LINUX 3.5.4 PTRACE (系列七)

最新推荐文章于 2021-08-05 15:58:03 发布
最新推荐文章于 2021-08-05 15:58:03 发布
阅读量2k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shen332401890/article/details/17383491
本文探讨了如何使用Linux ptrace系统调用跟踪进程,特别是通过内存地址修改子进程变量值的过程。示例中,child4.o启动为后台进程,其内存中的变量i被list9.o通过nm工具获取的地址找到并修改,以此改变子进程的行为。PTRACE_ATTACH使子进程暂停,而PTRACE_TRACEME则不使进程停止,两者在跟踪原理上有所不同。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文主要研究父进程利用ptrace系统调用访问子进程的内存。

跟踪进程能够查看被跟踪进程的地址空间并且查看进程某个内存地址锁存储的变量的值。在这里我们需要使用linux内核的nm工具对程序进行分析从而获取到符号的地址信息。

本文分析的例子就是通过变量的地址修改变量的值。具体程序如下:

child4:

#include "ptrace.h"
void main(int argc,char *argv[])
{
  pid_t traced_process;
  traced_process=atoi(argv[1]);
  ptrace(PTRACE_ATTACH,traced_process,NULL,NULL);
  wait(NULL);
  int data=ptrace(PTRACE_PEEKDATA,traced_process,0x080496f4,0);
  printf("data=%d\n",data);
  data=245;
  ptrace(PTRACE_POKEDATA,traced_process,0x080496f4,data);
  ptrace(PTRACE_DETACH,traced_process,0,0);
}

list9.c

#include "ptrace.h"
int i;
void main()
{
  i=143;
  printf("child 4 start ...\n");
  while(i!=245);
   printf("child 4 outside loop ...\n");
}


