开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何使用ptrace(2)来改变syscall的行为？我的例子不起作用，为什么？

ptrace(2)是一个系统调用，用于跟踪和控制其他进程的执行。它可以用于改变syscall的行为，但需要特定的权限和正确的使用方法。

要使用ptrace(2)来改变syscall的行为，可以按照以下步骤进行：

引入头文件：#include <sys/ptrace.h>
使用ptrace(PTRACE_TRACEME, 0, NULL, NULL)来启用跟踪当前进程。这将使当前进程成为被跟踪进程。
使用ptrace(PTRACE_PEEKUSER, pid, offset, NULL)和ptrace(PTRACE_POKEUSER, pid, offset, data)来读取和修改被跟踪进程的寄存器值。syscall号通常存储在寄存器中。
使用ptrace(PTRACE_SYSCALL, pid, NULL, NULL)来让被跟踪进程执行下一个syscall。
使用ptrace(PTRACE_GETREGS, pid, NULL, &regs)来获取被跟踪进程的寄存器状态。
修改寄存器中的syscall号，然后使用ptrace(PTRACE_SETREGS, pid, NULL, &regs)来设置被跟踪进程的寄存器状态。
使用ptrace(PTRACE_CONT, pid, NULL, NULL)来继续执行被跟踪进程。

以上是使用ptrace(2)来改变syscall行为的基本步骤。但是，如果你的例子不起作用，可能有以下几个原因：

权限问题：使用ptrace(2)需要特定的权限，通常需要以root用户或具有相应权限的用户身份运行。
被跟踪进程已经被其他进程跟踪：如果被跟踪进程已经被其他进程使用ptrace(2)跟踪，那么你将无法再使用ptrace(2)来改变其行为。
错误的使用方法：ptrace(2)是一个强大而复杂的系统调用，需要正确的使用方法。可能是你在使用过程中出现了错误，导致例子不起作用。
系统限制：某些系统可能对ptrace(2)的使用有限制，例如限制跟踪特定进程或特定类型的进程。

如果你的例子不起作用，建议检查以上可能的原因，并确保你具有足够的权限和正确的使用方法。如果问题仍然存在，可以提供更多的细节和代码示例，以便更好地帮助你解决问题。

相关搜索:为什么unity使用OnTriggerEnter()来停用我的画布？在Untiy2d中使用碰撞器激活文本为什么我的入队不能运行？以及如何使用改进2从数据库中检索微调数据如何使用clip-path CSS属性来截取HTML节点的屏幕截图？(html2canvas对此不起作用)如何使用js选择器选择'::cue‘元素并更改它？我正在尝试创建一个按钮来改变字幕的不透明度如何在AngularJS 1.x的Angular材质中使用我自己的调色板来获取ng-disabled的默认行为？如何在R中使用ggplot2()包来改变y轴的范围？如何将一个简单的树视图下载到pdf中，因为我没有任何one2many字段可以使用foreach标记来循环遍历如何影响makefile变量中的PATH？为什么我的例子不起作用？如何避免在我的例子中使用2个状态变量？如果我使用log4j2，如何通过更改应用程序属性中的任何属性来更改spring boot项目(在生产环境中)中的日志级别

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Linux Hook 笔记

通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结果, 甚至可以中止一个当前运行中的进程并且将控制权转移到自己手上....并且用syscall指令而不是80中断来进行系统调用. 相同之处是都用寄存器%rax来保存调用号和返回值....void *addr, void *data); 其中第一个参数决定了ptrace的行为以及其他参数的含义, request的值可以是下列值中的一个: PTRACE_TRACEME...在系统调用追踪中, 常见的流程如下图所示: ptrace 读取系统调用参数系统调用的参数按顺序存放在rbx,rcx…之中,因此以write系统调用为例看如何读取寄存器的值: #include <sys...追踪其他程序的进程上面举的例子都是追踪并修改声明了PTRACE_TRACEME的子进程的,那么我们能否追踪其他独立的正在运行的进程呢?

2.7K6 0

反弹shell-逃逸基于execve的命令监控(上)

方法2: glibc/libc是对linux系统调用(syscall)的封装，我们使用它是为了简化对系统调用的使用，其实我们可以不用它，直接使用汇编 sysenter/int 0x80指令调用execve...方法很简单，就是不使用execve系统调用。(不是废话) 大家想想为什么会有反弹shell? 为什么要弹shell?...其实是我们想借用linux中自带的系统命令来达到我们的目的，尤其是在linux中以系统命令操作为主。以 ls 命令为例子，功能是查看目录中有哪些文件，假如我们不想使用ls命令，那我们有什么办法呢？...2.混淆进程参数使用的是linux中另一个syscall: ptrace。...其实我的需求很简单：我既想要linux命令原有的功能，又不想用execve syscall的方式启动。想了想，怎么办呢？暂时不写了，删了一次，有点敏感，还望见谅 ?

