注意区分parent字段和real_parent字段)。

void __ptrace_link(struct task_struct *child, struct task_struct *new_parent,
		   const struct cred *ptracer_cred)
{
	BUG_ON(!list_empty(&child->ptrace_entry));
	list_add(&child->ptrace_entry, &new_parent->ptraced);
	child->parent = new_parent;
	child->ptracer_cred = get_cred(ptracer_cred);
}

ptrace(PTRACE_ATTACH, tracee->pid, 0, 0)

tracer跟踪tracee的另一种方式是使用PTRACE_ATTACH(或PTRACE_SEIZE)请求。与处理PTRACE_TRACEME请求的ptrace_traceme函数类似,处理PTRACE_ATTACH请求时会调用ptrace_attach函数。ptrace_attach代码行数较ptrace_traceme长不少,因为要做大量的合法性检查:tracer和tracee可能是同一个进程,tracee可能是个内核线程,也可能是其他用户的进程,等等有各种意外情况。但如果没问题的话,最终也是调用了ptrace_link将tracer设置为tracee的跟踪进程,在此不再赘述。有一个不一样的地方是,处理PTRACE_ATTACH请求时会向tracee发送一个SIGSTOP信号。

至此,tracer就成为了tracee的跟踪进程,但此时tracer还不能立即对tracee使用ptrace请求,还有另一个前提条件:tracee已经停止运行,即state字段中__TASK_TRACED被置位。

使tracee停止运行

内核何时对tracee的state字段的__TASK_TRACED标志位进行置位呢?是在tracee处理除SIGKILL信号以外的任何信号时做的。

进程在从内核空间返回用户空间时会检查是否有挂起信号,如果有的话,调用do_signal进行处理。

static void exit_to_usermode_loop(struct pt_regs *regs, u32 cached_flags)
{
......
		/* deal with pending signal delivery */
		if (cached_flags & _TIF_SIGPENDING)
			do_signal(regs);
......
}

do_signal需要调用get_signal来填充一个ksignal结构体。

void do_signal(struct pt_regs *regs)
{
......
	if (get_signal(&ksig)) {
		/* Whee! Actually deliver the signal.  */
		handle_signal(&ksig, regs);
		return;
	}
......
}

get_signal过程中,会检查当前进程是否处于被ptrace跟踪的状态,如果是的话,且当前信号不是SIGKILL,则会调用ptrace_signal

int get_signal(struct ksignal *ksig)
{
......
		if (unlikely(current->ptrace) && signr != SIGKILL) {
			signr = ptrace_signal(signr, &ksig->info);
			if (!signr)
				continue;
		}
......
}

ptrace_signal调用ptrace_stop来使当前进程停下来。

static int ptrace_signal(int signr, siginfo_t *info)
{
......
	ptrace_stop(signr, CLD_TRAPPED, 0, info);
......
}

ptrace_stop首先将进程状态设置为TASK_TRACED,这样的话,下次进行进程调度时就不会调度该进程了。设置完进程状态后,会发送SIGCHLD信号通知当前进程的parentreal_parent。最后调用freezable_schedule进行进程调度,将该进程停下来。

static void ptrace_stop(int exit_code, int why, int clear_code, siginfo_t *info)
	__releases(&current->sighand->siglock)
	__acquires(&current->sighand->siglock)
{
......
	set_current_state(TASK_TRACED);
......
		do_notify_parent_cldstop(current, true, why);
		if (gstop_done && ptrace_reparented(current))
			do_notify_parent_cldstop(current, false, why);
......
		freezable_schedule();
......
}

为了能让tracee停止运行,信号是必不可少的,无论是PTRACE_ATTACH请求、breakpoint或者是watchpoint,都依赖于给tracee发送一个信号,同时tracee还要有机会去检查当前有哪些挂起的信号。就像文章一开始提到的问题,进程一直卡在内核空间,没有机会在返回用户空间时检查当前挂起的信号,也就无法停止运行了。

至此ptrace请求的前置条件就完全满足了,可以使用其他ptrace请求了。

其他的ptrace请求无非是读写tracee的task_struct、内存和寄存器了,似乎没什么太特别的地方,也就不再分析了。

结束语

以上就是ptrace系统调用实现的大致原理。不过有一部分没有提到,就是tracer与tracee如何detach,主要是因为这部分和文章开头提到的问题不相干,所以就没有看这部分的源码,有兴趣的可以自己看一下。

