Linux ptrace 用法详解

最新推荐文章于 2024-12-04 09:15:00 发布
原创 最新推荐文章于 2024-12-04 09:15:00 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了Linux系统的ptrace工具,它允许一个进程(tracer)挂载并控制另一个进程(tracee),用于调试、系统调用跟踪、病毒感染检测等多种场景。通过ptrace,开发者可以读写tracee的内存和寄存器,拦截系统调用,实现低级别的进程交互。了解ptrace的工作原理和使用方法对于提升Linux内核级别的调试能力至关重要。

 

#include <sys/ptrace.h>

       long ptrace(enum __ptrace_request request, pid_t pid,
                   void *addr, void *data);
 通过ptrace()这个系统调用,可以让一个进程去观察并且改变另外一个进程的行为,同时监测内存和寄存器.主要被用于断点调试以及系统调用的trace.
 黑客也常用用它来做一些其他的工作,如hook
 首先,tracee需要被tracer attach.附加和命令序列是针对每一个线程来说的,在一个多线程的进程中,每个线程都可以被独立的附加上一个不同的tracer,或者不被附加.这样的情况下,tracee意味着一个线程,不是一个多线程的进程.Ptrace命令是通过下面个调用发送给tracee
    ptrace(PTRACE_foo,pid,...)
 这里的pid是相关linux线程的ID.也就是在/proc/%d/task/ ,这个文件下的id号


当tracee被跟踪时,每发送一个信号,tracee都会暂停,即使这个信号会被忽略(除非是SIGKILL,这个会是tracee停止).tracer将会在下次waitpid(2)系统调用的时候被通知.该waitpid调用会返回一个status值,该值中包含让tracee停止的信息.当tracee停止的时候,tracer可以通过多种ptrace调用来修改tracee,然后tracer让tracee继续执行,可以有选择的忽略信号,甚至传递一个不同的信号.
  后面看过linux内核才知道,对于linux来说,没有什么进程之说(不准确)。在linux内核中,只存在一种最小的执行单位,暂且叫做线程吧,如果多个线程有一个共同的进程组,那么他们就组成了一个进程。
 在其他系统中,如windows,线程就是跟进程的实线机制不一样,是一种比进程轻量的执行单位。


