ptrace机制详解

于 2025-04-04 21:36:43 发布
阅读量401 收藏 5
点赞数 2
CC 4.0 BY-SA版权
文章标签: linux 功能测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/peter_pan_study/article/details/147003107

ptrace机制详解

【基本概念】
ptrace(process trace)是Linux/Unix系统的进程调试机制,允许一个进程(跟踪者)观察和控制另一个进程(被跟踪者)的执行,主要应用于:

  • 调试器实现(如GDB)
  • 系统调用跟踪
  • 动态代码注入
  • 进程状态监控

【核心功能】

  1. 寄存器访问:读写被跟踪进程的寄存器
  2. 内存操作:读写任意内存地址数据
  3. 信号控制:拦截和处理信号
  4. 执行控制:单步执行、继续执行
  5. 事件通知:系统调用/信号事件捕获

【常用操作模式】

┌──────────────┬───────────────────────────────┐
│  跟踪者操作   │   功能说明     			       │
├──────────────┼───────────────────────────────┤
│ PTRACE_TRACEME│ 子进程请求被父进程跟踪         │
│ PTRACE_ATTACH │附加到运行中的进程       	   │
│ PTRACE_DETACH │ 解除跟踪关系                  │
│ PTRACE_PEEKTEXT │ 读取目标进程内存            │
│ PTRACE_POKETEXT │ 写入目标进程内存            │
│ PTRACE_SINGLESTEP │ 单步执行                  │
│ PTRACE_SYSCALL  │ 跟踪系统调用                │
└──────────────┴───────────────────────────────┘
跟踪者进程                         被跟踪进程
┌──────────────────────────────┐    ┌──────────────────────────────┐
│ 1. fork()创建子进程           │    │                              │
│ 2. 等待子进程进入跟踪状态     │    │ 1. 调用ptrace(PTRACE_TRACEME)│
│    (waitpid)                 │    │ 2. 执行目标程序(execl)       │
├──────────────────────────────┤    └──────────────┬───────────────┘
│ 3. 设置跟踪选项              │                   │
│    (PTRACE_SETOPTIONS)       │◄──SIGTRAP信号─────┤
├──────────────────────────────┤                   │
│ 4. 循环处理:                │                   │
│   a. 发送控制命令            │                   │
│      (PTRACE_SYSCALL/SINGLESTEP)│                │
│   b. 等待进程状态变化(wait)  │◄───执行中断───────┤
│   c. 读取寄存器/内存         │                   │
│   d. 修改寄存器/内存         │                   │
└──────────────────────────────┘                   │
                                                   ▼
                                           执行被暂停直至跟踪者
                                           发出继续执行指令

【核心交互架构】

              ┌───────────┐
              │ 跟踪进程  │
              │ (Tracer)  │
              └─────┬─────┘
                    │ 系统调用
                    ▼
┌───────────────────────────────────┐
│           Linux Kernel            │
│  ┌─────────────────────────────┐  │
│  │        ptrace子系统         │  │
│  │ 处理请求/转发信号/修改状态    │  │
│  └─────────────┬───────────────┘  │
└─────────────────┼─────────────────┘
                  │ 事件通知
          ┌───────▼───────┐
          │  被跟踪进程    │
          │  (Tracee)     │
          └───────────────┘
          
█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█          寄存器操作示意图        █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█

跟踪者视角                         被跟踪进程寄存器
┌──────────────────────────────┐    ┌──────────────────────────────┐
│ struct user_regs_struct {    │    │ EAX: 0x00000001              │
│   unsigned long eax;         │    │ EBX: 0x0804a000              │
│   unsigned long ebx;         │◄───┤ ECX: 0x00000000              │
│   unsigned long ecx;         │    │ EDX: 0x0000000a              │
│   unsigned long edx;         │    │ EIP: 0x080484d5              │
│   unsigned long eip;         │    │ ESP: 0xbf800000              │
│   unsigned long esp;         │    └──────────────────────────────┘
│   ...                        │
│ };                           │
└──────────────────────────────┘

█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█          系统调用跟踪流程         █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█

跟踪者操作                        内核行为
┌──────────────────────────────┐    ┌──────────────────────────────┐
│ ptrace(PTRACE_SYSCALL, pid)  │───►│ 1. 恢复tracee执行            │
│                              │    │ 2. 在系统调用入口暂停        │
│                              │◄───┤ 发送SIGTRAP信号              │
├──────────────────────────────┤    ├──────────────────────────────┤
│ 读取寄存器获取系统调用号      │    │ 3. 执行系统调用              │
│ (eax存放syscall number)       │    │ 4. 在系统调用出口再次暂停    │
│                              │◄───┤ 发送SIGTRAP信号              │
├──────────────────────────────┤    └──────────────────────────────┘
│ 读取返回值(eax)和参数         │
│ (ebx, ecx, edx等寄存器)       │
└──────────────────────────────┘

