1. IT分享知识网首页
  2. 开发语言
  3. Linux

【Linux】Ptrace — 详解

老牧童 Linux, 未分类

【Linux】Ptrace — 详解所有这一切的背后都隐藏着 Linux 所提供的一个强大的系统调用 ptrace

大家好,欢迎来到IT知识分享网。

一、引子

  1. 在 Linux 系统中,进程状态除了我们所熟知的 TASK_RUNNING,TASK_INTERRUPTIBLE,TASK_STOPPED 等,还有一个 TASK_TRACED。这表明这个进程处于什么状态?
  2. strace 可以方便的帮助我们记录进程所执行的系统调用,它是如何跟踪到进程执行的?
  3. gdb 是我们调试程序的利器,可以设置断点,单步跟踪程序。它的实现原理又是什么?

所有这一切的背后都隐藏着 Linux 所提供的一个强大的系统调用 ptrace()。

二、ptrace 系统调用

#include <sys/ptrace.h> long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

ptrace 有四个参数: 

  1. enum __ptrace_request request:指示了 ptrace 要执行的命令。
  2. pid_t pid:指示 ptrace 要跟踪的进程。
  3. void *addr:指示要监控的内存地址。
  4.  void *data:存放读取出的或者要写入的数据。

ptrace 是如此的强大,以至于有很多大家所常用的工具都基于 ptrace 来实现,如 strace 和 gdb。接下来,我们借由对 strace 和 gdb 的实现,来看看 ptrace 是如何使用的。

三、strace 的实现

strace 常常被用来拦截和记录进程所执行的系统调用,以及进程所收到的信号。如有这么一段程序:

// HelloWorld.c #include <stdio.h> int main() {     printf("Hello World!/n");     return 0; }
execve("./HelloWorld", ["./HelloWorld"], [/* 67 vars */]) = 0 brk(0)                                  = 0x804a000 mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7f18000 access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory) open("/home/supperman/WorkSpace/lib/tls/i686/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory) ...

的一段输出,这就是在执行HelloWorld中,系统所执行的系统调用,以及他们的返回值。

下面我们用 ptrace 来研究一下它是怎么实现的。

... switch(pid = fork()) { case -1: return -1; case 0: //子进程 ptrace(PTRACE_TRACEME,0,NULL,NULL); execl("./HelloWorld", "HelloWorld", NULL); default: //父进程 wait(&val); //等待并记录execve if(WIFEXITED(val)) return 0; syscallID=ptrace(PTRACE_PEEKUSER, pid, ORIG_EAX*4, NULL); printf("Process executed system call ID = %ld/n",syscallID); ptrace(PTRACE_SYSCALL,pid,NULL,NULL); while(1) { wait(&val); //等待信号 if(WIFEXITED(val)) //判断子进程是否退出 return 0; if(flag==0) //第一次(进入系统调用),获取系统调用的参数 { syscallID=ptrace(PTRACE_PEEKUSER, pid, ORIG_EAX*4, NULL); printf("Process executed system call ID = %ld ",syscallID); flag=1; } else //第二次(退出系统调用),获取系统调用的返回值 { returnValue=ptrace(PTRACE_PEEKUSER, pid, EAX*4, NULL); printf("with return value= %ld/n", returnValue); flag=0; } ptrace(PTRACE_SYSCALL,pid,NULL,NULL); } } ...

在上面的程序中,fork 出的子进程先调用了 ptrace(PTRACE_TRACEME) 表示子进程让父进程跟踪自己。然后子进程调用 execl 加载执行了 HelloWorld。而在父进程中则使用 wait 系统调用等待子进程的状态改变。子进程因为设置了 PTRACE_TRACEME 而在执行系统调用被系统停止(设置为 TASK_TRACED),这时父进程被唤醒,使用 ptrace(PTRACE_PEEKUSER,pid,…) 分别去读取子进程执行的系统调用 ID(放在 ORIG_EAX 中)以及系统调用返回时的值(放在 EAX 中)。然后使用 ptrace(PTRACE_SYSCALL,pid,…) 指示子进程运行到下一次执行系统调用的时候(进入 / 退出),直到子进程退出为止。

程序的执行结果如下:

Process executed system call ID = 11 Process executed system call ID = 45 with return value=  Process executed system call ID = 192 with return value= - Process executed system call ID = 33 with return value= -2 Process executed system call ID = 5 with return value= -2 ...