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

系统调用捕获和分析—通过ptrace获取系统调用信息
H4ppyD0g的博客
05-31 828
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注! 文章目录ptrace系统调用利用ptrace获取进程的系统调用 ptrace系统调用 linux提供了ptrace系统调用接口,通过这个接口可以实现进程的跟踪功能。以此实现父进程对其子进程进行控制和改变子进程核心镜像,包括读写子
strace实现原理:ptrace系统调用
u013347872的博客
05-21 1885
根据strace官网的描述,strace是一个Linux用户空间跟踪器,可用于诊断、调试和教学。我们用它来监控用户空间进程和内核之间的交互,比如系统调用、信令、进程状态变化等等。strace 使用内核的 ptrace 特性来实现其功能。在运维的日常工作中,故障处理和问题诊断是主要内容和必备技能。strace 可以作为跟踪故障过程的有效工具。就像侦探通过系统调用的痕迹告诉你异常的真相。这次想分享一个实用的东西,就是写一个strace工具。
Linux系统调用--ptrace函数详解
sourthstar的专栏
09-19 3082
http://hi.baidu.com/ordeder/item/77cf1cdc8ca93fe3795daab0 【ptrace系统调用】 功能描述: 提供父进程观察和控制另一个进程执行的机制,同时提供查询和修改另一进程的核心影像与寄存器的能力。主要用于执行断点调试和系统调用跟踪。父进程可通过调用fork,接着指定所产生的子进程的PTRACE_TRACEME行为
strace / ltrace / ptrace / ftrace
最新发布
huayidw的博客
09-25 1033
跟踪对象:ptrace:接口(用于实现跟踪/调试)。strace:系统调用(内核边界)。ltrace:用户态库函数调用(动态库)。ftrace:内核函数与事件(内核空间)。运行层次:ltrace/strace 在用户空间与内核交互点;ftrace 在内核空间;ptrace实现机制。权限:ftrace 通常需 root;strace/ltrace 可能需与目标同一用户或受 ptrace_scope 限制。可见性:strace 看不到函数内部逻辑;ltrace 看不到内核态细节。
玩转ptrace(二)
永久指针
12-01 1660
转自:http://blog.youkuaiyun.com/silentvoid/article/details/1477515 by Pradeep Padala Created 2002-11-01 02:00 翻译: Magic.D   在第一部分中我们已经看到ptrace怎么获取子进程的系统调用以及改变系统调用的参数。在这篇文章中,我们将要研究如何在子进程中设置断点和往运行中的程序里插入
PTRACE_TRACEME 与反调试
dilvx的博客
02-06 1512
Linux 的经典反调试手段,因为系统限制调试是独占的,一个进程只能有一个 debugger。静默跟踪:父进程可通过 PTRACE_SEIZE(非侵入式跟踪)或直接忽略跟踪事件,避免触发信号暂停,使子进程看似未被调试。即使父进程不进行任何实际跟踪操作,该插槽已被占用,导致外部调试器无法通过常规手段附加。利用时间差:在子进程调用 PTRACE_TRACEME 前,父进程或外部程序能快速附加调试器,仍可拦截子进程。设置标记不代表子进程立刻就会被中断,必须收到停止信号时才会被父进程捕获。
ptrace 系统调用
tq08g2z的专栏
09-02 901
ptraceLinux 环境下,许许多多分析调试工具,如 strace,ltrace 等,所使用的最核心的系统调用ptrace,即 process trace,指进程追踪。它能让一个进程控制及影响另一个进程的行为,比如让另外一个进程停止运行,获取另外一个进程内存地址空间中的值,设置另外一个进程内存中的值,获取另外一个进程的寄存器的值,设置另外一个进程的寄存器的值,等等等等。 ptrace 系统调用的 C 库接口原型如下: #include <sys/ptrace.h>
GDB 源码分析系列文章一:ptrace 系统调用和事件循环(Event Loop)
Dong_HFUT的博客
05-04 8214
关于 gdb 内部实现介绍的文章非常少,本人计划通过阅读 gdb 源码,推出系列文章介绍 gdb 内部实现的机制,以窥视 gdb 内部是如何控制和调试程序的。
如何用ptrace拦截系统调用并替换为自定义代码
fdfasf的博客
11-19 1032
如何用ptrace拦截系统调用并替换为自定义代码 tracer能够改变系统调用参数,改变系统调用的返回值,甚至屏蔽特定的系统调用,将特定系统调用替换为自定义的helloworld函数。 ptrace系统调用的拦截替换原理为:利用ptrace函数使父进程跟踪子进程,当子进程在执行系统调用时,断住子进程,获取并保存当前系统调用的寄存器信息。然后备份ip寄存器指向的指令块A,替换为我们要执行的code指令块B,B执行后ip地址值恢复为指令块A及寄存器内容。 下面用例子实现上面的系统调用拦截替换功能。首先我们的目标
