linux ptrace学习
ptrace提供了一种使父进程得以监视和控制其它进程的方式,它还能够改变子进程中的寄存器和内核映像,因而可以实现断点调试和系统调用的跟踪。学习linux的ptrace是为学习android adbi框架和古河的libinject做基础。
ptrace有四个参数:long ptrace(enum __ptrace_request request,pid_t pid,void *addr,void *data);第一个参数是重点,可设如下值:
PTRACE_ME ptrace(PTRACE_ME,0 ,0 ,0);本进程被其父进程所跟踪
PTRACE_ATTACH ptrace(PTRACE_ATTACH,pid);跟踪指定pid 进程
PTRACE_PEEKTEXT ptrace(PTRACE_PEEKTEXT, pid, addr, data);从内存地址中读取一个字节,内存地址由addr给出 PTRACE_PEEKDATA ptrace(PTRACE_PEEKDATA, pid, addr, data);从内存地址中读取一个字节,内存地址由addr给出 PTRACE_PEEKUSER ptrace(PTRACE_PEEKUSR, pid, addr, data)从USER区域中读取一个字节,偏移量为addr PTRACE_POKETEXT ptrace(PTRACE_POKETEXT, pid, addr, data);往内存地址中写入一个字节。内存地址由addr给出 PTRACE_POKEDATA ptrace(PTRACE_POKEDATA, pid, addr, data);往内存地址中写入一个字节。内存地址由addr给出 PTRACE_POKEUSER ptrace(PTRACE_POKEUSR, pid, addr, data);往USER区域中写入一个字节。偏移量为addr PTRACE_GETREGS ptrace(PTRACE_GETREGS, pid, 0, data);读取寄存器 PTRACE_GETFPREGS ptrace(PTRACE_GETFPREGS, pid, 0, data);读取浮点寄存器 PTRACE_SETREGS ptrace(PTRACE_SETREGS, pid, 0, data);设置寄存器 PTRACE_SETFPREGS ptrace(PTRACE_SETREGS, pid, 0, data);设置浮点寄存器 PTRACE_CONT ptrace(PTRACE_CONT, pid, 0, signal);继续执行,signal为0则忽略引起调试进程中止的信号,若不为0则继续处理信号signal PTRACE_SYSCALL ptrace(PTRACE_SYS, pid, 0, signal);内核在子进程做出系统调用或者准备退出的时候暂停它;包含2个步骤:继续执行+系统调用是停止 PTRACE_SINGLESTEP ptrace(PTRACE_KILL, pid, 0, signle);设置单步执行标志,单步执行一条指令 PTRACE_DETACH ptrace(PTRACE_DETACH,pid);结束跟踪
PTRACE_KILL ptrace(PTRACE_KILL,pid);杀掉子进程,使它退出
上面就是ptrace函数的用法,大体可以分为2类:控制流程——singleStep、cont...;获取或设置内容——getRegs、setRegs...。内容的获取和设置就不多说,拿张图来看下如何控制子进程执行:
1.子进程被ptrace
2.父进程调用ptrace带参数PTRACE_SYSCALL,让子进程在进入和退出系统调用时暂停;调用完ptrace后,wait触发
3.子进程要调用syscall(为何syscall?调用系统函数)了,此时因为父进程之前调用了PTRACE_SYSCALL,内核会暂停子进程并给父进程发信号
4.父进程得到信号后结束wait函数,去调用自己的函数去处理;处理完后调用带PTRACE_SYSCALL参数的ptrace函数,并wait
5.内核在父进程的ptrace函数后,让子进程继续执行;
6.子进程如愿的完成系统调用,但在退出系统调用前。因为父进程调用了PTRACE_SYSCALL,所以内核又暂停子进程并发信号给父进程
7.父进程得到信号从wait中退出,去执行自己的函数;处理完后调用带PTRACE_SYSCALL参数的ptrace函数,并wait
8.内核在父进程的ptrace函数后,让子进程继续执行;子进程退出系统调用继续执行直到下一个系统调用
......
