如何使用ptrace(2)来改变syscall的行为?我的例子不起作用,为什么?
ptrace(2)是一个系统调用,用于跟踪和控制其他进程的执行。它可以用于改变syscall的行为,但需要特定的权限和正确的使用方法。
要使用ptrace(2)来改变syscall的行为,可以按照以下步骤进行:
- 引入头文件:
#include <sys/ptrace.h> - 使用
ptrace(PTRACE_TRACEME, 0, NULL, NULL)来启用跟踪当前进程。这将使当前进程成为被跟踪进程。 - 使用
ptrace(PTRACE_PEEKUSER, pid, offset, NULL)和ptrace(PTRACE_POKEUSER, pid, offset, data)来读取和修改被跟踪进程的寄存器值。syscall号通常存储在寄存器中。 - 使用
ptrace(PTRACE_SYSCALL, pid, NULL, NULL)来让被跟踪进程执行下一个syscall。 - 使用
ptrace(PTRACE_GETREGS, pid, NULL, ®s)来获取被跟踪进程的寄存器状态。 - 修改寄存器中的syscall号,然后使用
ptrace(PTRACE_SETREGS, pid, NULL, ®s)来设置被跟踪进程的寄存器状态。 - 使用
ptrace(PTRACE_CONT, pid, NULL, NULL)来继续执行被跟踪进程。
以上是使用ptrace(2)来改变syscall行为的基本步骤。但是,如果你的例子不起作用,可能有以下几个原因:
- 权限问题:使用ptrace(2)需要特定的权限,通常需要以root用户或具有相应权限的用户身份运行。
- 被跟踪进程已经被其他进程跟踪:如果被跟踪进程已经被其他进程使用ptrace(2)跟踪,那么你将无法再使用ptrace(2)来改变其行为。
- 错误的使用方法:ptrace(2)是一个强大而复杂的系统调用,需要正确的使用方法。可能是你在使用过程中出现了错误,导致例子不起作用。
- 系统限制:某些系统可能对ptrace(2)的使用有限制,例如限制跟踪特定进程或特定类型的进程。
如果你的例子不起作用,建议检查以上可能的原因,并确保你具有足够的权限和正确的使用方法。如果问题仍然存在,可以提供更多的细节和代码示例,以便更好地帮助你解决问题。
相关·内容
你能告诉我为什么孩子的指纹是-38而不是999吗?我想更改返回给调用者的系统调用数据。所以我设置了999,让getpid返回999,但它返回-38。我在Linux Ubuntu x86_64上编译并运行。>#include <syscall.h>#include <errno.h>
#include <string
浏览 45提问于2021-11-13得票数 1
有没有使用ptrace影响其他进程执行的指南或示例(特别是ARM的)或库?例如,为了让它相信某些数据出现在文件描述符上(即释放select/poll并返回一些结果并“回答”下面的内容,在内核之前读取syscall )。期望与PTRACE_SYSEMU有关的内容。它能以可移植的方式完成吗?我想要一些类似libc的东西-覆盖LD_PRELOAD技巧,但它可以在运行时附加。
可以用一些gdb命令来</em
浏览 1提问于2012-11-17得票数 3
当我想检查tracee syscall时,我使用PTRACE_ATTACH,然后是循环中的PTRACE_SYSCALL,最后是PTRACE_DETACH。问题是,如果被追踪者注册到SIGTRAP或SIGCONT,它可以在我使用PTRACE_SYSCALL或PTRACE_DETACH时改变他的行为,而我不想这样做
浏览 7提问于2020-05-10得票数 1
作为练习,我一直在尝试使用Rust的nix::sys::ptrace::ptrace (与C的ptrace几乎完全相同)来模拟strace的syscall日志功能,方法是在每个syscall时读取RAX我想要的输出类似于以下内容:Arg1: 1
Arg2: Hello World!从我
浏览 2提问于2019-03-07得票数 4
回答已采纳
3回答
如何等待进程的子进程?
