怎么利用Ptrace攔截和模擬Linux系統(tǒng)調(diào)用

本篇內(nèi)容介紹了“怎么利用Ptrace攔截和模擬Linux系統(tǒng)調(diào)用”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細閱讀，能夠?qū)W有所成！

創(chuàng)新互聯(lián)是一家專業(yè)提供蕪湖縣企業(yè)網(wǎng)站建設(shè),專注與做網(wǎng)站、成都做網(wǎng)站、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為蕪湖縣眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進行中。

寫在前面的話

ptrace(2)這個系統(tǒng)調(diào)用一般都跟調(diào)試離不開關(guān)系，它不僅是類Unix系統(tǒng)中本地調(diào)試器監(jiān)控實現(xiàn)的主要機制，而且它還是strace系統(tǒng)調(diào)用常用的實現(xiàn)方法。ptrace()系統(tǒng)調(diào)用函數(shù)提供了一個進程（the “tracer”）監(jiān)察和控制另一個進程（the “tracee”）的方法，它不僅可以監(jiān)控系統(tǒng)調(diào)用，而且還能夠檢查和改變“tracee”進程的內(nèi)存和寄存器里的數(shù)據(jù)，甚至它還可以攔截系統(tǒng)調(diào)用。

這里的“攔截”我指的是tracer能夠改變系統(tǒng)調(diào)用參數(shù)，改變系統(tǒng)調(diào)用的返回值，甚至屏蔽特定的系統(tǒng)調(diào)用。這也就意味著，一個tracer將能夠完全實現(xiàn)自己的系統(tǒng)調(diào)用，這就非常有趣了，也就是說，一個tracer將可以模擬出一整套操作系統(tǒng)機制，而且這一切都不需要內(nèi)核提供任何其他幫助。

但問題在于，一個進程一次只能夠綁定一個tracer，因此我們無法在調(diào)試進程（GDB）的過程中模擬出一套外部操作系統(tǒng)，而另一個問題就是模擬系統(tǒng)調(diào)用將耗費更多的資源開銷。

在這篇文章中，我將主要討論x86-64架構(gòu)下的Linux Ptrace，并且我還會使用到一些特定的Linux擴展。除此之外，我可能會忽略錯誤檢查，但最終發(fā)布的完整源碼將會解決這些問題。

strace

在開始之前，我們先看一看strace的實現(xiàn)骨架。Ptrace一直都沒有相應(yīng)的使用標(biāo)準(zhǔn)，但在不同的操作系統(tǒng)中它的接口都是類似的，尤其是它的核心功能，但多多少少都會有一些細微的差別。Ptrace(2)的原型類似如下：

long ptrace(int request, pid_t pid, void *addr, void *data);

pid是tracee的進程ID，一個tracee一次只能綁定一個tracer，但一個tracer可以綁定多個tracee。

request域負責(zé)選擇一個指定的Ptrace函數(shù)，例如ioctl(2)接口。對于strace來說，只有下面是必須的：

PTRACE_TRACEME:它的父進程必須跟蹤這個進程。

PTRACE_SYSCALL:繼續(xù)運行，但是會在下一個系統(tǒng)調(diào)用入口暫停運行。

PTRACE_GETREGS:獲取tracee的寄存器備份。

另外兩個數(shù)據(jù)域，即addr和data，它們負責(zé)給選定的Ptrace函數(shù)提供參數(shù)，一般這兩個數(shù)據(jù)都可以忽略，這里我選擇傳入0。

strace接口本質(zhì)上是其他命令的前綴：

$strace [strace options] program [arguments]

我的最小化配置不包含任何參數(shù)，所以要做的第一件事就是假設(shè)它至少包含一個參數(shù)（fork(2)），通過argv傳遞。在加載目標(biāo)程序之前，新的進程會告知內(nèi)核它的父進程將會對它進行跟蹤監(jiān)視，tracee將會被這個Ptrace系統(tǒng)調(diào)用掛起：

pid_tpid = fork(); switch(pid) {
    case -1: /* error */         FATAL("%s", strerror(errno));
    case 0: /* child */         ptrace(PTRACE_TRACEME, 0, 0, 0);
        execvp(argv[1], argv + 1);
        FATAL("%s", strerror(errno));
}

