ptrace

1. ptrace 函数简介 Ptrace是一个系统调用，它提供了一种方法来让‘父’进程可以观察和控制其它进程的执行，检查和改变其核心映像以及寄存器。 主要用来实现断点调试和系统调用跟踪。利用ptrace函数，不仅可以劫持另一个进程的调用，修改系统函数调用和改变返回值，而且可以向另一个函数注入代码，修改eip，进入自己的逻辑。这个函数广泛用于调试和信号跟踪工具。 ptrace使用场景： 由于ptrace可以跟踪运行进程并修改寄存器与内存，因此可以用于以下用途。 黑客利用该特性进行代码注入。 不退出进程，进行在线升级。 开发追踪调试工具。 函数定义 #include <sys/ptrace.h> long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); 函数参数解释 request：请求执行的行为，可能选择有 PTRACE_TRACEME //指示父进程跟踪某个子进程的执行。任何传给子进程的信号将导致其停止执行，同时父进程调用wait()时会得到通告。之后，子进程调用exec()时，核心会给它传送SIGTRAP信号，在新程序开始执行前，给予父进程控制的机会。pid, addr, 和 data参数被忽略。 PTRACE_PEEKTEXT, PTRACE_PEEKDATA /

相信很多人对"Hook"都不会陌生,其中文翻译为"钩子".在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口. 比如,我们想要提供一段代码来分析程序中某段逻辑路径被执行的频率,或者想要在其中 插入更多功能时就会用到钩子. 钩子都是以固定的目的提供给用户的,并且一般都有文档说明. 通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结果, 甚至可以中止一个当前运行中的进程并且将控制权转移到自己手上. 基本概念 操作系统通过一系列称为系统调用的方法来提供各种服务.他们提供了标准的API来访问下面的 硬件设备和底层服务,比如文件系统. 以32位系统为例,当进程运行系统调用前,会先把系统调用号放到寄存器 %eax 中,并且将该系统调用的参数依次放入寄存器 %ebx, %ecx, %edx 以及 %esi 和 %edi 中. 以write系统调用为例: write(2, "Hello", 5); 在32位系统中会转换成: movl $1, %eax movl $2, %ebx movl $hello,%ecx movl $5, %edx int $0x80 其中 1 为write的系统调用号, 所有的系统调用号码定义在 unistd.h 文件中. $hello表示字符串 "Hello"的地址;

交叉编译gdb和gdbserver 1、下载gdb： 下载地址为： http://ftp.gnu.org/gnu/gdb/ 按照一般的想法，最新版本越好，因此下载7.2这个版本。当然，凡事无绝对。 我们以gdb-7.2.tar.bz2 这个文件为例。 2、解压缩： $ tar jxvf gdb-7.2.tar.bz2 注：小技巧：Linux下一般压缩文件后缀为.tar.bz2和.tar.gz，它们解压命令有两三个选项是一致的： xf（v），前者再加上j选项，后者再加上z选项。 3、进入该目录 $ cd gdb-7.2/ 4、配置 $./configure --target=arm-linux --program-prefix=arm-linux- --prefix=/usr/local/arm-gdb 注 ：--target=arm-linux 意思是说目标平台是运行于ARM体系结构的linux内核 ；--program-prefix=arm-linux- 是指生成的可执行文件的前缀，比如arm-linux-gdb ，--prefix 是指生成的可执行文件安装在哪个目录，这个目录需要根据实际情况作选择。如果该目录不存在，会自动创建，当然，权限足够的话。 5、编译、安装 $ make $ make install 幸运的话，会在--prefix指定的目录下生成三个子目录：bin