c - ptrace 选项根本不起作用-6ren

c - ptrace 选项根本不起作用

转载作者：塔克拉玛干更新时间：2023-11-03 01:35:07

25

4

当我附加到另一个进程时，我无法跟踪 fork/exec 事件，从 waitpid 返回的 status 始终为零(在右移 16 次之后)。

我已经成功附加到 bash shell，但是无论我运行什么命令，状态始终为零，所以我没有捕捉到任何 fork 或 exec 事件:

#define PALL PTRACE_O_TRACEFORK | PTRACE_O_TRACEVFORK | PTRACE_O_TRACECLONE \
    | PTRACE_O_TRACEEXEC | PTRACE_O_TRACEVFORKDONE | PTRACE_O_TRACEEXIT

int main(int argc, char **argv)
{ 
    pid_t child = 0;
    int status = 0;

    if (argc != 2) { ... }
    child = atoi (argv[1]);
    if (ptrace (PTRACE_ATTACH, child, 0, 0) < 0) { ... }

    ptrace(PTRACE_SETOPTIONS, child, NULL, PALL);
    ptrace(PTRACE_SYSCALL, child, NULL, NULL);
    ptrace(PTRACE_CONT, child, NULL, NULL);

    while(1) {
        waitpid(child, &status, 0);
        if(WIFEXITED(status))
            break;

        status >>= 16;
        if (status != 0)
            printf ("Status: %d\n", status >> 16);

        ptrace(PTRACE_SYSCALL, child, NULL, NULL);
    }

    ptrace(PTRACE_DETACH, child, NULL, NULL);
    return 0;
}

最佳答案

the status returned from waitpid was always zero (after right shift of 16 times).

您通过先执行 status >>= 16 然后 printf (..., status >> 16) 将 status 位移动了 32 次而不是 16 次; 所以总是打印 0。还有一些不太明显的缺陷:

为了完整起见，我们应该处理案例 WIFSIGNALED .
我们应该向 child 传递信号；它可能需要它们才能正常运行。
由于我们还要跟踪 child 的 child ，所以我们也必须等待并处理它们。

PTRACE_CONT

PTRACE_SYSCALL 没有意义。
如果 PTRACE_ATTACH 尚未完成，PTRACE_SETOPTIONS 可能会失败，因此我们必须等待。

考虑到所有这些，程序可能看起来像

#include <stdio.h>
#include <sys/wait.h>
#include <sys/ptrace.h>
#define PALL PTRACE_O_TRACEFORK | PTRACE_O_TRACEVFORK | PTRACE_O_TRACECLONE \
           | PTRACE_O_TRACEEXEC | PTRACE_O_TRACEVFORKDONE | PTRACE_O_TRACEEXIT
int main(int argc, char **argv)
{ 
    pid_t child, pid;
    int status;
    if (argc != 2) { return 2; }
    child = atoi(argv[1]);
    if (ptrace(PTRACE_ATTACH, child, 0, 0) < 0) { return 1; }
    wait(NULL); // PTRACE_SETOPTIONS may work only after this
    ptrace(PTRACE_SETOPTIONS, child, NULL, PALL);
    ptrace(PTRACE_CONT, child, NULL, NULL);
    while (pid = wait(&status), pid > 0)
    {
        if (WIFEXITED(status) || WIFSIGNALED(status))
        {
            if (pid == child) break;
            printf("grandchild %d exited\n", pid);
            continue;
        }
        if (status>>16)
            printf("[%d] Status: %x\n", pid, status);
        int signal = WSTOPSIG(status);
        if (signal == SIGTRAP)
        {   // system call or ptrace event
            signal = 0;
            if (status>>16)
                printf("ptrace event: %d\n", status>>16);
        }
        ptrace(PTRACE_CONT, pid, 0, signal);
    }
    ptrace(PTRACE_DETACH, child, NULL, NULL);
    return 0;
}

关于c - ptrace 选项根本不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/20579656/