3K2 0

如何利用Ptrace拦截和模拟Linux系统调用

这里的“拦截”我指的是tracer能够改变系统调用参数，改变系统调用的返回值，甚至屏蔽特定的系统调用。...在这篇文章中，我将主要讨论x86-64架构下的Linux Ptrace，并且我还会使用到一些特定的Linux扩展。除此之外，我可能会忽略错误检查，但最终发布的完整源码将会解决这些问题。..., 0, 0, 0); execvp(argv[1], argv + 1); FATAL("%s", strerror(errno)); } 父进程将使用wait(2)来等待子进程的...打印系统调用的返回值。 PTRACE_SYSCALL请求可以完成等待下一个系统调用以及等待系统调用结束这两个任务，跟之前一样，这里也需要使用wait(2)来等待tracee进入特定状态。...读取寄存器还需要其他的Ptrace调用，但这里就不需要wait(2)了，因为tracee并不会改变状态。

1.8K7 0

无命令反弹shell-逃逸基于execve的命令监控(上)

喜欢的话，请大家一定点在看，并分享出去，算是对我原创最大的支持了。如何想看新方法，直接到最后。...方法2: glibc/libc是对linux系统调用(syscall)的封装，我们使用它是为了简化对系统调用的使用，其实我们可以不用它，直接使用汇编 sysenter/int 0x80指令调用execve...其实是我们想借用linux中自带的系统命令来达到我们的目的，尤其是在linux中以系统命令操作为主。以 ls 命令为例子，功能是查看目录中有哪些文件，假如我们不想使用ls命令，那我们有什么办法呢？...2.混淆进程参数使用的是linux中另一个syscall: ptrace。...其实我的需求很简单：我既想要linux命令原有的功能，又不想用execve syscall的方式启动。想了想，为什么不能将linux 命令直接当成shellcode来执行呢？

1.5K2 0

linux的so注入与热更新原理

, void *data); 通过设置request的值，来实现具体的操作，本文用到的大部分如下： PTRACE_ATTACH：关联上目标进程 PTRACE_GETREGS：读目标进程寄存器 PTRACE_SETREGS...用户函数调用前面说到，我们希望让目标进程调用dlopen(target.so)，来实现target.so的注入。抽象出来，就是如何让目标进程调用一个用户函数（即，非系统调用的函数）。...解决方法是调用一下系统调用mmap来申请内存，抽象一下，就是如何让目标进程调用系统调用系统调用系统调用比较简单，查阅相关资料，系统调用的寄存器及含义如下： rdi：参数1 rsi：参数2 rdx：参数...都准备好，让目标进程执行一个syscall指令就开始调用了。剩下的问题就是rip怎么处理？以及如何拿到返回值？函数执行我们期望函数能够跑某段机器码，即设置一个rip。...在数组里写入一个syscall指令 [0x0f, 0x05] 函数返回值当目标进程执行完syscall后，如何断住，能让本进程拿到返回值，比较简单，直接在前面的code空间里，写入int3断点指令，再填满无用指令

10.9K5 0

自己动手写一个 strace

ptrace系统调用要自己动手写 strace 的第一步就是了解 ptrace() 系统调用的使用，我们来看看 ptrace() 系统调用的定义： int ptrace(long request, long...ptrace() 系统调用也提供了两种 request 来实现上面两种方式：第一种通过 PTRACE_TRACEME 来实现第二种通过 PTRACE_ATTACH 来实现本文我们主要介绍使用第一种方式...由于第一种方式使用跟踪程序来启动被跟踪的程序，所以需要启动两个进程。通常要创建新进程可以使用 fork() 系统调用，所以自然而然地我们也使用 fork() 系统调用。...由于本文介绍怎么跟踪进程调用了哪些系统调用，所以我们需要使用 ptrace() 的 PTRACE_SYSCALL 命令，代码如下： #include #include <..., 那么终止跟踪 break; } } } return 0; } 上面例子添加了一个函数 find_syscall_symbol