█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█          高级功能对比表          █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█

┌────────────────┬───────────────────────┬───────────────────────┐
│   功能类型      │      基础应用         │      高级技巧         │
├────────────────┼───────────────────────┼───────────────────────┤
│ 内存操作        │ 读写指定地址数据      │ 动态注入代码片段      │
│                │ PTRACE_POKETEXT       │ 修改.text段指令       │
├────────────────┼───────────────────────┼───────────────────────┤
│ 执行控制        │ 单步执行/继续运行     │ 设置硬件断点          │
│                │ PTRACE_SINGLESTEP     │ 利用调试寄存器DR0-DR7 │
├────────────────┼───────────────────────┼───────────────────────┤
│ 信号处理        │ 拦截常规信号          │ 伪造信号掩码          │
│                │ SIGINT/SIGSEGV        │ 绕过反调试检测        │
├────────────────┼───────────────────────┼───────────────────────┤
│ 进程附加        │ 附加运行中进程        │ 绕过ptrace限制        │
│                │ PTRACE_ATTACH         │ 修改/proc/pid/mem     │
└────────────────┴───────────────────────┴───────────────────────┘

█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█          安全防护机制            █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█

被跟踪进程防御措施                跟踪者绕过方法
┌──────────────────────────────┐    ┌──────────────────────────────┐
│ 1. 检测父进程是否调试器        │    │ 使用非标准fork方式创建进程   │
│    (检查ppid与跟踪者pid)       │    │ 修改进程关系链              │
├──────────────────────────────┤    ├──────────────────────────────┤
│ 2. 主动调用ptrace(PTRACE_TRACEME)│  │ 先于目标进程附加           │
│    防止其他进程附加            │    │ (race condition攻击)       │
├──────────────────────────────┤    ├──────────────────────────────┤
│ 3. 检查/proc/self/status       │    │ 动态修改内存中的检测代码    │
│    中TracerPid字段             │    │ 拦截相关系统调用           │
├──────────────────────────────┤    ├──────────────────────────────┤
│ 4. 使用反调试技术              │    │ 静态分析+动态补丁          │
│    (int3断点检测等)            │    │ 虚拟化执行环境            │
└──────────────────────────────┘    └──────────────────────────────┘

【代码示例(C语言)】

// 跟踪者进程
#include <sys/ptrace.h>
#include <sys/wait.h>

int main() {
    pid_t child = fork();
    if (child == 0) { // 子进程
        ptrace(PTRACE_TRACEME, 0, NULL, NULL);
        execl("/bin/ls", "ls", NULL); // 被跟踪程序
    } else { // 父进程
        wait(NULL); // 等待子进程进入跟踪状态
        ptrace(PTRACE_SETOPTIONS, child, 0, PTRACE_O_TRACESYSGOOD);
        
        while(1) {
            // 单步执行被跟踪进程
            ptrace(PTRACE_SINGLESTEP, child, 0, 0);
            wait(NULL); // 等待执行状态变化
            
            // 读取寄存器状态
            struct user_regs_struct regs;
            ptrace(PTRACE_GETREGS, child, 0, &regs);
            printf("EIP: 0x%08x\n", regs.eip);
        }
    }
    return 0;
}

【关键注意事项】

  1. 权限要求:

    • 普通用户只能跟踪自己启动的进程
    • root用户可跟踪任意进程

  2. 安全限制:

    • 现代系统默认禁止跟踪非子进程(可通过/proc/sys/kernel/yama/ptrace_scope调整)
    • 被跟踪进程会暂停执行直到跟踪者处理

  3. 平台差异:

    • Linux/BSD系统实现细节不同
    • 寄存器结构体定义随架构变化(x86/ARM等)

  4. 性能影响:

