代码之家  ›  专栏  ›  技术社区  ›  SailorCire

在ptrace中捕获malloc

ptrace glibc malloc assembly c
  •  1
  • SailorCire  · 技术社区  · 10 年前

    我试图在ptrace内部出现malloc时捕获。

    我已经能够在调用malloc时挂起,所以我应该能够 capture 通过一些定制模块;但是,这是在使用动态库时(-static标志为 使用)。

    有没有一种方法可以让我以通用的方式做到这一点?

    如果我们看下面的集合,我知道我需要捕捉的地方。我只是不知道怎么做: 

      .file "new.c"
  .section  .rodata
.LC0:
  .string "Hello World"
  .text
  .globl  main
  .type main, @function
main:
.LFB2:
  .cfi_startproc
  pushq %rbp
  .cfi_def_cfa_offset 16
  .cfi_offset 6, -16
  movq  %rsp, %rbp
  .cfi_def_cfa_register 6
  subq  $16, %rsp
  movl  $4, %edi
  call  malloc ;<= TRAP HERE
  movq  %rax, -8(%rbp)
  movl  $.LC0, %edi
  call  puts
  movq  -8(%rbp), %rax
  movq  %rax, %rdi
  call  free
  leave
  .cfi_def_cfa 7, 8
  ret
  .cfi_endproc
.LFE2:
  .size main, .-main
  .ident  "GCC: (SUSE Linux) 4.8.1 20130909 [gcc-4_8-branch revision 202388]"
  .section  .note.GNU-stack,"",@progbits

    从…起 ptrace(2) ,

    PTRACE_inlestep

    对于PTRACE_CONT,重新启动已停止的跟踪,但应分别在系统调用的下一个入口或出口处,或在执行单个指令后停止跟踪。(通常,在收到信号后,跟踪也将停止。)`

    所以我很确定我需要这个选项。从 tutorial 我读过书,我能迈出一步;然而,这些输出都没有意义。特别是如果我有某种输出语句。以下是有输出时的简短输出: 

    RIP: 7ff6cc4387c2 Instruction executed: 63158b48c35d5e41
RIP: 7ff6cc4387c4 Instruction executed: 2f0663158b48c35d
RIP: 7ff6cc4387c5 Instruction executed: 2f0663158b48c3
RIP: 400c38 Instruction executed: 7500e87d83e84589
RIP: 400c3b Instruction executed: b93c7500e87d83
RIP: 400c3f Instruction executed: ba00000000b93c75
RIP: 400c41 Instruction executed: ba00000000b9
RIP: 400c46 Instruction executed: be00000000ba
RIP: 400c4b Instruction executed: bf00000000be
RIP: 400c50 Instruction executed: b800000000bf
RIP: 400c55 Instruction executed: fe61e800000000b8
RIP: 400c5a Instruction executed: bafffffe61e8
RIP: 400ac0 Instruction executed: a68002015a225ff
RIP: 400ac6 Instruction executed: ff40e90000000a68
RIP: 400acb Instruction executed: 9a25ffffffff40e9
RIP: 400a10 Instruction executed: 25ff002015f235ff
RIP: 400a16 Instruction executed: 1f0f002015f425ff
RIP: 7ff6ccf6c160 Instruction executed: 2404894838ec8348
RIP: 7ff6ccf6c164 Instruction executed: 244c894824048948
RIP: 7ff6ccf6c168 Instruction executed: 54894808244c8948
RIP: 7ff6ccf6c16d Instruction executed: 7489481024548948
....
Hello world
....

    为什么IP的价值变化如此剧烈?这是因为我现在处于内核模式吗?

    此外,看起来执行的指令的输出没有正确排列(就像它被分割成多行),但这可能只是我试图在没有模式的地方放置一个模式。

    无论如何,这是我正在运行的程序,用于输出: 警告,讨厌的C\C++混合物 

    #include <iostream>
#include <sys/ptrace.h>
#include <unistd.h>
#include <asm/unistd.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/syscall.h>
#include <sys/reg.h>
#include <sys/user.h>

#include <iomanip>

using namespace std;

