ptrace_Ubuntu x86_64下的例子程序

最新推荐文章于 2023-06-06 16:36:11 发布
原创 最新推荐文章于 2023-06-06 16:36:11 发布 · 556 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ubuntu #ptrace #64位 #x86

本文提供了一个在Ubuntu x86_64架构下使用ptrace系统调用的示例程序。程序针对常见的ptrace教程进行了改进,包括更新头文件引用,如引入'sys/reg.h',并调整了相关语句以适应64位环境。通过这个实例,读者可以更好地理解和应用ptrace在Linux系统中的调试和监控功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <errno.h>
#include "sys/ptrace.h"
#include "sys/wait.h"
#include "unistd.h"
#include "sys/reg.h"
#include "stdlib.h"
#include "errno.h"
#include "string.h"
#include "sys/types.h"
#include "stdio.h"
int main() {
    pid_t child;
    long orig_eax;
    child = fork();
    if (child == 0) {
        ptrace(PTRACE_TRACEME, 0, NULL, NULL);
        execl("/bin/ls", "ls", NULL);

    }else {
        wait(NULL);
        orig_eax= ptrace(PTRACE_PEEKUSER,child, 8*ORIG_RAX, NULL);
        if (orig_eax == -1) {
            printf("%s\n", strerror(errno));
        }

        printf("The child made a system call %ld\n", orig_eax);
        ptrace(PTRACE_CONT, child, NULL, NULL);

    }
    return 0;

}


注意:此程序比网上流传的一般程序做了如下修改:
1.头文件部分重新引用,尤其是引用了
#include "sys/reg.h"
2.修改部分语句,如:
        orig_eax= ptrace(PTRACE_PEEKUSER,child, 8*ORIG_RAX, NULL);

