#include <sys/ptrace.h>

 #include <sys/types.h>

 #include <sys/wait.h>

 #include <unistd.h>

 #include <sys/reg.h> //#include <linux/user.h>

 #include <sys/syscall.h>

 const int long_size = sizeof(long);

 void reverse(char *str)

  {

     int i, j;

     char temp;

     for(i = , j = strlen(str) - ;

          i <= j; ++i, --j) {

         temp = str[i];

         str[i] = str[j];

         str[j] = temp;

     }

 }

 void getdata(pid_t child, long addr,

              char *str, int len)

  {

     char *laddr;

     int i, j;

      union u {

             long val;

             char chars[long_size];

     }data;

     i = ;

     j = len / long_size;

     laddr = str;

      while(i < j) {

         data.val = ptrace(PTRACE_PEEKDATA,

                           child, addr + i * , //i * 4

                           NULL);

         memcpy(laddr, data.chars, long_size);

         ++i;

         laddr += long_size;

     }

     j = len % long_size;

      if(j != ) {

         data.val = ptrace(PTRACE_PEEKDATA,

                           child, addr + i * , //i * 4

                           NULL);

         memcpy(laddr, data.chars, j);

     }

     str[len] = '\0';

 }

 void putdata(pid_t child, long addr,

              char *str, int len)

  {

     char *laddr;

     int i, j;

      union u {

             long val;

             char chars[long_size];

     }data;

     i = ;

     j = len / long_size;

     laddr = str;

      while(i < j) {

         memcpy(data.chars, laddr, long_size);

         ptrace(PTRACE_POKEDATA, child,

                addr + i * , data.val); //i * 4

         ++i;

         laddr += long_size;

     }

     j = len % long_size;

      if(j != ) {

         memcpy(data.chars, laddr, j);

         ptrace(PTRACE_POKEDATA, child,

                addr + i * , data.val); //i * 4

     }

 }

 int main()

  {

    pid_t child;

    child = fork();

     if(child == ) {

       ptrace(PTRACE_TRACEME, , NULL, NULL);

       execl("/bin/ls", "ls", NULL);

    }

     else {

       long orig_eax;

       long params[];

       int status;

       char *str, *laddr;

       int toggle = ;

        while() {

          wait(&status);

          if(WIFEXITED(status))

              break;

          orig_eax = ptrace(PTRACE_PEEKUSER,

                            child,  * ORIG_RAX, //4 * ORIG_EAX

                            NULL);

           if(orig_eax == SYS_write) {

              if(toggle == ) {

                toggle = ;

                params[] = ptrace(PTRACE_PEEKUSER,

                                   child,  * RDI, //4 * EBX

                                   NULL);

                params[] = ptrace(PTRACE_PEEKUSER,

                                   child,  * RSI, //4 * ECX

                                   NULL);

                params[] = ptrace(PTRACE_PEEKUSER,

                                   child,  * RDX, //4 * EDX

                                   NULL);

                str = (char *)calloc((params[]+) //

                                  , sizeof(char));

                getdata(child, params[], str,

                        params[]);

                reverse(str);

                putdata(child, params[], str,

                        params[]);

             }

              else {

                toggle = ;

             }

          }

       ptrace(PTRACE_SYSCALL, child, NULL, NULL);

       }

    }

    return ;

 }

注释部分是对原代码的修改,测试环境ubuntu 。 

代码2:

/*****************************

*ptrace testing by lasvegas

*/

#include <stdio.h>

#include <stdlib.h>

#include <sys/ptrace.h>

#include <unistd.h>

#include <sys/types.h>

#include <sys/user.h>

#include <string.h>

void getdata(pid_t child, char* const addr, unsigned long getlen, char* const rbuf);

void setdata(pid_t child, void* const addr, unsigned long setlen, char* const sbuf);

int main(int argc, char** argv)

{

  unsigned long lrmt =0x31;

  char rmt[] ="\xEB\x1D\x5B\x48\xC7\xC0\x01\x00\x00\x00\x48\xC7\xC7\x01\x00\x00\x00\x48\x89\xDE\x48\xC7\xC2\x0D\x00\x00\x00\x0F\x05\xEB\x13\xE8\xDE\xFF\xFF\xFF\x48\x65\x6C\x6C\x6F\x20\x57\x6F\x72\x6C\x64\x21\x0A";

  char back[lrmt];

  pid_t child =;

  struct user_regs_struct reg;

  if(argc !=)