、、、、
我执行通常的fork + exec组合:socketpair (AF_LOCAL, SOCK_STREAM, 0, sockets); // child dup2 (sockets[0], STDOUT_FILENO)
浏览 0提问于2009-10-18得票数 1
1回答
我试图在运行时使用ptrace来更改另一个程序变量,在我的例子中是一个虚拟shell。,我使用PTRACE_ATTACH并侦听sys_read系统;然后PTRACE_GETREGS尝试获取应该包含"buf“数组地址的寄存器。ptrace(PTRACE_SYSCALL, pid, 0, 0);
wait(&
浏览 7提问于2014-04-01得票数 1
回答已采纳
),但现在我尝试使用PTRACE_SEIZED,我遇到了一些问题来获得那些系统调用,我只是不能正确解析我的进程。当我运行我的代码时,所有的ptrace_function返回0,进程很好地收到停止信号(WIFSTOPPED(status) == true),但是rip寄存器似乎没有改变(有时它改变了,我只得到一次正确的我<
浏览 4提问于2017-07-06得票数 2
回答已采纳
基本上,标题,我不能让它工作,我也找不到任何理由,它不应该工作。ptrace(2)的手册规定,Linux 5.3+是必需的,我正在运行Linux5.17.4,下面的简化代码编译时没有任何警告,在检测每个系统调用时运行时没有任何错误,但是syscall_info.op}在过去的3天里,我一直在谷歌上搜索,我找不到多少东西来验证我是否正确地使用了它,也没有找到任
浏览 21提问于2022-05-27得票数 0
回答已采纳
1回答
我想要创建一个文件,它的描述符将具有一些可定制的行为。特别是,我希望创建一个文件描述符,它在写入时会在每一行前加上进程的名称和pid (也许还有时间),但我可以想象,做其他事情是有用的。我不想改变编写程序--首先,我希望它能适用于我系统上的所有程序,甚至shell/perl/等脚本,如果不是不可能更改所有程序的源代码,也是不切实际的。有些办法是
浏览 1提问于2009-01-20得票数 3
回答已采纳
2回答
我正在尝试使用ptrace在linux arm64上将一个调用从一个syscall更改为另一个。
据我所知,syscall编号在x8中,读取syscall的寄存器可以确认这一点。我正在更改这个号码并调用SETREGSET,调用的是旧的系统调用,而不是新的系统调用。当我检查从系统调用返回的寄存器时,x8被设置为我给他的系统调用,因为它应该是这样<e
浏览 3提问于2020-08-28得票数 2
1回答
跟踪进程和所有分叉进程的系统
、、、、
我使用ptrace来跟踪进程的系统。分叉处理后,我使用PTRACE_TRACEME开始跟踪该进程。the syscall
ptrace(PTRACE_SYSCALL, pid, NULL, NULL);
这一切都很好,但是如果程序分叉(或创建一个新线程),我也希望跟踪跟踪进程创建的子进
浏览 5提问于2012-11-23得票数 9
我有点困惑,试图使用ptrace + seccomp获得syscall的返回值。我希望在随后调用PTRACE_SYSCALL之后,tracee将处于syscall-exit-stop状态,并且跟踪器将能够使用PTRACE_GETEVENTMSG获得syscall的结果。但在我的样本里不起作用。return 0;
浏览 2提问于2019-03-05得票数 3
回答已采纳
我们只需要像写和读一样拦截syscall,但是我们不能使用PTRACE_SYSCALL。我正在寻找一种使用PTRACE_SINGLESTEP实现这个功能的方法,我已经编写了一种打印syscall的方法,当我使用PTRACE_SYSCALL时,它工作得很好,但是当我使用PTRACE_SINGLESTEP时,<em
浏览 3提问于2021-04-11得票数 2
回答已采纳
2回答
我尝试使用ptrace来捕获子进程系统调用id,比如execve(11)或fork(2)。#include <sys/reg.h>#include <sys/wait.h>
#include= ptrace(<em
浏览 0提问于2013-12-07得票数 0
我拦截了pthread_create调用来捕获所有线程之间的关系。但是我发现,一些线程的创建并不是仅通过拦截pthread_create来记录的。我还试图拦截posix_spawn posix_spawnp和clone电话。但是在我的实验中,仍然有一些线程我不知道是谁创建的。那么,还有其他方法在linux上创建线程吗?更具体地说,我使用LD_PRELOAD
浏览 2提问于2017-09-29得票数 1
回答已采纳
根据
系统呼叫-进入-停止和syscall-出口-停止是无法区分的跟踪器彼此。跟踪器需要跟踪ptrace的顺序,这样才不会将syscall-输入-停止误解为syscall-退出-停止,反之亦然。当我使用PTRACE_ATTACH附加到进程时,如何知道tracee当前是否在syscall中?换句话说,如果我使用PTRACE_SYSCALL重新启动
浏览 0提问于2018-08-28得票数 9
1回答
我正在使用ptrace来拦截系统呼叫。一切看起来都很好,除了我拦截了16个请求(8个用于预系统调用,8个用于post系统调用)。我已经看过没有它的工作示例,但是我尝试使用标志PTRACE_O_TRACESYSGOOD。
其他表示我应该只看到一个前置/发布+一个信号,但是他们没有使用PTRACE_O_TRACESYSGOOD。我的
浏览 4提问于2017-10-29得票数 1
回答已采纳
1回答
我是Linux的新手,所以我有直觉认为答案是微不足道的,但经过几天的寻找答案,我放弃了,指望你的帮助.我在CentOS 7上使用软件,当我在TTY伪终端(例如/dev/TTY 2)上启动它时,它会在屏幕上打印出许多我需要分析的有趣信息。由于信息的数量和存档,我想把他们保存在一个文件。我后来使用strace来找
浏览 1提问于2018-08-27得票数 3
回答已采纳
3回答
出于某种安全目的,我使用ptrace来获取syscall号,如果这是一个危险的调用(比如10表示断开链接),我想取消这个syscall。#include <syscall.h>
#include
浏览 2提问于2012-08-18得票数 10
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