    • 频繁ptrace调用会产生较大开销
    • 需谨慎处理信号和异常

【典型应用场景】
• 实现断点调试功能
• 动态修改程序行为
• 系统调用审计
• 反调试对抗
• 进程行为分析

Linux内核ptrace机制原理
qq_25346431的博客
05-21 868
Linux内核ptrace机制原理
ptrace跟踪子进程
zuihoudebingwen的专栏
06-17 4892
引子: 1.在Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态? 2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的? 3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么? 所有这
【GDB】GDB工作原理--ptrace(让父进程可观察和控制其它进程、检查和改变其核心映像及寄存器)
bandaoyu的note
07-16 705
一、gdb简介   gdb:GNU debugger   UNIX及UNIX-like下一个强大的命令行的调试工具   gdb调试的整体架构如下图所示:      可以发现gdb调试不管是本地调试还是远程调试,都是基于ptrace系统调用来实现的    二、ptrace gdb凭什么可以调试一个程序?凭什么能够接管一个程序的运行?我以前也想过这样的问题,但是后来居然忘记去查看了。我想到了我们的二进制翻译器,想到了intel的pin,Dynamo。这些都是将翻译后的代码放到codecache中去.
玩转ptrace(一) [z](转帖真的很好)
zgl07的专栏
01-12 809
 玩转ptrace(一) [z]  by Pradeep Padala Created 2002-11-01 02:00翻译: Magic.D E-mail: adamgic@163.com译者序:在开发Hust Online Judge的过程中,查阅了不少资料,关于调试器技术的资料在网上是
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 273
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
看懂GDB调试核心:Ptrace工作原理解析
最新发布
深度Linux
02-02 771
我将介绍 Linux 上调试器实现的主要构建块 -ptrace系统调用。本文中的所有代码都是在32位Ubuntu机器上开发的。请注意,该代码在很大程度上是特定于平台的,尽管将其移植到其他平台应该不会太困难。①动机要了解我们要做什么,请尝试想象调试器需要什么才能完成其工作。调试器可以启动某个进程并对其进行调试,或者将其自身附加到现有进程。它可以单步执行代码、设置断点并运行它们、检查变量值和堆栈跟踪。许多调试器具有高级功能,例如在调试进程的地址空间中执行表达式和调用函数,甚至动态更改进程的代码并观察效果。
ptrace运行原理及使用详解
热门推荐
AddyLee的专栏
03-25 4万+
你想过怎么实现对系统调用的拦截吗?你尝试过通过改变系统调用的参数来愚弄你的系统kernel吗?你想过调试器是如何使运行中的进程暂停并且控制它吗? 你可能会开始考虑怎么使用复杂的kernel编程来达到目的,那么,你错了。实际上Linux提供了一种优雅的机制来完成这些:ptrace系统函数。 ptrace提供了一种使父进程得以监视和控制其它进程的方式,它还能够改变子进程中的寄存器和内核映像,因而可以
ptrace
kevin701_ren的专栏
08-15 336
1.hook其它进程的syscall必须先attach,这就意味着ptrace不能像driver一样坐等其它进程hook.用ptrace的程序必须先知道要hook谁,attach,然后才能工作。所以ptrace用于hook常驻进程会比较合适。 2.ptrace默认只能hook所有的syscall,超出syscall以外的函数需要找到内存中代码段相应的位置进行修改。这是一项较为繁琐且容...
Ptrace--Linux中一种代码注入技术的应用
Litost_Cheng的博客
10-14 5619
PtraceLinux中一种代码注入技术的应用
PTRACE函数代码分析
07-03
Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号。
ptrace安卓程序注入例子
02-11
安卓程序ptrace注入例子,送给想研究手游注入的同学 使用JNI注入
iOS安全防护系列之ptrace反调试与汇编调用系统方法详解
08-27
在iOS安全防护领域,了解如何防止应用程序被调试是至关重要的,因为这有助于保护代码免受逆向...同时,阅读如《程序员的自我修养》这样的书籍,可以帮助深化对底层系统和调试机制的理解,从而更好地运用到实际开发中。
深入理解GDB:调试工具的工作原理与ptrace系统调用详解
无论是本地还是远程调试,GDB的核心机制都是通过ptrace系统调用来监视和控制目标进程,这是理解GDB工作原理的关键所在。 GDB是一个功能强大的调试工具,熟练掌握其工作原理有助于提高开发者的代码调试效率和问题...
Android安全机制详解:权限、沙箱与注入技术
对于拥有root权限的应用,这种沙箱限制不再有效,它们可以利用ptrace进行进程注入,拦截其他应用或系统进程的函数调用。本文将深入探讨Android的安全模型,包括SO注入、加壳技术、函数拦截以及DEX注入和加壳技术等。...
linuxptrace
JD san的博客
07-05 985
经典博客: Linux内存替换系列(包括实验 实验可行)&nbsp; 就是要注意下是64位还是32位的。。。。 https://blog.youkuaiyun.com/Dearggae/article/details/47379245 玩转ptrace: http://www.cnblogs.com/wangkangluo1/archive/2012/06/05/2535484.html ptrac...
[Pthread] Linux程序调试的基石(二)--Inside GDB
Javadino的专栏
09-06 3096
3. GDB的实现GDB是GNU发布的一个强大的程序调试工具,用以调试C/C++程序。可以使程序员在程序运行的时候观察程序在内存/寄存器中的使用情况。它的实现也是基于ptrace系统调用来完成的。其原理是利用ptrace系统调用,在被调试程序和gdb之间建立跟踪关系。然后所有发送给被调试程序的信号(除SIGKILL)都会被gdb截获,gdb根据截获的信号,查看被调试程序相应的内存地址,并控制被调试
linux 分析 ptrace
weixin_33670786的博客
01-26 432
linux分析ptrace() 形式 #include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心p_w_picpath。它主要用于实现断点调试。一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值