4912 0

吃土记之GDB调试原理

老王：gdb调试呀小王：gdb 为什么可以非侵入调试进程呀。老王：这个我没想过。。。平时不考虑这个问题 gdb基本上大家都在用，你有没有想过它的实现原理是什么？...为什么它可以控制程序执行、中断、访问内存甚至直接使程序流程改变？在使用gdb调试程序时，程序的进程状态是”T”，但又似乎并非接到了SIGSTOP信号，那么这个”T”是什么呢？...如果您正在考虑使用复杂的内核编程来完成任务， PTRACE_TRACEME 请三思。Linux 提供了一种优雅的机制来实现所有这些功能: ptrace (进程跟踪)系统调用。...gdb主要功能的实现依赖于一个系统函数ptrace，通过man手册可以了解到， ptrace可以让父进程观察和控制其子进程的检查、执行，改变其寄存器和内存的内容，可以使程序员在程序运行的时候观察程序在内存...,%ecx movl $5, %edx int $0x80 例子 demo :使用PTRACE_ME实现父进程跟踪子进程 root@money:~/code/c++/temo# cat ptrace.c

1K2 0

Linux ptrace 的实现

比如 strace 和 gdb 都是基于 ptrace 实现的，strace 可以显示进程调用了哪些系统调用，gdb 可以实现对进程的调试。本文介绍这些工具的底层 ptrace 是如何实现的。...2. 通过 ptrace attach 到指定的 pid 完成对进程的调试（控制）。首先看一下第一种的实现。...1.2 方式2 除了开始时通过 ptrace 设置进程调试，也可以通过 ptrace 动态设置调试进程的能力，具体是通过 PTRACE_ATTACH 命令实现的。...2 跟踪系统调用 ptrace 处理追踪进程执行过程之外，还可以实现跟踪系统调用。具体是通过 PTRACE_SYSCALL 命令实现。...下面是一个追踪进程所有系统调用的例子。

1.5K2 0

linux的so注入与热更新原理 | 直播回顾

, void *data); 通过设置request的值，来实现具体的操作，本文用到的大部分如下： PTRACE_ATTACH：关联上目标进程 PTRACE_GETREGS：读目标进程寄存器 PTRACE_SETREGS...用户函数调用前面说到，我们希望让目标进程调用dlopen(target.so)，来实现target.so的注入。抽象出来，就是如何让目标进程调用一个用户函数（即，非系统调用的函数）。那么如何调用？...解决方法是调用一下系统调用mmap来申请内存，抽象一下，就是如何让目标进程调用系统调用系统调用系统调用比较简单，查阅相关资料，系统调用的寄存器及含义如下： rdi：参数1 rsi：参数2 rdx：参数...都准备好，让目标进程执行一个syscall指令就开始调用了。剩下的问题就是rip怎么处理？以及如何拿到返回值？函数执行我们期望函数能够跑某段机器码，即设置一个rip。...在数组里写入一个syscall指令 [0x0f, 0x05] 函数返回值当目标进程执行完syscall后，如何断住，能让本进程拿到返回值，比较简单，直接在前面的code空间里，写入int3断点指令，再填满无用指令

1.4K1 0

深入Android源码系列（二） HOOK技术大作战

，然后演示下如何使用它,里面用到的哪些技术函数。...01 演示如何hook本进程的某个方法,具体的demo演示为：这里用到的方法为（关于编译，直接给出我这边的项目，自己去下载编译吧，需要配置ndk即可） registerInlineHook 参数为：...processThreadPC 处理代码 PTRACE_GETREGS PTRACE_SETREGS 两个参数，来实现修改寄存器。...intercept_syscall 实现修改syscall 这里具体为： get_syscall_number 从寄存器里面拿到syscall num 具体是 ptrace(PTRACE_GETREGS...syscall 04 第二个例子，hook 具体的某个方法（这里它demo演示的比较随意，并且有些小问题，我们讲下原理即可）我们向远程进程注入代码的时候,根本的实现方法是使用poke_data

1.3K5 0

linux-沙盒入门，ptrace从0到1

，为什么还要dynsym表？...或者直接使用strings字符搜索 ? 反转（防）：因为我们上一个使用了字符串，字符串是一个常量，常量不可以改变修改，且无法隐藏，那如果我们把ptrace定义为字符数组勒？...绕过简单的ptrace 上面谈论到ptrace在隐藏的过程中的攻防博弈，并没有说如何绕过ptrace，接下来我们讲如何绕过ptrace一些手段。...\n"); return 0; } 我这里编译为64位通过函数的返回值是否为-1来判断，是否正在被调试，如果我们直接修改ptrace的返回值，就可以绕过判断，ptrace函数执行之后的返回值将会保存在...3.使用LD_PRELOAD来劫持ptrace函数的调用这里只针对那些动态链接共享库的程序，局限性很大，通过创键本地自定义的伪造库，使用LD_PRELOAD来劫持ptrace调用库为我们自定义的伪造库