父進程將使用wait(2)來等待子進程的PTRACE_TRACEME，當(dāng)wait(2)返回值之后，子進程將會被掛起：

wait pid(pid,0, 0);

在允許子進程繼續(xù)運行之前，我們將告訴操作系統(tǒng)tracee應(yīng)該跟它的父進程一起終止。真實場景下的strace實現(xiàn)還需要設(shè)置其他的參數(shù)，例如PTRACE_O_TRACEFORK：

ptrace(PTRACE_SETOPTIONS,pid, 0, PTRACE_O_EXITKILL);

捕捉系統(tǒng)調(diào)用的循環(huán)步驟如下：

1.   等待進程進入下一次系統(tǒng)調(diào)用。

2.   打印系統(tǒng)調(diào)用信息。

3.   允許系統(tǒng)調(diào)用執(zhí)行，并等待返回結(jié)果。

4.   打印系統(tǒng)調(diào)用的返回值。

PTRACE_SYSCALL請求可以完成等待下一個系統(tǒng)調(diào)用以及等待系統(tǒng)調(diào)用結(jié)束這兩個任務(wù)，跟之前一樣，這里也需要使用wait(2)來等待tracee進入特定狀態(tài)。

ptrace(PTRACE_SYSCALL,pid, 0, 0); waitpid(pid,0, 0);

wait(2)返回后，線程寄存器中將存儲有系統(tǒng)調(diào)用號和相應(yīng)參數(shù)。下一步就是收集系統(tǒng)調(diào)用信息，在不同的系統(tǒng)架構(gòu)中這一步的實現(xiàn)方式也不同。在x86-64中，系統(tǒng)調(diào)用號是通過rax傳遞的，參數(shù)（最大為6）將傳遞給rdi、rsi、rdx、r10、r8和r9。讀取寄存器還需要其他的Ptrace調(diào)用，但這里就不需要wait(2)了，因為tracee并不會改變狀態(tài)。

struct user_regs_struct regs;
ptrace(PTRACE_GETREGS,pid, 0, &regs);
longsyscall = regs.orig_rax;
  fprintf(stderr,"%ld(%ld, %ld, %ld, %ld, %ld, %ld)",
        syscall,
        (long)regs.rdi, (long)regs.rsi,(long)regs.rdx,
        (long)regs.r10, (long)regs.r8,  (long)regs.r9);

接下來就是另一個PTRACE_SYSCALL和wait(2)，然后利用PTRACE_GETREGS獲取結(jié)果，結(jié)果將存儲在rax中：

ptrace(PTRACE_GETREGS,pid, 0, &regs); fprintf(stderr," = %ld\n", (long)regs.rax);

這個樣本程序的輸出結(jié)果還是比較簡陋的，其中沒有包含系統(tǒng)調(diào)用的符號名，并且每一個參數(shù)都是按數(shù)字形式打印的，不過這已經(jīng)足夠奠定系統(tǒng)調(diào)用攔截的基礎(chǔ)了。

系統(tǒng)調(diào)用攔截

假設(shè)我們想利用Ptrace去實現(xiàn)一個類似OpenBSD的pledge(2)這樣的東西?；舅悸啡缦拢汉芏喑绦蛞话愣加幸粋€初始化過程，這個過程需要涉及到很多系統(tǒng)訪問權(quán)限，例如打開文件和綁定套接字等等。初始化完成之后，它們會進入主循環(huán)，并處理輸入數(shù)據(jù)，這里只需要使用到少量系統(tǒng)調(diào)用。

在進入主循環(huán)之前，進程可以限制自身只進行少量操作，如果程序存在漏洞的話，pledge還可以限制漏洞利用代碼所能完成的事情。當(dāng)然了，我們不僅可以篡改系統(tǒng)調(diào)用參數(shù)，而且還可以修改系統(tǒng)調(diào)用號，并將其轉(zhuǎn)換成一個不存在的系統(tǒng)調(diào)用，然后在errno中報告一個EPERM錯誤信息：

for(;;) {
    /* Enter next system call */     ptrace(PTRACE_SYSCALL, pid, 0, 0);
    waitpid(pid, 0, 0);
    struct user_regs_struct regs;
    ptrace(PTRACE_GETREGS, pid, 0, &regs);
    /* Is this system call permitted? */     int blocked = 0;
    if (is_syscall_blocked(regs.orig_rax)) {
        blocked = 1;
        regs.orig_rax = -1; // set to invalidsyscall         ptrace(PTRACE_SETREGS, pid, 0,&regs);
    }
 