///for when dealing with different archectures.
#if __WORDSIZE == 64
#define REG(reg) reg.orig_rax
#else
#define REG(reg) reg.orig_eax
#endif

int main()
{
  pid_t child;
  long orig_eax;
  const int long_size = sizeof(long);

  child = fork();

  long ins;
  if(child == 0)
  {
    ptrace(PTRACE_TRACEME, 0, NULL, NULL);
    execl("./dummy", "dummy", NULL);
  }
  else
  {
    ptrace(PTRACE_ATTACH, child, NULL, NULL);
    ptrace(PTRACE_SYSCALL, child, NULL, NULL);
    int status;
    union u {
      long val;
      char chars[long_size];
    }data;
    struct user_regs_struct regs;
    int start = 0;
    long ins;
    while(1)
    {
      wait(&status);
      if(WIFEXITED(status))
        break;
      ptrace(PTRACE_GETREGS,child, NULL, &regs);
      ins = ptrace(PTRACE_PEEKTEXT, child, regs.rip, NULL);
      cout << "RIP: " << hex << regs.rip << " Instruction executed: " << ins << endl;
      ptrace(PTRACE_SINGLESTEP, child, NULL, NULL);
    }
    ptrace(PTRACE_DETACH, child, NULL, NULL);
  }
}

    如果还有其他需要的信息,请告诉我。我知道我有点啰嗦,但如果回答了这个问题,希望它能为下一个试图学习ptrace的人提供足够的信息。

    1 回复  |  直到 10 年前
        1
  •  4
  •   Ross Ridge    10 年前

    没有实用的方法 malloc 这将适用于所有静态链接的可执行文件。为了钩住它,无论用什么方法,你都需要知道它的地址。唯一能做到这一点的方法就是抬头 锦葵属植物 在可执行文件的符号表中,但由于它是静态链接的,因此不能保证它有一个符号表。动态库必须有一个符号表,以便可以动态链接,但由于静态链接的程序是完全链接的,所以不需要符号表。

    也就是说,许多静态链接的可执行文件将具有符号表,因为如果没有符号表,调试几乎不可能。它们占用的额外空间不再是问题。您可以使用 nm 命令检查您可能希望与应用程序一起使用的任何可执行文件,以了解此问题对您的影响。

    假设您有一个带有符号的可执行文件,下一个问题是如何实际读取程序中的符号。ELF格式没有那么简单,因此您可能希望使用类似BFD(来自binutils)或libelf的格式。你也可以使用 纳米 并手动提供解决问题的地址。

    一旦你有了地址 锦葵属植物 然后可以使用 ptrace 通过在函数开始处设置断点。设置断点很简单。只需使用 PTRACE_PEEKTEXT 要读取函数的第一个字节,请将其保存在某个位置,然后使用 PTRACE_POKETEXT 将字节更改为 0xCC ,Intel x86断点指令的操作码( INT 3 ). 然后,当 锦葵属植物 被跟踪的进程将被发送 SIGTRAP 你可以拦截的信号。

    那么你需要做的事情就更复杂了。您需要执行以下一系列步骤:

    1. 读取寄存器和/或堆栈以查找 锦葵属植物 并记录它们。
    2. 使用 PTRACE_POKETEXT 以恢复函数的原始第一字节。
    3. 从堆栈顶部读取返回地址
    4. 在该位置设置断点 锦葵属植物 将返回,保存旧值。
    5. 从程序计数器(EIP/RIP)中减去1(断点指令的大小)。
    6. 继续运行跟踪的进程。下一个 信号捕捉器 你拦截后 锦葵属植物 返回。
    7. 记录数值 锦葵属植物 通过读取返回寄存器(EAX/RAX)返回。
    8. 使用 PTRACE_POKETEXT 删除返回地址处的断点
    9. 使用 PTRACE_POKETEXT 将断点放回 锦葵属植物
    10. 从程序计数器中减去1。
    11. 继续运行跟踪的进程。

    也许有些事情我还没想到,但这是你需要做的事情。

    如果您只想使用自己编译的代码,那么有很多更简单的选项,比如使用glibc内置的对 memory allocation hooks .

    推荐文章
    Ruslan PiotrNycz  ·  有没有什么不可知的方法可以获取SIGTRAP上的指令指针?
    7 年前
    SailorCire  ·  在ptrace中捕获malloc
    10 年前
    Nishant Kumar  ·  PTrace:linux/user.h:没有这样的文件或目录
    11 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号