  {

    printf("Usage: %s <target executable file>\n", argv[]);

    exit();

  }

  child =fork();

  if(child ==)

  {

    ptrace(PTRACE_TRACEME, , NULL, );

    if(execlp(argv[], argv[], NULL) <)

    {

      printf("Damn for executable execlp(%s,...)\n", argv[]);

      exit();

    }

  }

  else

  {

    printf("Trace on %d...\n", child);

    int status;

    ptrace(PTRACE_ATTACH, child, NULL, NULL);

    wait(&status);

    if(WIFEXITED(status))

    {

      exit();

    }

    ptrace(PTRACE_GETREGS, child, NULL, &reg);

    getdata(child, (void*)reg.rip, lrmt, back);

    setdata(child, (void*)reg.rip, lrmt, rmt);

    ptrace(PTRACE_SETREGS, child, NULL, &reg);

    ptrace(PTRACE_CONT, child, NULL, NULL);

    wait(NULL);

    //restore

    setdata(child, (void*)reg.rip, lrmt, back);

    ptrace(PTRACE_SETREGS, child, NULL, &reg);

    //

    ptrace(PTRACE_DETACH, child, NULL, NULL);

  }

  return ;

}

/*

typedef union _mem_byte

{

  long inst;

  char insts[sizeof(long)];

}mem_byte;

*/

void getdata(pid_t child, char* const addr, unsigned long getlen, char* const rbuf)

{

  int i =, j =;

  char *laddr =NULL;

  char *lbuf =NULL;

  long mb;

  laddr =addr;

  lbuf =rbuf;

  j =getlen/sizeof(long);

  for(i =; i <j; i++)

  {

    memset(&mb, , sizeof(long));

    mb =ptrace(PTRACE_PEEKDATA, child, laddr, NULL);

    memcpy(lbuf, &mb, sizeof(long));

    lbuf +=sizeof(long);

    laddr +=sizeof(long);

  }

  if(getlen %sizeof(long) !=)

  {

    memset(&mb, , sizeof(long));

    mb =ptrace(PTRACE_PEEKDATA, child, laddr, NULL);

    memcpy(lbuf, &mb, getlen %sizeof(long));

  }

  return;

}

void setdata(pid_t child, void* const addr,unsigned long setlen, char* const sbuf)

{

  int i =, j=;

  char *laddr =NULL;

  char *lbuf =NULL;

  long mb;

  laddr =addr;

  lbuf =sbuf;

  j =setlen/sizeof(long);

  for(i =; i <j; i++)

  {

    memset(&mb, , sizeof(long));

    memcpy(&mb, lbuf, sizeof(long));

    ptrace(PTRACE_POKETEXT, child, laddr, mb);

    laddr +=sizeof(long);

    lbuf +=sizeof(long);

  }

  if(setlen %sizeof(long) !=)

  {

    memset(&mb, , sizeof(long));

    memcpy(&mb, lbuf, setlen%sizeof(long));

    ptrace(PTRACE_POKETEXT, child, laddr, mb);

  }

  return;

}

ptrace x64 转的更多相关文章

  1. Playing with ptrace, Part II

    Playing with ptrace, Part II Issue From Issue # December Dec , By Pradeep Padala inSysAdmin In Part ...

  2. 玩转ptrace(转)

    下面是转帖的内容,写的很详细.但是不同的linux发行版中头文件的路径和名称并不相同.如在某些发行版中<linux/user.h>就不存在,其中定义的变量出现在<asm/ptrace ...

  3. Linux Ptrace 详解

    转 https://blog.csdn.net/u012417380/article/details/60470075 Linux Ptrace 详解 2017年03月05日 18:59:58 阅读数 ...

  4. X86和X86_64和X64有什么区别?

    x86是指intel的开发的一种32位指令集,从386开始时代开始的,一直沿用至今,是一种cisc指令集,所有intel早期的cpu,amd早期的cpu都支持这种指令集,ntel官方文档里面称为&qu ...

