ptrace系統調用
Table of Contents
1 ptrace系統調用
1.1 說明
實驗環境是linux x64,源碼適用於linux x32。
1.2 前言
windows平臺下提供了一系列調試的API,linux對應的接口就是ptrace。關於系統調用的知識可以看這裏:http://zh.wikipedia.org/zh/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8
- 在Linux系統中,進程狀態除了我們所熟知的TASKRUNNING,TASKINTERRUPTIBLE,TASKSTOPPED等,還有一個TASKTRACED。這表明這個進程處於什麼狀態?
- strace可以方便的幫助我們記錄進程所執行的系統調用,它是如何跟蹤到進程執行的?
- gdb是我們調試程序的利器,可以設置斷點,單步跟蹤程序。它的實現原理又是什麼?
所有這一切的背後都隱藏着Linux所提供的一個強大的系統調用ptrace()。
1.3 ptrace系統調用
ptrace 系統調從名字上看是用於進程跟蹤的,它提供了父進程可以觀察和控制其子進程執行的能力,並允許父進程檢查和替換子進程的內核鏡像(包括寄存器)的值。其基 本原理是: 當使用了ptrace跟蹤後,所有發送給被跟蹤的子進程的信號(除了SIGKILL),都會被轉發給父進程,而子進程則會被阻塞,這時子進程的狀態就會被 系統標註爲TASKTRACED。而父進程收到信號後,就可以對停止下來的子進程進行檢查和修改,然後讓子進程繼續運行。
其原型爲,最好參考man手冊:
#include <sys/ptrace.h> /** * process trace * * @param request 指示了ptrace要執行的命令 * @param pid 指示ptrace要跟蹤的進程 * @param addr 指示要監控的內存地址 * @param data 存放讀取出的或者要寫入的數據 * * @return */ long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);
有很多軟件都是基於它的,比如gdb,strace。
1.4 strace
strace常常被用來攔截和記錄進程所執行的系統調用,以及進程所收到的信號。如有這麼一段程序:
#include <stdio.h> #include <stdlib.h> int main(int argc, char *argv[]) { printf( "Hello\n" ); return 0; }
strace ./a.out
輸出如下:
execve("./a.out", ["./a.out"], [/* 40 vars */]) = 0 brk(0) = 0x19d1000 access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory) mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f4afc109000 access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory) ...
看到了系統調用的系統調用及其返回值。
ptrace的實現原理
#include <stdio.h> #include <stdlib.h> #include <sys/ptrace.h> #include <sys/wait.h> #include <sys/types.h> #include <sys/reg.h> #include <unistd.h> #include <errno.h> #if defined(__x86_64__) #define xxxx ORIG_RAX*8 #else #define xxxx ORIG_EAX*4 #endif int main(int argc, char *argv[]) { pid_t pid; int val; long syscallID; int flag = 0; long returnValue; switch(pid = fork()) { case -1: return -1; case 0: //子進程 ptrace(PTRACE_TRACEME,0,NULL,NULL); execl("./a.out", "a.out", NULL); default: //父進程 wait(&val); //等待並記錄execve if(WIFEXITED(val)) return 0; syscallID=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL); if( -1 == syscallID ) { perror( "failure to ptrace\n" ); exit( -1 ); } printf( "Process executed system call ID = %ld\n",syscallID ); ptrace(PTRACE_SYSCALL,pid,NULL,NULL); while(1) { wait(&val); //等待信號 if(WIFEXITED(val)) //判斷子進程是否退出 return 0; if(flag==0) //第一次(進入系統調用),獲取系統調用的參數 { syscallID=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL); printf("Process executed system call ID = %ld",syscallID); flag=1; } else //第二次(退出系統調用),獲取系統調用的返回值 { returnValue=ptrace(PTRACE_PEEKUSER, pid, xxxx, NULL); printf(" with return value= %ld\n", returnValue); flag=0; } ptrace(PTRACE_SYSCALL,pid,NULL,NULL); } } return 0; }
輸出
Process executed system call ID = 59 Process executed system call ID = 12 with return value= 29790208 Process executed system call ID = 21 with return value= -2 Process executed system call ID = 9 with return value= 139683073826816 Process executed system call ID = 21 with return value= -2 Process executed system call ID = 2 with return value= -2 ...
其中,59號系統調用就是execve,12號是brk,9是mmap2,21是access,2是open…經過比對可以發現,和strace的 輸出結果一樣。當然strace進行了更詳盡和完善的處理,我們這裏只是揭示其原理,感興趣的同學可以去研究一下strace的實現。(X64和x32系統調用號可能不一樣,我的是x64)
1.5 FAQ
- 在系統調用執行的時候,會執行pushl %eax # 保存系統調用號ORIGRAX在程序用戶棧中。x64和x32的區別可以看這裏和sys/reg.h。
- 在系統調用返回的時候,會執行movl %eax,RAX(%esp)將系統調用的返回值放入寄存器%eax中。
- WIFEXITED()宏用來判斷子進程是否爲正常退出的,如果是,它會返回一個非零值。
- 被跟蹤的程序在進入或者退出某次系統調用的時候都會觸發一個SIGTRAP信號,而被父進程捕獲。(有一次寫的程序,strace的時候就被信號中斷)
- execve()系統調用執行成功的時候並沒有返回值,因爲它開始執行一段新的程序,並沒有"返回"的概念。失敗的時候會返回-1。
- 在父進程進行進行操作的時候,用ps查看,可以看到子進程的狀態爲T,表示子進程處於TASKTRACED狀態。當然爲了更具操作性,你可以在父進程中加入sleep()。
Date: 2012-05-10 10:20:56 CST
HTML generated by org-mode 6.33x in emacs 23