	此处再64位上应为8,与ORIG_RAX




swkhack
关注
Linux Kernel崩溃分析的法宝:Kdump+Crash(下)
u010826758的专栏
06-17 98
本文介绍了使用Kdump+Crash工具分析Linux内核崩溃的方法。首先讲解了/var/crash目录生成的三种文件:dmesg日志、内存快照dump文件以及诊断数据文件。重点演示了如何配置kdump关闭内存页过滤以获取完整内核转储,并使用crash工具分析dump文件中的调用栈(bt)、进程状态(ps)和内核数据结构(struct)。文章还记录了排查过程中遇到的版本兼容性问题及解决方案,最终成功定到由sysrq触发的手动崩溃。
分析system_call中断处理过程
独行者103的专栏
03-28 1611
Linux内核作业五
ptracelinuxptrace注入器的实现,(x86x86_64)
Kaller的博客
03-04 1104
KKPtrace是我写的ptrace注入器类的名称,注入器将会实现进程附加、内存读、内存写、寄存器读写等操作。目前已实现功能: 进程 进程附加 取消附加 继续运行 内存读 int32 byteList(字节数组,Vector<uint8>) 内存写 int8 int16 int32 int64 byteList 寄存器 获取 设置 打印 call 计算远程libc中函数地址 批量call 得到call的返回值
linuxptrace
JD san的博客
07-05 991
经典博客: Linux内存替换系列(包括实验 实验可行)&nbsp; 就是要注意下是64还是32的。。。。 https://blog.youkuaiyun.com/Dearggae/article/details/47379245 玩转ptrace: http://www.cnblogs.com/wangkangluo1/archive/2012/06/05/2535484.html ptrac...
Linux debug过程中的问题
MayMatrix 的博客
01-13 639
 ptrace: Operation not permitted. 在新版本fedora22用gdb调试程序的时候,发现出现 Attaching to process 21683 ptrace: Operation not permitted. 主要redhat在fedora22之后的版本中,引入了一种叫做ptrace scope的安全机制。这种机制为了...
qt调试 ptrace:不允许的操作
浴血重生-学习空间
07-27 6174
1.修改系统配置文件:用gedit 使用 管理员权限打开 sudo gedit /etc/sysctl.d/10-ptrace.conf 2.找到下面这一行:(一般在文件最后一行) kernel.yama.ptrace_scope = 1 3.修改如下: kernel.yama.ptrace_scope = 0 4.然后重启电脑: reboot
用户态Linux内核启动子: 该kernel没有任何.so依赖 ,LD_PRELOAD=libHookMemAlloc.so 和exit都不起作用
_
06-06 140
【代码】用户态Linux内核启动子。
psyscall:Linux syscall() 注入
05-29
已在x86(Arch LinuxUbuntu),ARMv7(Android 6和7),MIPS(Debian),PPC64(Debian)上进行测试。 需要echo 0 | sudo tee /proc/sys/kernel/yama/ptrace_scope echo 0 | sudo tee /proc/sys/kernel/yama/...
GDB 命令脚本的编写以及调试技巧汇总
tugouxp的专栏
03-18 5278
在GDB调试程序的时候,如果程序带有很长的参数列表,或者调试命令本身很长,需要频繁启动调试会话时,频繁输入参数或者命令严重拖慢调试节奏,这里记录一个GDB非常有用的参数-x,可以将调试参数和调试命令以调试脚本的形式提供给GDB调试会话,这样就不用频繁输入调试命令和参数了。Linux上,万事不决问"男人","man"就是这个男人(还好是单数,如果是men就有点儿邪恶了), 我们先man一把gdb,看官方文档对 "-x"选项的解释。
Cs1.6_Hns_kHack
03-23
bind "alt" "+kHack_stand_up_groundstrafe"(狗跳MSCJ) bind "x" "+kHack_ground_strafe"(加速MCJ) bind "q" "kHack_FreeLook"(灵魂出窍) bind "mouse3" "+kHack_strafe"(变态空速) bind "r" "+kHack_jumpbug"(Jumpbug) bind "c" "+kHack_speed_hack"(变速) bind "v" "+kHack_fastrun"(直跑278地速) bind p "kHack_knifebot 1"(开启自动出刀) bind o "kHack_knifebot 0"(关闭自动出刀)
CS1.6的完整路线代码
01-11
CS1.6的完整路线代码 学习一下 老了点儿 新手还是有用的
海盗船strafe惩戒者键盘驱动 v1.2.74.0 官方版
07-04
海盗船strafe驱动是该款键盘的驱动程序软件,用户可以通过它个性化自定义键盘按键以及背景灯光,多种背光颜色供你挑选,造型炫酷华丽,实用手感极佳,适合大部分游戏玩家的设计,带给你极致操作体验,有需要的朋友可以下载了!驱动介绍:海盗船strafe驱动是用于,欢迎下载体验
mcj半自动脚本
08-20
用得习惯,这脚本就很好用,只需你自己AD鼠标左右,不需小跳。
cs1.6 运行英文
03-18
cs1.6 切换英文版
通过ptrace跟踪进程
bunner_的博客
06-10 1053
1. 任务环境与目标 1.1 实验机器 Ubuntu 20.04 64 1.2 任务目标 给定一个可执行文件,该程序调用两次print_string函数,分别输出Hello 1,Hello 2,要求在print_string处下断点,并输出该处时的各寄存器值 2. 原理 2.1 ptrace ptrace的函数原型为:long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); 那么有关本任务中涉及到的一些re
Linux Ptrace 详解
热门推荐
七月冷雨
03-05 2万+
一、系统调用操作系统提供一系列系统调用函数来为应用程序提供服务。关于系统调用的详细相关知识,可以查看<<程序员的自我修养》第十二章。 对于x86操作系统来说,用中断命令“int 0x80”来进行系统调用,系统调用前,需要将系统调用号放入到%EAX寄存器中,将系统的参数依次放入到寄存器%ebx、%ecx、%edx以及%esi和%edi中。以write系统调用为:write(2,"Hello"
ptracePTRACE_POKETEXT参数
HotIce0
09-19 3699
许多关于ptrace的博客中,常常错了一个非常重要的地方,那就是PTRACE_POKETEXT和PTRACE_PEEKTEXT参数的说明 PTRACE_PEEKTEXT, PTRACE_PEEKDATA 从内存地址中读取一个字节,内存地址由addr给出。 这只能说明,那些说读取一个字节的博主,一定是没用过这个参数 2. 通过查阅Linux ptrace的官方文档(ptrace官方文档)发现...
linux之使用ptrace 跟踪多线程程序
云守护的专栏
05-31 5163
1.ptrace 原型说明 #include long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);  在使用PTRACE_TRACEME参数时,跟踪多线程程序需要使用PTRACE_SETOPTIONS来设置ptrace相关属性。  PTRACE_SETOPTIONS 是将
请给出PTRACE_ACCATH,PTRACE_GETREGSET,PTRACE_CONT三个参数用ptrace
最新发布
11-05
`ptrace`是Unix/Linux系统调用,它允许一个父进程(通常是调试器)监控和控制另一个称为“子进程”的进程的行为。`PTRACE_ACCATH`, `PTRACE_GETREGSET`, 和 `PTRACE_CONT` 是`ptrace`操作的一些标志常量: 1. **PTRACE_ACCATH** (0x00000004): 这个标志表示访问目标进程的文件描述符表。当设置这个标志时,`ptrace`会尝试获取当前打开的文件描述符及其路径名。 ```c int result = ptrace(PTRACE_ATTACH, pid_to_trace, NULL, PTRACE_ACCT); ``` 2. **PTRACE_GETREGSET** (0x00000500) 或更具体的值(如`PTRACE_GETREGS`或`PTRACE_GETFPREGS`等): 这些标志用于从目标进程中读取特定寄存器集(如用户或核心寄存器)。如,要获取所有通用寄存器的信息: ```c struct user_regs_struct regs; size_t sizeof_regs = sizeof(regs); if (ptrace(PTRACE_GETREGS, pid_to_trace, NULL, &regs) == -1) { // 处理错误 } ``` 3. **PTRACE_CONT** (0x00000009): 这个标志告诉被追踪的进程继续执行,通常用于中断后的恢复: ```c if (ptrace(PTRACE_CONT, pid_to_trace, NULL, 0) == -1) { // 处理错误,比如进程已经退出 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值