利用ptrace hook 系统调用
学习记录
04-10 1570
我们知道gdb实现原理就是利用ptrace,关于ptrace我就不多介绍了,主要看怎么利用它去hook 首先,利用ptrace可以给被调试进程下断点,也可以改其寄存器,和opcode,我们利用这点可以实现一个简易的调试器,那么我们如果把实现调试器时插入的0xcc字节码换成我们想要执行的hook函数会发生什么呢? 比如我们 ...
【进程间通信】系统调用ptrace()和进程跟踪
博客已搬家
06-11 1636
为了方便应用软件的开发与调试,从Unix的早期版本ka
Linux ptrace系统调用
小立仔
08-31 3139
Linux ptrace系统调用简介
使用strace工具跟踪系统调用
houxiaoliwang的博客
11-03 667
1、strace 使用时无需重新编译程序,我们可以用来跟踪有源代码的程序。 使用strace工具来执行程序时,它会记录程序执行过程中调用的系统调用、接收到的信号。通过查看记录结果,可以知道程序打开了哪些文件、打开是否成功、对文件进行了哪些操作等。 2、strace的用法 在使用前确保已经移植了strace。 直接运行strace可以看到它的用法及各个参数的作用 usage: s
浅谈Android反调试 之 PTRACE_TRACEME
weixin_34014277的博客
05-01 505
浅谈Android反调试 之 PTRACE_TRACEME 反调试原理:关于Ptrace: http://www.cnblogs.com/tangr206/articles/3094358.htmlptrace函数原型为: #include <sys/ptrace.h>long ptrace(enum __ptrace_r...
Andorid APK反逆向解决方案:梆梆加固原理探寻【存档】
panfanglin的专栏
06-26 1100
目前Android市场充斥着大量的盗版软件,开发者的官方应用被“打包党”们恶意篡改。如何使程序代码免受盗版篡改就成了开发者面临的头等大事,今天我们将分析一个不错的解决方案——梆梆加固。 通过对App进行加固保护,梆梆可以有效防止移动应用在运营推广过程中被破解、盗版、二次打包、注入、反编译等破坏,保障程序的安全性、稳定性,对移动应用的整体逻辑结构进行保护,保证了移动应用的用户体验。
威力巨大的系统调用——ptrace
qiqi_6666的博客
08-30 3435
本文介绍了Linux内核中极为强大的系统调用——ptrace。该系统调用能够为一个进程提供控制另一个进程执行过程的能力。系统调试届最为著名的strace和gdb就是基于ptrace系统调用实现的。完成本文的学习将收获许多与内核相关的知识,还等什么呢?赶快学习起来吧!
ptrace
lyndon
05-07 1254
任何发给子进程的信号 signal(SIGKILL 除外)将导致子进程暂停运行,而它的父进程会通过 wait() 获得通知。
ptrace接口和execve同步导致的一个内核漏洞
TCP/IP
02-09 3838
linux中是不可以依附别的进程的,更不可能创建远程线程,然而一种不太正规的方式却可以做到这一点,这就是ptrace接口,ptrace可以依附任何用户进程,用特殊的参数甚至可以更改任何进程的寄存器和内存映射,这个功力和创建远程线程不相上下,甚至比其更加灵活,如果理解了elf映像在内存的布局便可以通过ptrace修改被调试进程的任意内存。然而有一个限制就是ptrace接口只能调试属于自己用户的进程,
linux ptrace 图文详解(二) PTRACE_TRACEME 跟踪程序
h_b__k的博客
03-14 1710
本文介绍了gdb加载被调试程序进行调试运行的底层实现原理:PTRACE_TRACEME实现细节。
详细解释ptrace系统调用的参数及其作用, 使用案例
07-06
<think>我们被要求详细解释ptrace系统调用的参数及其作用,并提供使用案例。根据引用[2]和引用[3],ptrace系统调用的函数原型是: ```c long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); ``` 它有四个参数:request, pid, addr, data。 下面我们将详细解释每个参数: 1. **request (枚举类型 __ptrace_request)**: 这是ptrace的核心操作指令,告诉ptrace执行什么操作。request的值决定了其他参数的意义。常见的request值包括(但不限于): - `PTRACE_TRACEME`: 表示本进程将被其父进程跟踪。通常由被跟踪进程(tracee)调用。此时,其他参数被忽略。 - `PTRACE_ATTACH` 或 `PTRACE_SEIZE`: 附加到指定pid的进程,使其成为被跟踪者(tracee)。 - `PTRACE_DETACH`: 分离tracee,使其恢复运行。 - `PTRACE_PEEKTEXT`, `PTRACE_PEEKDATA`: 从tracee的地址空间中读取内存(addr指定地址)。读取的数据通过ptrace的返回值返回,data参数被忽略。 - `PTRACE_POKETEXT`, `PTRACE_POKEDATA`: 将数据写入tracee的地址空间(写入到addr指定的地址,数据为data)。 - `PTRACE_GETREGS`, `PTRACE_GETFPREGS`: 获取tracee的通用寄存器或浮点寄存器的值。此时,addr被忽略,data指向一个缓冲区(用于存放寄存器值)。 - `PTRACE_SETREGS`, `PTRACE_SETFPREGS`: 设置tracee的寄存器值。 - `PTRACE_SYSCALL`, `PTRACE_CONT`: 让停止的tracee继续运行。`PTRACE_SYSCALL`会在进入和退出系统调用时停止,而`PTRACE_CONT`则是一直运行直到遇到下一个信号。 - `PTRACE_SINGLESTEP`: 单步执行一条指令。 - 更多请求如`PTRACE_KILL`(终止tracee)等。 注意:request的值在不同的系统上可能有所不同,具体需要参考系统头文件(<sys/ptrace.h>)和文档。 2. **pid (pid_t)**: 指定目标进程的进程ID。对于某些request(如`PTRACE_TRACEME`),pid参数被忽略。 3. **addr (void *)**: 这是一个内存地址,其含义取决于request。例如: - 在`PTRACE_PEEKTEXT`和`PTRACE_PEEKDATA`中,addr是要读取的内存的地址。 - 在`PTRACE_POKETEXT`和`PTRACE_POKEDATA`中,addr是要写入的内存的地址。 - 在`PTRACE_ATTACH`中,addr被忽略。 4. **data (void *)**: 这是一个指向数据的指针,其含义也取决于request。例如: - 在`PTRACE_POKE*`请求中,data是要写入的值(注意,当写入一个字时,data实际上被当作一个长整型值,而不是指针)。 - 在`PTRACE_SETREGS`中,data指向一个包含寄存器值的结构体。 - 在`PTRACE_CONT`中,data被解释为要传递给tracee的信号(通常为0表示有信号)。 **使用案例**: 下面我们通过两个简单的例子来说明ptrace的使用。 **案例1:跟踪子进程(使用PTRACE_TRACEME)** 父进程创建子进程,子进程调用`ptrace(PTRACE_TRACEME, 0, NULL, NULL)`,然后父进程可以监控子进程。 ```c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/ptrace.h> #include <sys/wait.h> #include <sys/user.h> int main() { pid_t child_pid = fork(); if (child_pid == 0) { // 子进程:请求被父进程跟踪 ptrace(PTRACE_TRACEME, 0, NULL, NULL); // 之后,子进程执行的任何信号(除了SIGKILL)都会导致它停止,父进程会得到通知 execl("/bin/ls", "ls", NULL); // 执行一个程序 } else { // 父进程:等待子进程停止 int status; waitpid(child_pid, &status, 0); // 循环跟踪子进程 while (WIFSTOPPED(status)) { // 打印当前系统调用(需要根据具体系统实现) // 这里我们只是让子进程继续运行,并在每次系统调用时停止 ptrace(PTRACE_SYSCALL, child_pid, NULL, NULL); waitpid(child_pid, &status, 0); } } return 0; } ``` **案例2:附加到一个运行中的进程(使用PTRACE_ATTACH)** 这个例子中,我们将附加到一个正在运行的进程,然后读取它的寄存器的值。 ```c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/ptrace.h> #include <sys/wait.h> #include <sys/user.h> int main(int argc, char *argv[]) { if (argc != 2) { fprintf(stderr, "Usage: %s <pid>\n", argv[0]); return 1; } pid_t pid = atoi(argv[1]); // 目标进程的pid // 附加到目标进程 if (ptrace(PTRACE_ATTACH, pid, NULL, NULL) == -1) { perror("ptrace