    /* Run system call and stop on exit */     ptrace(PTRACE_SYSCALL, pid, 0, 0);
    waitpid(pid, 0, 0);
    if (blocked) {
        /* errno = EPERM */         regs.rax = -EPERM; // Operation notpermitted         ptrace(PTRACE_SETREGS, pid, 0,&regs);
    }
}

創(chuàng)建自定義的系統(tǒng)調(diào)用

我將我新創(chuàng)建的模仿pledge的系統(tǒng)調(diào)用稱為xpledge()，我選擇的系統(tǒng)調(diào)用號是10000：

#define SYS_xpledge 10000

下面是這個針對tracee的系統(tǒng)調(diào)用完整接口實現(xiàn)：

#define_GNU_SOURCE #include<unistd.h> #defineXPLEDGE_RDWR  (1 << 0) #defineXPLEDGE_OPEN  (1 << 1) #definexpledge(arg) syscall(SYS_xpledge, arg)

如果傳遞的參數(shù)為0，則只允許執(zhí)行一些基本的系統(tǒng)調(diào)用，包括內(nèi)存分配等。PLEDGE_RDWR指定的是各種讀寫操作，如read(2)、readv(2)、pread(2)和preadv(2)等。

在xpledge tracer中，我只需要檢測這個系統(tǒng)調(diào)用：

/*Handle entrance */ switch(regs.orig_rax) {
    case SYS_pledge:
        register_pledge(regs.rdi);
        break;
}

操作系統(tǒng)將返回ENOSYS，因為它不是一個真正的系統(tǒng)調(diào)用，所以我們需要用success(0)重寫返回結(jié)果：

/*Handle exit */ switch(regs.orig_rax) {
    case SYS_pledge:
        ptrace(PTRACE_POKEUSER, pid, RAX * 8,0);
        break;
}

樣例程序的輸出結(jié)果如下：

$./example
fread("/dev/urandom")[1]= 0xcd2508c7 XPledging...
XPledgefailed: Function not implemented
fread("/dev/urandom")[2]= 0x0be4a986 fread("/dev/urandom")[1]= 0x03147604

在tracer下運行的結(jié)果如下：

$./xpledge ./example
fread("/dev/urandom")[1]= 0xb2ac39c4 XPledging...
fopen("/dev/urandom")[2]:Operation not permitted
fread("/dev/urandom")[1]= 0x2e1bd1c4

外部系統(tǒng)模擬

Linux下的Ptrace中有一個非常實用的函數(shù)：PTRACE_SYSMU，我們可以利用這個函數(shù)來實現(xiàn)系統(tǒng)模擬：

for(;;) {
    ptrace(PTRACE_SYSEMU, pid, 0, 0);
    waitpid(pid, 0, 0);
    struct user_regs_struct regs;
    ptrace(PTRACE_GETREGS, pid, 0, &regs);
    switch (regs.orig_rax) {
        case OS_read:
            /* ... */         case OS_write:
            /* ... */         case OS_open:
            /* ... */         case OS_exit:
            /* ... */         /* ... and so on ... */     }
}

此代碼框架在相同系統(tǒng)架構(gòu)中的測試結(jié)果都是能夠穩(wěn)定運行的，大家可以根據(jù)自己的需要來修改代碼。

“怎么利用Ptrace攔截和模擬Linux系統(tǒng)調(diào)用”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！

網(wǎng)頁標(biāo)題：怎么利用Ptrace攔截和模擬Linux系統(tǒng)調(diào)用
網(wǎng)頁鏈接：http://bm7419.com/article16/pcdodg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護、網(wǎng)站內(nèi)鏈、自適應(yīng)網(wǎng)站、企業(yè)建站、移動網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)