  5. VisualStudio 2015 开启IIS Express可以调试X64项目

    现在项目开发时总有时需要在X64下开发,这样我们就需要IIS Express中调试.不要总是放在IIS中,在Attach这样好慢.   如果不设置直接调试X64的程序,我们有可能会受到以下类似的错误 ...

  6. Win7(x64)升级到Win10

    北京时间7月29日零点起,微软正式开始向包含中国在内的全球用户推送Windows 10正式版安装包,Win7.Win8正版用户从29日零点起就可以免费升级到Win 10. 如果你的C盘里边有“$Win ...

  7. 数据库管理工具GUI - PremiumSoft Navicat Premium Enterprise 11.2.15 x86/x64 KEY

    转载自: 数据库管理工具GUI - PremiumSoft Navicat Premium Enterprise 11.2.15 x86/x64 KEY Navicat Premium(数据库管理工具 ...

  8. 在Ubuntu X64上编译Hadoop

    在之前的文章中介绍了如何直接在Ubuntu中安装Hadoop.但是对于64位的Ubuntu来说,官方给出的Hadoop包是32位的,运行时会得到警告: WARN util.NativeCodeLoad ...

  9. win7(x64)下安装cocos2d并编译安卓项目

    好吧,不为啥,就是如题. win7 x64 脑袋内存比较小,说不定明儿就忘了,今天记录一下. 没有什么经验,所有步骤基本都是百度出来的,这里边操作边记录,为了保护原创作者,这里我都附上我查找的链接. ...

随机推荐

  1. http://jingyan.baidu.com/article/4dc40848e7b69bc8d946f127.html

    http://jingyan.baidu.com/article/4dc40848e7b69bc8d946f127.html

  2. bzoj 1001: [BeiJing2006]狼抓兔子 平面图最小割

    平面图跑最大流 可以转换为其对偶图跑最短路 一个环对应一个割  找到最小环(即最短路)极为所求,注意辅助边的建立 加入读入优化  不过时间还是一般  估计是dij写的不好   大神勿喷~~~ /*** ...

  3. 详解Asp.net MVC DropDownLists

    Asp.net MVC中的DropDownLists貌似会让一开始从Asp.net Forms转过来的程序员造成不少迷惑.这篇文章讲述了为了使用DropDownLists,你需要在Asp.Net MV ...

  4. duilib relativepos属性导致控件错误的bug修复

    转载请说明出处,谢谢~~ 我在仿酷狗音乐播放器的开发日志系列里,曾经提到了这个bug,文章地址为:http://blog.csdn.net/zhuhongshu/article/details/381 ...

  5. 小C的填数游戏

    题意: 给出一张n个点的无向图 i连向i-1和i-2 边权为wij 有两个点权ai和bi ai为0或1 在给m个操作 1.将ai异或1 2.将区间x到y的点都填上一个数ci 使得Σ(bi*(ai^ci ...

  6. HDU-4751 Divide Groups 染色问题

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=4751 题意:有n个人,每个人都认识一些人,要求把他们分成两个集合,使得两个集合中的人都相符两两认识. ...

  7. MYSQL数据库性能调优之一:调优技术基础

    1.mysql数据库优化技术有哪些? 2.数据库三层结构? 3.数据库3NF

  8. Spring入门(7)-自动检测Bean

    Spring入门(7)-自动检测Bean 本文介绍如何自动检测Bean. 0. 目录 使用component-scan自动扫描 为自动检测标注Bean 1. 使用component-scan自动扫描 ...

  9. Flask框架获取用户IP地址的方法

    本文实例讲述了python使用Flask框架获取用户IP地址的方法.分享给大家供大家参考.具体如下: 下面的代码包含了html页面和python代码,非常详细,如果你正使用Flask,也可以学习一下最 ...

  10. 微软企业库5.0学习-Security.Cryptography模块

    一.微软企业库加密应用模块提供了两种加密: 1.Hash providers :离散加密,即数据加密后无法解密 2.Symmetric Cryptography Providers:密钥(对称)加密法 ...