通过上面这么啰嗦的步骤,我想你一定get到ptrace是如何控制代码的执行了。当然上面仅仅是PTRACE_SYSCALL,但方法是相通的。ok,本来接下去应该是要实践下了。但是鉴于网上代码太多(直接看参考资料),本人又玩不出新花样,就此略过。这里解释下关于参考资料中乌云的那篇文章的几个知识点:
1.getSysCallNo
ARM架构上,所有的系统调用都是通过SWI(Dos下int指令类似)来实现的。并且在ARM 架构中有两个SWI指令,分别针对EABI和OABI:
OABI:old abi
mov r0,#34 //设置子功能号位34
SWI 12 //调用12号软中断 EABI:extend abi
mov r0,#12 // ;调用12号软中断
mov r1,#34 // ;设置子功能号位34
SWI 0 SWI{cond} immed_24 // ;immed_24为软中断号(服务类型)
// 1110 1111 0000 0000 -- SWI 0
而为什么是获取(regs->ARM_pc - 4)地址的内容呢?先解释下pc的概念,pc是取指令的地址对于普通架构pc=当前执行指令地址+1*指令长度;而对于armv7的三级(取值、译码、执行)流水线来说pc=当前指令地址+8(2*4指令长度,arm指令32位,thunb指令16位)。而发生ptrace时,SWI指令是处于译码,故SWI指令的地址为PC-4(不同之处请一起探讨)。
2.libinject
libinject中利用ptrace加载自定义so去执行自定义函数,其中获取系统函数地址涉及到/proc/pid/maps(可以看Linux Tips)知识且运用了linux中类似list_entry技术:
"因为libc.so在内存中的地址是随机的,所以我们需要先获取目标进程的libc.so的加载地址,再获取自己进程的libc.so的加载地址和sleep()在内存中的地址。然后我们就能计算出sleep()函数在目标进程中的地址了。”
ptrace android源码位于/bionic/libc/bionic/ptrace.cpp
long ptrace(int req, ...) {
bool is_peek = (req == PTRACE_PEEKUSR || req == PTRACE_PEEKTEXT || req == PTRACE_PEEKDATA);
long peek_result; va_list args;
va_start(args, req);
pid_t pid = va_arg(args, pid_t);
void* addr = va_arg(args, void*);
void* data;
if (is_peek) {
data = &peek_result;
} else {
data = va_arg(args, void*);
}
va_end(args); long result = __ptrace(req, pid, addr, data);
if (is_peek && result == 0) {
return peek_result;
}
return result;
}
看出实际是调用_ptrace来实现的,位于/bionic/libc/arch-arm/syscalls/__ptrace.S
ENTRY(__ptrace)
mov ip, r7
ldr r7, =__NR_ptrace
swi #0
mov r7, ip
cmn r0, #(MAX_ERRNO + 1)
bxls lr
neg r0, r0
b __set_errno_internal
END(__ptrace)
直接使用SWI调用系统函数ptrace,而_NR_ptrace是个宏定义为系统的调用号(参考android调用号和libc)。下篇以本文知识点开启adbi之旅。
参考资料:
1 玩转ptrace
linux ptrace学习的更多相关文章
- Linux内核学习笔记二——进程
Linux内核学习笔记二——进程 一 进程与线程 进程就是处于执行期的程序,包含了独立地址空间,多个执行线程等资源. 线程是进程中活动的对象,每个线程都拥有独立的程序计数器.进程栈和一组进程寄存器 ...
- Linux.NET学习手记(7)
前一篇中,我们简单的讲述了下如何在Linux.NET中部署第一个ASP.NET MVC 5.0的程序.而目前微软已经提出OWIN并致力于发展VNext,接下来系列中,我们将会向OWIN方向转战. 早在 ...
- Linux.NET学习手记(8)
上一回合中,我们讲解了Linux.NET面对OWIN需要做出的准备,以及介绍了如何将两个支持OWIN协议的框架:SignalR以及NancyFX以OwinHost的方式部署到Linux.NET当中.这 ...
- 关于《Linux.NET学习手记(8)》的补充说明
早前的一两天<Linux.NET学习手记(8)>发布了,这一篇主要是讲述OWIN框架与OwinHost之间如何根据OWIN协议进行通信构成一套完整的系统.文中我们还直接学习如何直接操作OW ...