首先在一个中断后台运行child4.o

#./child4.o\ &

然后使用ps命令查看该进程的进程号

最后时候nm命令获取到该进程的符号信息,即变量i所对应的内存地址。操作完了之后,可以将PEEKDATA/POKEDATA中变量i的地址修改为

最低0.47元/天 解锁文章

200万优质内容无限畅学
[Pthread] Linux上程序调试的基石()--ptrace
Javadino的专栏
09-06 3442
引子:1.Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态?2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?所有这一切的背后都隐藏着L
Linux上程序调试的基石(1)--ptrace
小_鱼的专栏
08-27 580
1.Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态?  2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?  3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?  所有这一切
Linux系统调用--ptrace函数详解
sourthstar的专栏
09-19 2922
http://hi.baidu.com/ordeder/item/77cf1cdc8ca93fe3795daab0 【ptrace系统调用】 功能描述: 提供父进程观察和控制另一个进程执行的机制,同时提供查询和修改另一进程的核心影像与寄存器的能力。主要用于执行断点调试和系统调用跟踪。父进程可通过调用fork,接着指定所产生的子进程的PTRACE_TRACEME行为
linux 分析 ptrace
weixin_33670786的博客
01-26 441
linux分析ptrace() 形式 #include <sys/ptrace.h> int ptrace(int request, int pid, int addr, int data); 描述 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心p_w_picpath。它主要用于实现断点调试。一...
ptrace入坑指南
qq_36963214的博客
10-17 1086
ptrace描述 通过ptrace(),一个进程可以观察和控制另一个进程的执行,并检查和更改跟踪程序的内存和寄存器。它主要用于实现断点调试和系统调用跟踪。 ptrace函数原型 long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); ptrace用法 PTRACE_TRACEME 形式:ptrace(PTRACE_TRACEME,0 ,0 ,0) 描述:本进程被其父进程所跟踪。其父进程应该希望跟踪子进程
LINUX 3.5.4 PTRACE系列三)
shen332401890的专栏
12-17 1237
系列文章将对ptrace系统调用的强大功能进行详细分析和验证,通过本系列文章,可以深入理解ptrace的实现原理和使用方法,之后编写自己的编译器就不在话下了。 我们首先以一个简单的例子作为入门。‘CTRL+C’这个快捷键我们再熟悉不过了。在正常情况下,我们向一个正常的进行发送‘CTRL+C’ 即SIGINT信号,程序就会停止运行。但是,如果我们在程序中加入ptrace系统调用之后,‘CTRL+
linux 3.5.4 ptrace源码分析分析(系列一)
shen332401890的专栏
12-13 3544
ptracelinux系统中为了调试专门设立的一种系统调用。要想调试调试一个进程,有两种方式: PTRACE_TRACEME和PTRACE_ATTACH。这两种方式的主要区别可以概括为: PTRACE_TRACEME是子进程主动申请被TRACE。而PTRACE_ATTACH是父进程自己要attach到子进程,相当于子进程是被动的trace。 PTRACE_TRACEME程序设置的框架大概为
Linux编程从入门到精通
09-21
10.4.2 ptrace和/proc文件系统 312 10.4.3 Linux下的进程控制 312 10.5 可移植条件编译 313 10.6 补充说明 314 附录 以字母顺序排列的系统调用 315 第四部分 Linux内核概念系统结构 摘要 323 前言 324 第1章 系统...
linux编程白皮书
07-18
10.4.2 ptrace和/proc文件系统 312 10.4.3 Linux下的进程控制 312 10.5 可移植条件编译 313 10.6 补充说明 314 附录 以字母顺序排列的系统调用 315 第四部分 Linux内核概念系统结构 摘要 323 前言 324 第1章 系统...
android inject(一)ptrace基础
qq_17748035的专栏
11-22 1544
理论不说了,以下提供三个demo,几乎逐行注释,看懂了应该就懂了。 一.完成了两件事儿: 1.儿子告诉爸爸,儿子到信息可以被查看/修改 PTRACE_TRACEME 2.爸爸查看儿子的信息 PTRACE_PEEKUSER #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;sys/ptrace.h&gt; #in......
调试器的原理-详解ptrace函数及fork父子进程跟踪实例
liutgnukernel的博客
06-16 3286
最近仔细研究了一下linux调试程序的原理.gdb是linux下最为强大的调试工具,而strace可以拦截程序执行过程中的系统调用.他们的背后都隐藏了一个强悍的支持函数ptrace().调试程序过程中我们可以单步执行,逐步检查程序的输入输出,从而判断程序错误,当然我们也可以抛弃gdb,自己实现一个"外挂程序",拦截主程序中我们感兴趣的东西,比如ssh或ftp登录密码.
ptrace使用和调试
&Ψ的博客
06-12 6210
1. 文章参考 [原创]一窥GDB原理-Pwn Linux ptrace系统调用详解:利用 ptrace 设置硬件断点 <<软件调试>> 张银奎 2. ptrace函数原型 enum __ptrace_request { PTRACE_TRACEME = 0, //被调试进程调用 PTRACE_PEEKDATA = 2, //查看内存 PTRACE_PEEKUSER = 3, //查看struct user 结构体的值 PTRACE_POKEDATA = 5, //
动态注入技术
hpp24的专栏
08-06 4407
我们在讨论动态注入技术的时候,APIHook的技术由来已久,在操作系统未能提供所需功能的情况下,利用APIHook的手段来实现某种必需的功能也算是一种不得已的办法。在Windows平台下开发电子词典的光标取词功能,这项功能就是利用Hook API的技术把系统的字符串输出函数替换成了电子词典中的函数,从而能得到屏幕上任何位置的字符串。无论是16位的Windows95,还是32位的Windws NT,
对ftrace源码的阅读学习ptrace等获取函数调用
u014288349的博客
11-19 700
https://github.com/leviathansecurity/ftrace http://blog.51cto.com/haidragon/2134709?tdsourcetag=s_pctim_aiomsg       1、解析elf,获取SHT_SYMTAB和SHT_DYNSYM符号的 st_name目标文件的符号字符串表的索引,其中包含符号名称的字符 st_valu...
ptrace的使用举例
helloworlddm的博客
07-24 1420
修改寄存器的值:#include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> #include <sys/types.h> #include <sys/wait.h> #include <sys/stat.h> #include <unistd.h> #include <sys/syscall.h> #include <sys/reg.
玩转Android10源码开发定制()修改ptrace绕过反调试
xiaomaNo01的专栏
12-31 1370
一、安卓10中ptrace介绍 1.源码位置追踪 在Android10中,ptrace函数定义文件路径为: bionic/libc/include/sys/ptrace.h 函数原型定义如下: long ptrace(int __request, ...); ptrace函数实现文件路径为: bionic/libc/bionic/ptrace.cpp 函数实现代码如下: long ptrace(int ...
ptrace函数(附近进程,修改进程数据)
haodawei123的博客
01-30 2404
1、ptrace定义 Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号 long ptrace( enum __ptrace_request request...
Ptrace 详解 转载
weixin_57023347的博客
08-05 1079
转载:Ptrace 详解 引子:1.Linux系统中,进程状态除了我们所熟知的TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED等,还有一个TASK_TRACED。这表明这个进程处于什么状态?2.strace可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?3.gdb是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?所有这一切的背后都隐藏着Linux所提供的一个强大的系统调用ptrace().1.ptrace系统调用ptra
玩转ptrace
热门推荐
么刚的专栏
08-23 1万+
下面是转帖的内容,写的很详细。但是不同的linux发行版中头文件的路径和名称并不相同。如在某些发行版中就不存在,其中定义的变量出现在和中。 =====================================================================
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值