3.7K3 0

Chaos Mesh® 技术内幕 | 如何注入 IO 故障？

很多项目都这么叫，但是这种称呼将实现给隐藏了，也没省太多字，我不是很喜欢）。接下来我们将展示如何不使用 Mutating Webhook 来达到以上目的。...该如何恢复？毕竟在有文件被打开的情况下是无法 umount 的。后文将用同一个手段解决这两个问题：使用 ptrace 的方法在运行时替换已经打开的 fd。...系统调用，以相同的 OFlags 打开 /var/run/test/a，假设 fd 为 2；使用 lseek 改变新打开的 fd 2 的 seek 位置；使用 dup2(2, 1) 用新打开的 fd...使用 ptrace 让目标进程运行替换 fd 的程序那么只要结合“使用 ptrace 能够让 tracee 运行任意二进制程序”的知识和“使用dup2替换自己已经打开的fd”的方法，就能够让 tracee...然后用 ptrace 让目标进程运行这段程序，就完成了在运行时对 fd 的替换。读者可以稍稍思考如何使用类似的方式来改换 cwd，替换 mmap 呢？它们的流程完全是类似的。

1.2K0 0

一种Linux下ptrace隐藏注入shellcode技术和防御方法

【图1 ptrace控制流程】 1) tracer调用PTRACE_ATTACH功能关联指定的tracee，向tracee发送SIGSTOP信号，并调用waitpid等待tracee状态改变； 2) 当...tracee状态变成STOP，waitpid返回； 3) tracer调用PTRACE_SYSCALL功能让tracee进入单步执行状态，并调用waitpid等待tracee状态改变； 4) 重复步骤2...三、技术达成隐藏注入shellcode的目标需要解决三个问题： 1) shellcode存放在哪里？ 2) 如何执行shellcode？ 3) 如何不被轻易发现正在运行的shellcode？...1：一个进程只能对下属的子进程或线程使用PTRACE_ATTACH功能。 2：只有拥有CAP_SYS_PTRACE权限的进程能够对其它进程使用PTRACE_ATTACH功能。...3：任何进程均不能使用PTRACE_ATTACH或PTRACE_TRACEME功能，并且参数ptrace_scope取值不能改变。

1.2K2 0

分歧还是共存？详解Android内核安全

二、生成内核配置对于具有极简defconfig的设备，您可以使用以下命令来启用选项,生成一个.config文件，使用该文件来保存新的defconfig或编译一个启用Android功能的新内核：.../exit() （arm64：审计：在 syscall_trace_enter/exit() 中添加审计钩），作者：JP Abgrall 4．9499cd2 syscall_get_arch: remove...ARM：8087/1：ptrace：在 secure_computing() 检查后重新加载系统调用号），作者：Will Deacon 18．abbfed9 arm64: ptrace: add PTRACE_SET_SYSCALL...（arm64：ptrace：添加 PTRACE_SET_SYSCALL），作者：AKASHI Takahiro 19．feb2843 arm64: ptrace: allow tracer to...大多数漏洞被攻击者所利用，他们会改变应用的正常控制流，获取遭利用的应用的所有权限来执行任意恶意活动。

1.4K3 0

iOS小技能：attribute的应用

I __attribute__的应用案例 1.1 代码注入 ARM (通过汇编调用svc实现用户态到内核态的转换) // 使用inline方式将函数在调用处强制展开，防止被hook和追踪符号 static...__((nonnull (1, 2))); 1.5 确保线程在应用整个生命周期内都能一直运行 AFNetworking 在网络请求线程的入口使用 noreturn 属性,用于网络请求的 NSThread...3.1 syscall syscall是通过软中断来实现从用户态到内核态,syscall (26,31,0,0)来调用系统函数ptrace(PT_DENY_ATTACH, 0, 0, 0);。...ptrace的系统调用函数号是26，31是PT_DENY_ATTACH(用于告诉系统阻止调试器的依附)。int syscall(int, ...).../blog.csdn.net/z929118967/article/details/84612698 运行时期，断点ptrace，直接返回分析如何调用的ptrace，hook ptrace 通过tweak