25

4

0

文章推荐： c++ - 测试 C++98 字符串是否为科学计数法的数字

文章推荐： linux - 树莓派 : Unable to set my RPI as a router

文章推荐： linux - 安装 mclust R 包

文章推荐： linux - Linux守护进程的正确行为

scala - 选项[ future [选项[Int]]] => future [选项[Int]]
给定一个 Option[Future[Option[Int]]] : scala> val x: Option[Future[Option[Int]]] = Some ( Future ( Some
scala - EitherT[选项，A，B] ===选项[Either[A，B]]
如果我理解正确，EitherT[Option,A,B] 应该与 Option[Either[A,B]] 相同，但编译器不同意.以下代码编译失败: def f[A,B] = implicitly[Eit
npm - 这个错误是什么意思？有 `useBuiltIns` 选项，需要直接设置 `corejs` 选项
我刚开始在使用 parcel.js 构建静态 Assets 时遇到此错误。它在本地工作，但我在 Heroku 上的构建出错，我不确定它是否相关。最佳答案得到同样的问题。通过将 core-js 安装
c# - Telerik 报告只有 PDF 选项，没有 Excel 和 Word 选项
当我生成 Telerik Report 时，只有 Export PDF 可用。即使我将 docx 和 xlsx 的配置设置为 true。这是我在网络配置中的配置。
ios - 在 itunesConnect 中，我的应用程序显示 Apple Pay 选项，我正在使用 Braintree。如何摆脱在我的 itunesConnect 中显示 Apple Pay 选项？
我的 iTunesConnect 应用程序显示 Apple Pay 选项。我正在使用布伦特里。即使我们没有在应用程序中使用 Apple Pay 功能。有人可以帮我解决如何在我的 itunesCon
从命令行执行时MySQL输出帮助/选项
我正在 Raspbian 中从命令行运行以下查询: mysql -u $NAME -p $PASS Tweets -e "SELECT count(*) FROM raw_tweets;" 它输出以下
ffmpeg -r 选项
我正在尝试使用 ffmpeg(在 linux 下)为视频添加一个小标题。所以，我使用: ffmpeg -i hk.avi -r 30000/1001 -metadata title="SOF" hk_
用于视频流的 FFMPEG 选项
我正在尝试使用 ffmpeg 使用 ffserver 流式传输视频。您将在 ffserver1.conf 文件下方找到 ffmpeg 命令的日志输出。其中一个错误引用了预设，每次我尝试使用预设时，我
具有折叠操作的 Scala 选项
我正在尝试对 Option 使用 fold 或 map 操作而不是 match。我有一个选项 val ao: Option[String] = xxxx 和一个函数 f: (String => Fu
Dockerfile FROM --platform 选项
Dockerfile documentation表示有可能通过 --platform FROM 中的选项像这样的指令: FROM [--platform=] [AS ] 在我的 dockerfile
jquery - 将数据动态添加到属性/选项
我不确定“属性(property)”或“选项”是否是正确的术语，但这是我需要弄清楚的。鉴于以下情况: ' $.fileup({ url: '/file/upload',
选择 jQuery IF 选项
我正在尝试使用 jQuery 检查是否选择了值 = 1 的选择选项，然后将类添加到某些元素。但有些东西不起作用。可以请人看一下代码吗？我的代码: Reservation
VIM:选项、变量和两者之间的转换
我对 VIM 中的这些感到困惑。有些事情需要设置，而另一些则让。而且，我如何检查某个选项。我知道这是一个选项，因为我使用 set 来更改它。例如，如何检查当前文件类型选项是否为 java？最佳答
javascript - 当用户将鼠标悬停在链接上时想要显示图标/选项
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
F# 选项...它们真的能防止空引用异常吗
我在看《Professional F# 2.0》一书作者展示如下代码 let a string : option = None if a.IsNone then System.Console.
用于检查输入参数的 Java 选项
我习惯使用方法顶部的 java 样板检查输入参数: public static Boolean filesExist(String file1, String file2, String file3
PHP 正则表达式将字符串解释为命令行属性/选项
假设我有一串 "Insert Post -title Some PostTitle -category 2 -date-posted 2013-02:02 10:10:10" 我一直在尝试做的是将这个
KotlinJvmOptions useIR 选项
从 1.3.70 EAP 开始，在 org.jetbrains.kotlin.gradle.dsl.KotlinJvmOptions 这是 var useIR: kotlin.Boolean 哪个激活
Magento - 获取已订购捆绑项目的子项/选项
我无法获取订购捆绑商品的所有子产品及其选项。这可能吗？最佳答案以下是您如何找出哪些产品应与所有其他项目一起附加到列表中的捆绑产品中的方法: foreach ($order->getAllItems
java - 找到类型转换的流程/选项
这个问题不太可能对任何 future 的访客有帮助；它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关，通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用，visit the

首页

博学

6Ren·AI

商城

c - ptrace 选项根本不起作用