Linux capability详解
SHELLCODE_8BIT的博客
10-12 1814
Linux2.2前root权限简单划分为root和非root,那么root拥有全部权限,非root拥有有限的权限,如果非root用户需要安装软件,要么切换为root用户,要么使用sudo。如果我们以非root用户安装软件,会有如下提示,提示没权限。当我们使用setuid功能后,既让一个程序在运行时,能够获得root权限。如下所示非root用户成功执行apt-get安装软件。但是有没有发现,我们只需要安装功能,却在执行该进程时,拥有了root权限。可以做更多高危操作,
[Pthread] Linux程序调试的基石(二)--Inside GDB
Javadino的专栏
09-06 3107
3. GDB的实现GDB是GNU发布的一个强大的程序调试工具,用以调试C/C++程序。可以使程序员在程序运行的时候观察程序在内存/寄存器中的使用情况。它的实现也是基于ptrace系统调用来完成的。其原理是利用ptrace系统调用,在被调试程序和gdb之间建立跟踪关系。然后所有发送给被调试程序的信号(除SIGKILL)都会被gdb截获,gdb根据截获的信号,查看被调试程序相应的内存地址,并控制被调试
ptrace的各种操作
u013347872的博客
05-21 857
基本原理是: 当使用了ptrace跟踪后,所有发送给被跟踪的子进程的信号(除了SIGKILL),都会被转发给父进程,而子进程则会被阻塞,这时子进程的状态就会被系统标注为TASK_TRACED。断点的实现原理,就是在指定的位置插入断点指令,当被调试的程序运行到断点的时候,产生SIGTRAP信号。spawn模式的原理是ptrace到zygote进程,然后跟踪zygote进程的fork系统调用,如果fork出来的新进程是指定包名的app,那么detach掉zygote进程,进而跟踪目标app进程的系统调用。
Linux源码分析(ptrace
03-27
Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号。
ptrace的使用
宝剑锋从磨砺出,梅花香自苦寒来!
07-24 1万+
1.     函数使用说明 名字 ptrace – 进程跟踪   形式 #include int ptrace(int request, int pid, int addr, int data);   描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通
Linux Ptrace 详解
热门推荐
七月冷雨
03-05 2万+
一、系统调用操作系统提供一系列系统调用函数来为应用程序提供服务。关于系统调用的详细相关知识,可以查看<<程序员的自我修养》第十二章。 对于x86操作系统来说,用中断命令“int 0x80”来进行系统调用,系统调用前,需要将系统调用号放入到%EAX寄存器中,将系统的参数依次放入到寄存器%ebx、%ecx、%edx以及%esi和%edi中。以write系统调用为例:write(2,"Hello"
linux kernel ptrace 流程梳理
techtitan的专栏
11-07 519
ptrace 背景 ptracelinux 中跟踪进程使用的一种方式手段,主要方法是使用stop 信号将目的进程stop掉, 然后使用gup.c中的get_user_page对目的进程的地址空间进行访问 从代码角度讲,ptracelinux 的一个系统调用, 详细描述可以man ptrace查看 代码流程 ptrace 系统调用 代码文件 kernel/ptrace.c 主要代码流程: ptrace_attach: 1) ptrace_link将自己链接到parent 2) 将对方任务stop掉,
Linux中的注入与Hook技术详解
最新发布
Linux内核研究者
12-04 2725
本文详细介绍了Linux中的注入与Hook技术。注入是指将代码或共享库植入目标进程,以影响其执行流程,常见方式包括使用LD_PRELOAD环境变量、ptrace系统调用等。Hook则是通过在程序的关键节点插入自定义逻辑来改变行为,实现方式有函数劫持、内联Hook及修改PLT/GOT表等。
Linux应用调试使用gdb和gdbserver命令详解
09-15
如果遇到找不到`PTRACE_GETSIGINFO`定义的错误,需要检查环境变量`PATH`,确保指向正确的编译器路径,并根据需要修改源码。 测试程序`test_debug.c`是一个简单的C程序,包含多个函数调用,用于演示调试过程。编译该...
Linux系统调用--ptrace函数详解
sourthstar的专栏
09-19 3002
http://hi.baidu.com/ordeder/item/77cf1cdc8ca93fe3795daab0 【ptrace系统调用】 功能描述: 提供父进程观察和控制另一个进程执行的机制,同时提供查询和修改另一进程的核心影像与寄存器的能力。主要用于执行断点调试和系统调用跟踪。父进程可通过调用fork,接着指定所产生的子进程的PTRACE_TRACEME行为
Linux ptrace系统调用
小立仔
08-31 2834
Linux ptrace系统调用简介
Linux上程序调试的基石(1)--ptrace
张勤一
08-06 2338
引子: 1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态? 2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的? 3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么? 所有这一切的背后都
ptrace使用和调试
&Ψ的博客
06-12 6261
1. 文章参考 [原创]一窥GDB原理-Pwn Linux ptrace系统调用详解:利用 ptrace 设置硬件断点 <<软件调试>> 张银奎 2. ptrace函数原型 enum __ptrace_request { PTRACE_TRACEME = 0, //被调试进程调用 PTRACE_PEEKDATA = 2, //查看内存 PTRACE_PEEKUSER = 3, //查看struct user 结构体的值 PTRACE_POKEDATA = 5, //
linux ptrace II
weixin_30919429的博客
11-10 121
第一篇 linux ptrace I 在之前的文章中我们用ptrace函数实现了查看系统调用参数的功能。在这篇文章中,我们会用ptrace函数实现设置断点,跟代码注入功能。 参考资料 Playing with ptrace, Part I Playing with ptrace, Part II 英文好的推荐直接看老外的文章。但是其代码是运行在x86系统上的,本文中将其移植到了x86_6...
linux ptrace
lyyslsw的专栏
01-02 309
#include <sys/ptrace.h> long ptrace(enum _ptrace_request request,pid_t pid,void * addr ,void *data); ptrace()系统调用函数提供了一个进程(the “tracer”)监察和控制另一个进程(the “tracee”)的方法。并且可以检查和改变“tracee”进程的内存和寄存...
[LINUX]ptrace使用总结
小蜗牛之家
12-08 279
ptrace使用总结: ①fork出子进程,并在调用子进程之前,打上TRACEME标签。 ②在子进程第一次通知父进程的时候,让子进程追踪孩子(通过发送SET_OPTIONS方法)。这样可以实现传播式的调用。 ③对于每次等到的信号量进行判断,选取自己需要,一般如果只想知道系统调用信息的话,就可以直接用系统调用相关的0x80中断信息。其他信号量直接用SYSCALL返回,让子进程继续执行。 ④需要注意...
ptrace应用系列-基础知识
青青的专栏--C/C++ OOA/D Design Pattern
09-14 881
http://blog.youkuaiyun.com/estate66/article/details/6019435
Ptrace--Linux中一种代码注入技术的应用
Litost_Cheng的博客
10-14 5698
PtraceLinux中一种代码注入技术的应用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值