对ptrace运行机制的理解

掌握系统中程序执行过程对安全员来说是非常重要的。本人小白,在观摩过许多大佬的文章后,对ptrace运行机制有了一些自己的理解,结合CTF比赛相关知识,想谈谈自己的看法,不足之处欢迎指正!

详细参考:(15条消息) ptrace运行原理及使用详解_忧郁的废物_Addy的博客-CSDN博客_ptrace

一、ptrace的整体概念

ptrace是一种系统函数,可以实现父进程对子进程的一系列操作,比如查看寄存器值,修改数据段等。

函数包含四个参数

long ptrace(enum __ptrace_request request,
            pid_t pid,
            void *addr,
            void *data);

其中第一个参数标记了想要ptrace()实现的功能和其他参数的使用方法

二、ptrace有哪些功能

基本功能主要指实现父进程对子进程的一系列操作(通过ptrace()第一个参数设置),比如读取子进程的寄存器值,单步运行等;高级功能需要更复杂的编码实现,比如设置断点,附着进程等。

形象来说,当一个进程调用ptrace()函数后,子进程被操作内核标记为被跟踪(阻塞状态),同时所有发送给子进程的信息被转发给父进程,操作系统执行trace()系统调用。

trace()系统调用过程为:

系统中止子进程(CPU在同一时间只能调用一个子进程),并由子进程向父进程发送一个信号,说明自己已暂停,父进程做完相关操作后,就执行ptrace()函数,进行查询或修改等操作,完成后子进程继续运行。

三、ptrace在CTF比赛中有哪些相关之处

明显相关的就是栈溢出中的syscall了,比如execve()调用。

gdb调试中的下断点,单步运行,包括许多调试操作,都与ptrace()有很大关系。

最后的话:

还有很多其他的应用,包括ptrace()的具体实现原理,多种功能具体实现,都有待后续学习

ps:写博客真的是一个很好的笔记方式。

你可能感兴趣的:(系统架构)