3122 0

df 和 ls 命令执行夯主

,但是 ls 其他目录的时候就没有事情 2，df 查看文件挂载的时候也卡住， 3，我什么都没干啊，就做了一个 ISCSI 其实他说第二点问题的时候我就已经猜到问题所在了，那不就是远程挂载的磁盘非正常的掉了...但是他说 ISCSI 这个玩意的时候我不知道是啥，于是查了一下，有兴趣的同学可以看看这是：https://zhuanlan.zhihu.com/p/60986068，看的出来他是一个网络存储，那么就更加坚定我的想法了...找到是哪个挂载点失效了我们可以使用此命令来查找挂载点哪个地方失效了。.../post/linux-ptrace-api-introduce.html 使用 strace 最简单的 strace 命令的用法就是： strace PROG；PROG 就是要执行的程序(linux...通过PTRACE_SYSCALL让子进程继续运行，由于这个请求会让子进程在系统调用的入口处和系统调用完成时都会停止并通知父进程，这样，父进程就可以在系统调用开始之前获得参数，结束之后获得返回值。

2K1 0

AgentSmith-HIDS：一套轻量级高性能的基于主机的入侵检测系统

但是它可以作为一个高性能的主机信息收集工具来帮助安全研究人员构建属于自己的HIDS。...而AgentSmit-HIDS的优秀特性（从内核态获取尽可能完整的数据）在跟用户态的HIDS相比，拥有巨大的优势： 1、性能更优秀：通过内核态驱动来获取相关信息，无需进行类似“遍历/proc”这样的操作来提升性能或进行数据补全...；数据的传输使用的是共享内存，相对来说也有更好的性能表现。...2、更加难以躲避和绕过：由于我们的信息获取来自于内核态驱动，因此面对很恶意行为都无法绕过AgentSmith-HIDS的检测。...AgentSmith-HIDS实现了以下几个主要功能： 1、内核栈模块通过Kprobe针对 execve、通信连接、进程注入、文件创建、DNS查询和LKM加载等行为设置了钩子，并且通过兼容Linux命名空间来对容器环境进行监控

2.2K3 0

GDB原理之ptrace实现原理

本文不是介绍 GDB 的使用方式，而是大概介绍 GDB 的实现原理，当然 GDB 是一个庞大而复杂的项目，不可能只通过一篇文章就能解释清楚，所以本文主要是介绍 GDB 使用的核心的技术 - ptrace...ptrace() 系统调用详细的介绍可以参考以下链接：https://man7.org/linux/man-pages/man2/ptrace.2.html ptrace使用示例下面通过一个简单例子来说明...ptrace() 系统调用的使用，这个例子主要介绍怎么使用 ptrace() 系统调用获取当前被调试（追踪）进程的各个寄存器的值，代码如下（ptrace.c）： #include <sys/ptrace.h...从上面的例子可以知道，通过向 ptrace() 函数的 request 参数传入不同的值时，就有不同的效果。...本来我想使用 ptrace 实现一个简单的调试工具，但在网上找到了一位 Google 的大神 Eli Bendersky 写了类似的系列文章，所以我就不再重复工作了，在这里贴一下文章的链接： https

4.2K2 0

为什么 strace 在 Docker 中不起作用？

在编辑“容器如何工作”爱好者杂志的能力页面时，我想试着解释一下为什么 strace 在 Docker 容器中无法工作。...这个问题很容易解决 —— 在我的机器上，是这样解决的： docker run --cap-add=SYS_PTRACE -it ubuntu:18.04 /bin/bash 但我对如何修复它不感兴趣，...为什么？！假设 2：关于用户命名空间的事情？我的下一个（没有那么充分的依据的）假设是“嗯，也许这个过程是在不同的用户命名空间里，而 strace 不能工作，因为某种原因而行不通？”...假设 3：ptrace 系统的调用被 seccomp-bpf 规则阻止了我也知道 Docker 使用 seccomp-bpf 来阻止容器进程运行许多系统调用。...这是个有趣的小事情，我认为这是一个很好的例子，说明了容器是由许多移动的部件组成的，它们以不完全显而易见的方式一起工作。

6.3K3 0

AndroidLinux Root 的那些事儿

为什么这么说呢？...UID 的权限； CAP_SYS_PTRACE: 使用 ptrace 跟踪任意其他进程的能力； …....SELinux 规则； … 使用 MLS 提供的 SELinux Policy 语法，我们可以定义非常细粒度的访问控制，比如根据应用属性甚至签名来控制IPC访问。...，使用 BPF 程序指定过滤规则，不过相应的使用方式也比较复杂 —— 即便头文件中提供了一些辅助宏来方便编写 filter。...总结 Linux 的权限控制策略随着时间发展一直在不断进步，其中作为应用大户的 Android 正激进地使用 Linux 中的安全特性来保障用户应用和系统安全。

8675 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