认识ptrace函数

认识ptrace函数

这是man对于ptrace这个系统调用的解释

http://man7.org/linux/man-pages/man2/ptrace.2.html

#include <sys/ptrace.h>

long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

ptrace系统调用提供了一种方法，这个方法可以让一个进程监视、控制另一个进程的执行，并且可以查看和更改被追踪进程的内存和寄存器。通常用来下断点和调试。

常用的两种追踪的模式

ptrace(PTRACE_TRACEME, 0, 0, 0)

通常为被追踪者使用，用来指示此进程将由其父进程跟踪。下面的代码示例演示了这个过程：

父进程fork出一个子进程。

子进程调用PTRACE_TRACEME，表明这个进程由它的父进程来跟踪。任何发给这个进程的信号signal（除了SIGKILL）将导致该进程停止运行，而它的父进程会通过wait()获得通知。另外，该进程之后所有对exec()的调用都将使操作系统产生一个SIGTRAP信号发送给它，这让父进程有机会在新程序开始执行之前获得对子进程的控制权。

然后我们通过父进程wait函数来等待接收子进程发出的信号，同时看看子进程的入口（_start函数）处有没有初始化。

可以看到我们接收到的信号是SIGTRAP信号，正是执行exec()时产生的软中断（int3），子进程的入口处代码也加载到了内存中。

ptrace(PTRACE_ATTACH, pid, NULL, NULL)

此追踪模式将主动发送一个停止的信号给目标进程（ATTACH模式），使目标程序暂停下来，然后使用wait来等待目标程序停下来再做进一步操作。示例代码如下，同样是来查看wait到的信号以及入口函数是否被加载到内存。

可以看到我们接受到了两个暂停的信号，第一个就是我们attach时主动发送的信号造成目标进程的停止，然后通知我们Stopped，此时，入口代码还没有加载到内存。第二个就是执行exec()时被系统软中断的信号，和PTRACE_ME相同，此时入口代码已被加载到内存。

弄清楚了这两种常用的追踪模式后，我们来看看如何使用ptrace来查看、修改目标进程的内存和寄存器

user_regs_struct是在ptrace.h中定义的一个结构体，用来存储各个寄存器的值，使用时通常会声明一个全局变量struct user_regs_struct regs; 当我们可以追踪进程之后，使用ptrace(PTRACE_GETREGS, child_pid, NULL, &regs);将此刻目标进程的寄存器信息存储到这个regs结构体，regs.eip查看eip的值，64位就是regs.rip啦。

若要修改eip的值，只需更改regs.eip的值，然后ptrace(PTRACE_SETREGS, child_pid, NULL, &regs) 系统就会将目标程序的eip更改过来。

然后查看内存中某地址的值用ptrace(PTRACE_PEEKTEXT, child_pid, addr, NULL)

修改内存的值用ptrace(PTRACE_POKETEXT, child_pid, addr, text)

然后就是让程序继续运行和单步了。我们使用wait等到目标程序中断，接着完成了我们想进行的操作后，使用ptrace(PTRACE_CONT, child_pid, NULL, NULL)来使目标进程恢复运行，想等到它再次中断，应使用wait等待。

使用ptrace(PTRACE_SINGLESTEP, child_pid, NULL, NULL)来进行单步调试。父进程通过PTRACE_SINGLESTEP以及子进程的id号来调用ptrace。这么做是告诉操作系统——请重新启动子进程，但当子进程执行了下一条指令后再将其停止。然后父进程再次wait()等待子进程的停止。

关于ptrace还有很多其他使用姿势，本文仅是介绍最常用的几种。