- Linux LVM学习总结——扩展卷组VG
Linux服务器由于应用变更或需求的缘故,有可能出现分区空间不足的情况,此时往往需要进行扩容(要增加分区的空间),而采用LVM的好处就是可以在不需停机的情况下可以方便地调整各个分区大小.如下所示,分区 ...
- linux的学习记录随笔
为什么学习linux 因为操作系统是一种介质,你要接触其中的东西,首先必须要有介质,而linux在服务器端是老大哥的地位,所以呢,学习linux吧. 学习的方式 可以看视频 imooc.百度传课.网易 ...
- Linux LVM学习总结——创建卷组VG
在Linux平台如何创建一个卷组(VG)呢?下面简单介绍一下卷组(VG)的创建步骤.本文实验平台为Red Hat Enterprise Linux Server release 6.6 (Santia ...
- 别出心裁的Linux命令学习法
别出心裁的Linux命令学习法 操作系统操作系统为你完成所有"硬件相关.应用无关"的工作,以给你方便.效率.安全.操作系统的功能我总结为两点:管家婆和服务生: 管家婆:通过进程.虚 ...
- linux内核学习之二 一个精简内核的分析(基于时间片轮转)
一 实验过程及效果 1.准备好相关的代码,分别是mymain.c,mypcb.h,myinterrupt.c ,如下图,make make成功: 在qemu创建的虚拟环境下的运行效果:(使用的命令 ...
随机推荐
- POJ-1847(SPFA+Vector和PriorityQueue优化的dijstra算法)
Tram POJ-1847 这里其实没有必要使用SPFA算法,但是为了巩固知识,还是用了.也可以使用dijikstra算法. #include<iostream> #include< ...
- POJ-3281(最大流+EK算法)
Dining POJ-3281 这道题目其实也是网络流中求解最大流的一道模板题. 只要建模出来以后直接套用模板就行了.这里的建模还需要考虑题目的要求:一种食物只能给一只牛. 所以这里可以将牛拆成两个点 ...
- 五十:代码审计-PHP无框架项目SQL注入挖掘技巧
代码审计教学计划: 审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 代码审计教学内容: PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 代码 ...
- 设计模式之工厂方法模式(Factory Method Pattern)
一.工厂方法模式的诞生 在读这篇文章之前,我先推荐大家读<设计模式之简单工厂模式(Simple Factory Pattern)>这篇文档.工厂方法模式是针对简单工厂模式中违反开闭原则的不 ...
- Hi3359AV100 NNIE开发(1)-RFCN demo LoadModel函数与参数解析
之后随笔将更多笔墨着重于NNIE开发系列,下文是关于Hi3359AV100 NNIE开发(1)-RFCN demo LoadModel函数与参数解析,通过对LoadModel函数的解析,能够很好理解. ...
- Nebula Storage 2.0 存储格式
随着 2.0 各版本的陆续发布,Nebula Graph 迎来了一系列的改动,在存储方面,影响最大的改动就是底层编码格式进行了修改.Nebula Graph 的底层存储是基于 KV 保存在 Rocks ...
- MIMO OFDM 常用信号检测算法
MIMO OFDM 系统检测算法 1. 前言 MIMO的空分复用技术可以使得系统在系统带宽和发射带宽不变的情况下容易地获得空间分集增益和信道的容量增益.OFDM技术采用多个正交的子载波并行传输数据,使 ...
- Java内存区域略解
概览 分述 程序计数器 用于记录该线程的执行位置,便于跳转或者线程中断后的恢复 方法区 Java虚拟机规范中把 原本用于存储常量,静态变量和类的元信息,但java1.7将字符串常量移到了堆中,java ...
- Java中的名称命名规范:
Java中的名称命名规范:(不遵守,也不会出现编译的错误) 包名:多单词组成时所有字母都小写:xxxyyyzzz 类名.接口名:多单词组成时,所有单词的首字母大写:XxxYyyZzz 变量名.方法名: ...
- FZU_1608 Huge Mission 【线段树区间更新】
一.题目 Huge Mission 二.分析 区间更新,用线段树的懒标记即可.需要注意的时,由于是在最后才查询的,没有必要每次更新都对$sum$进行求和.还有一点就是初始化的问题,一定记得线段树上每个 ...