attach failed"); return 1; } // 等待目标进程停止 int status; waitpid(pid, &status, 0); // 读取目标进程的寄存器 struct user_regs_struct regs; if (ptrace(PTRACE_GETREGS, pid, NULL, &regs) == -1) { perror("ptrace getregs failed"); } else { // 打印指令指针 printf("Instruction pointer: 0x%llx\n", (long long)regs.rip); // 64位系统用rip,32位用eip } // 分离目标进程 ptrace(PTRACE_DETACH, pid, NULL, NULL); return 0; } ``` 注意:上面的代码是64位Linux系统的示例,32位系统需要使用`eip`,并且结构体名称可能为`struct user_regs_struct`(32位)或`struct user_regs`(视系统而定)。实际编程中需要根据系统调整。 **安全相关案例**: 引用[5]提到了seccomp与ptrace结合使用来hook系统调用。seccomp可以设置一个过滤器(BPF程序),在系统调用执行前进行过滤。而ptrace则可以在系统调用被拦截后进行更细致的操作(如修改参数、返回值等)。这种组合常用于沙箱和安全软件中。 例如,一个简单的seccomp+ptrace demo可能如下: 1. 父进程设置seccomp过滤器,只允许部分系统调用,对于不允许的系统调用,它会发送`SIGSYS`信号。 2. 父进程使用ptrace来跟踪子进程,当子进程触发了一个被seccomp禁止的系统调用时,它会停止(因为收到`SIGSYS`),父进程就可以通过ptrace修改系统调用的参数或返回值,从而模拟执行或拒绝。 由于这个案例相对复杂,这里不展开代码,但可以理解其原理。 **注意事项**: - 使用ptrace需要权限。非root用户只能跟踪自己的进程。 - ptrace是一个复杂的系统调用,使用不当可能导致程序崩溃。 - 不同架构(x86, ARM)和不同操作系统版本可能有所差异,编程时需注意可移植性。 最后,我们生成相关问题: 相关问题: 1. ptrace系统调用中,request参数`PTRACE_TRACEME`和`PTRACE_ATTACH`有什么区别? 2. 如何使用ptrace修改另一个进程的内存内容? 3. ptrace与seccomp结合使用有哪些典型场景? 4. 在调试器中(如gdb),如何利用ptrace实现断点功能?</think>### 详细解析 `ptrace` 系统调用 #### 一、函数原型与参数解析 ```c long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); ``` 1. **`request`(操作类型)** 控制跟踪行为的核心参数,支持以下主要操作类型: - `PTRACE_TRACEME`:被跟踪进程声明自身可被父进程追踪(`pid`/`addr`/`data` 忽略) - `PTRACE_ATTACH`:附加到运行中的进程(`pid` 为目标进程ID) - `PTRACE_DETACH`:分离跟踪进程 - `PTRACE_PEEKTEXT`:读取目标进程内存(`addr` 为内存地址) - `PTRACE_POKEDATA`:写入目标进程内存 - `PTRACE_GETREGS`:获取寄存器值(`data` 指向 `struct user_regs_struct`) - `PTRACE_SETREGS`:设置寄存器值 - `PTRACE_SYSCALL`:在系统调用入口/出口暂停 - `PTRACE_SINGLESTEP`:单步执行 2. **`pid`(目标进程ID)** 指定被跟踪进程的进程ID。当 `request=PTRACE_TRACEME` 时此参数被忽略。 3. **`addr`(内存地址)** 内存操作的目标地址,含义随 `request` 变化: - 内存读写操作:目标进程的虚拟地址 - 寄存器操作:通常忽略 - 系统调用追踪:系统调用号(如 `__NR_open`) 4. **`data`(数据指针)** 数据传输缓冲区,类型随 `request` 变化: - 内存写入:包含写入数据的指针 - 寄存器操作:指向 `struct user_regs_struct` 的指针 - 信号传递:信号值(如 `SIGSTOP`) - 其他操作:通常为 `NULL` #### 二、核心功能机制 1. **进程控制** 通过 `PTRACE_ATTACH/PTRACE_DETACH` 实现动态附加/分离进程,被附加进程会收到 `SIGSTOP` 信号暂停执行[^4]。 