其中,11 号系统调用就是 execve,45 号是 brk,192 是 mmap2,33 是 access,5 是 open… 经过比对可以发现,和 strace 的输出结果一样。当然 strace 进行了更详尽和完善的处理,我们这里只是揭示其原理,感兴趣的同学可以去研究一下 strace 的实现。

PS: 

  1. 在系统调用执行的时候,会执行 pushl %eax # 保存系统调用号 ORIG_EAX 在程序用户栈中。
  2. 在系统调用返回的时候,会执行 movl %eax,EAX(%esp) 将系统调用的返回值放入寄存器 %eax 中。
  3. WIFEXITED() 宏用来判断子进程是否为正常退出的,如果是,它会返回一个非零值。
  4. 被跟踪的程序在进入或者退出某次系统调用的时候都会触发一个 SIGTRAP 信号,而被父进程捕获。
  5. execve() 系统调用执行成功的时候并没有返回值,因为它开始执行一段新的程序,并没有 “返回” 的概念。失败的时候会返回 -1。
  6. 在父进程进行进行操作的时候,用 ps 查看,可以看到子进程的状态为 T,表示子进程处于 TASK_TRACED 状态。当然为了更具操作性,你可以在父进程中加入 sleep()。

四、GDB 的实现

1、建立调试关系

用 gdb 调试程序,可以直接 gdb ./test,也可以 gdb <pid>(test的进程号)。这对应着使用 ptrace 建立跟踪关系的两种方式:

  1. fork:利用 fork+execve 执行被测试的程序,子进程在执行 execve 之前调用ptrace(PTRACE_TRACEME),建立了与父进程(debugger)的跟踪关系。如我们在分析 strace 时所示意的程序。
  2. attach:debugger 可以调用 ptrace(PTRACE_ATTACH,pid,…),建立自己与进程号为 pid 的进程间的跟踪关系。即利用 PTRACE_ATTACH,使自己变成被调试程序的父进程(用 ps 可以看到)。用 attach 建立起来的跟踪关系,可以调用ptrace(PTRACE_DETACH,pid,…)来解除。注意 attach 进程时的权限问题,如一个非 root 权限的进程是不能 attach 到一个 root 进程上的。 

2、断点原理

3、单步跟踪原理

 child = fork(); if(child == 0) { execl("./HelloWorld", "HelloWorld", NULL); } else { ptrace(PTRACE_ATTACH,child,NULL,NULL); while(1){ wait(&val); if(WIFEXITED(val)) break; count++; ptrace(PTRACE_SINGLESTEP,child,NULL,NULL); } printf("Total Instruction number= %d/n",count); }

五、小结

ptrace 可以实时监测和修改另一个进程的运行,它是如此的强大以至于曾经因为它在 Unix-like 平台(如:Linux,*BSD)上产生了各种漏洞。但换言之,只要我们能掌握它的使用,就能开发出很多以前在用户态下不可能实现的应用。当然这可能需要我们掌握编译,文件格式,程序内存布局等相当多的底层知识。

最后让我们来回顾一下 ptrace 的使用:

  1. 用 PTRACE_ATTACH 或者 PTRACE_TRACEME 建立进程间的跟踪关系。
  2. PTRACE_PEEKTEXT,PTRACE_PEEKDATA,PTRACE_PEEKUSR 等读取子进程内存/寄存器中保留的值。
  3. PTRACE_POKETEXT,PTRACE_POKEDATA, PTRACE_POKEUSR 等把值写入到被跟踪进程的内存/寄存器中。
  4. 用 PTRACE_CONT,PTRACE_SYSCALL,PTRACE_SINGLESTEP 控制被跟踪进程以何种方式继续运行。
  5. PTRACE_DETACH,PTRACE_KILL 脱离进程间的跟踪关系。
  1. 进程状态 TASK_TRACED 用以表示当前进程因为被父进程跟踪而被系统停止。
  2. 如在子进程结束前,父进程结束,则 trace 关系解除。
  3. 利用 attach 建立起来的跟踪关系,虽然 ps 看到双方为父子关系,但在 “子进程” 中调用getppid() 仍会返回原来的父进程 id。
  4. 不能 attach 到自己不能跟踪的进程,如 non-root 进程跟踪 root 进程。
  5. 已经被 trace的进程,不能再次被attach。
  6. 即使是用 PTRACE_TRACEME建立起来的跟踪关系,也可以用DETACH的方式予以解除。
  7. 因为进入/退出系统调用都会触发一次 SIGTRAP,所以通常的做法是在第一次(进入)的时候读取系统调用的参数,在第二次(退出)的时候读取系统调用的返回值。但注意 execve 是个例外。
  8. 程序调试时的断点由 int 3 设置完成,而单步跟踪则可由 ptrace(PTRACE_SINGLESTEP) 实现。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/111734.html

(0)
老牧童老牧童
0
上一篇 2026-01-23 08:11
下一篇 2026-01-23 08:21

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信