对ptrace运行机制的理解

掌握系统中程序执行过程对安全员来说是非常重要的。本人小白，在观摩过许多大佬的文章后，对ptrace运行机制有了一些自己的理解，结合CTF比赛相关知识，想谈谈自己的看法，不足之处欢迎指正！

详细参考：(15条消息) ptrace运行原理及使用详解_忧郁的废物_Addy的博客-CSDN博客_ptrace

一、ptrace的整体概念

ptrace是一种系统函数，可以实现父进程对子进程的一系列操作，比如查看寄存器值，修改数据段等。

函数包含四个参数

long ptrace(enum __ptrace_request request,
            pid_t pid,
            void *addr,
            void *data);

其中第一个参数标记了想要ptrace()实现的功能和其他参数的使用方法

二、ptrace有哪些功能

基本功能主要指实现父进程对子进程的一系列操作（通过ptrace()第一个参数设置），比如读取子进程的寄存器值，单步运行等；高级功能需要更复杂的编码实现，比如设置断点，附着进程等。

形象来说，当一个进程调用ptrace()函数后，子进程被操作内核标记为被跟踪（阻塞状态），同时所有发送给子进程的信息被转发给父进程，操作系统执行trace()系统调用。

trace()系统调用过程为：

系统中止子进程（CPU在同一时间只能调用一个子进程），并由子进程向父进程发送一个信号，说明自己已暂停，父进程做完相关操作后，就执行ptrace()函数，进行查询或修改等操作，完成后子进程继续运行。

三、ptrace在CTF比赛中有哪些相关之处

明显相关的就是栈溢出中的syscall了，比如execve()调用。

gdb调试中的下断点，单步运行，包括许多调试操作，都与ptrace()有很大关系。

最后的话:

还有很多其他的应用，包括ptrace()的具体实现原理，多种功能具体实现，都有待后续学习

ps:写博客真的是一个很好的笔记方式。