2. **内存访问** 使用 `PTRACE_PEEKTEXT` 读取内存示例: ```c long data = ptrace(PTRACE_PEEKTEXT, pid, addr, NULL); ``` 3. **寄存器操作** 获取/修改 CPU 寄存器实现调试: ```c struct user_regs_struct regs; ptrace(PTRACE_GETREGS, pid, NULL, &regs); regs.rip += 2; // 修改指令指针 ptrace(PTRACE_SETREGS, pid, NULL, &regs); ``` 4. **系统调用拦截** `PTRACE_SYSCALL` 在系统调用前后暂停进程,结合 `seccomp` 可实现安全沙箱[^5]: ```c ptrace(PTRACE_SYSCALL, pid, NULL, NULL); waitpid(pid, &status, 0); ``` #### 三、典型应用案例 ##### 案例1:实现简易调试器 ```c #include <sys/ptrace.h> #include <sys/wait.h> void debugger(pid_t child_pid) { int status; waitpid(child_pid, &status, 0); // 等待子进程停止 while (WIFSTOPPED(status)) { // 获取当前系统调用 struct user_regs_struct regs; ptrace(PTRACE_GETREGS, child_pid, NULL, &regs); printf("系统调用: %lld\n", regs.orig_rax); // 单步执行 ptrace(PTRACE_SINGLESTEP, child_pid, NULL, NULL); waitpid(child_pid, &status, 0); } } ``` ##### 案例2:系统调用过滤(结合 seccomp) ```c #include <linux/seccomp.h> #include <linux/filter.h> // seccomp 规则:仅允许 read/write 系统调用 struct sock_filter filter[] = { BPF_STMT(BPF_LD|BPF_W|BPF_ABS, offsetof(struct seccomp_data, nr)), BPF_JUMP(BPF_JMP|BPF_JEQ|BPF_K, __NR_read, 0, 1), BPF_STMT(BPF_RET|BPF_K, SECCOMP_RET_ALLOW), BPF_JUMP(BPF_JMP|BPF_JEQ|BPF_K, __NR_write, 0, 1), BPF_STMT(BPF_RET|BPF_K, SECCOMP_RET_ALLOW), BPF_STMT(BPF_RET|BPF_K, SECCOMP_RET_TRACE), // 其他调用转给 ptrace }; // ptrace 处理 void handle_syscall(pid_t pid) { ptrace(PTRACE_SETOPTIONS, pid, NULL, PTRACE_O_TRACESECCOMP); while (1) { waitpid(pid, &status, 0); if (WSTOPSIG(status) == SIGTRAP) { // 检查并过滤危险系统调用 ptrace(PTRACE_SYSCALL, pid, NULL, NULL); } } } ``` #### 四、技术原理 1. **进程状态控制** ```mermaid graph TB A[跟踪进程调用 ptrace] --> B{request 类型} B -->|PTRACE_ATTACH| C[发送 SIGSTOP 给目标] B -->|PTRACE_DETACH| D[恢复目标执行] B -->|PTRACE_SYSCALL| E[在 syscall 入口暂停] E --> F[修改寄存器/内存] F --> G[恢复执行到 syscall 出口] ``` 2. **内存访问机制** ptrace 通过内核直接访问目标进程的页表,在 `copy_from_user()`/`copy_to_user()` 安全边界内操作内存[^3]。 #### 五、安全注意事项 1. **权限要求**: - 非 root 进程只能跟踪相同 UID 的进程 - `CAP_SYS_PTRACE` 能力可突破此限制 2. **性能影响**: - 每次系统调用产生 2 次上下文切换 - 实时程序慎用 3. **反调试对抗**: - 目标进程可通过 `PT_DENY_ATTACH`(macOS)或 `prctl(PR_SET_DUMPABLE, 0)`(Linux)抵抗 --- ### 相关问题 1. `ptrace` 与 `strace` 的实现关系是什么?[^2] 2. 如何通过 `ptrace` 实现进程内存热替换? 3. `ptrace` 在容器环境中有哪些权限限制? 4. 现代调试器(如 GDB)如何使用 `ptrace` 实现断点功能?[^2]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值