陷阱在ptrace的malloc

时间:2014-07-23 03:00:24

标签: c assembly malloc glibc ptrace

我试图在ptrace内部发生malloc时陷阱。

我已经能够在调用malloc时挂钩,所以我应该能够capture通过一些自定义模块;但是,这是使用动态库时(-static标志)。

有没有办法可以通用的方式做到这一点?

如果我们查看以下程序集,我知道需要捕获的位置。我只是不知道如何:

  .file "new.c"
  .section  .rodata
.LC0:
  .string "Hello World"
  .text
  .globl  main
  .type main, @function
main:
.LFB2:
  .cfi_startproc
  pushq %rbp
  .cfi_def_cfa_offset 16
  .cfi_offset 6, -16
  movq  %rsp, %rbp
  .cfi_def_cfa_register 6
  subq  $16, %rsp
  movl  $4, %edi
  call  malloc ;<= TRAP HERE
  movq  %rax, -8(%rbp)
  movl  $.LC0, %edi
  call  puts
  movq  -8(%rbp), %rax
  movq  %rax, %rdi
  call  free
  leave
  .cfi_def_cfa 7, 8
  ret
  .cfi_endproc
.LFE2:
  .size main, .-main
  .ident  "GCC: (SUSE Linux) 4.8.1 20130909 [gcc-4_8-branch revision 202388]"
  .section  .note.GNU-stack,"",@progbits

来自ptrace(2)

  

PTRACE_SINGLESTEP

     

重新启动已停止的tracee,就像PTRACE_CONT一样,但是要安排tracee在下一次进入或退出系统调用时停止,或者在执行单个指令后停止。 (像往常一样,也会在收到信号后停止追踪。)`

所以我相当确定我需要这个选项。从tutorial我读过,我可以单步;但是,输出都没有任何意义。特别是如果我有某种输出语句。这是输出时的简短输出:

RIP: 7ff6cc4387c2 Instruction executed: 63158b48c35d5e41
RIP: 7ff6cc4387c4 Instruction executed: 2f0663158b48c35d
RIP: 7ff6cc4387c5 Instruction executed: 2f0663158b48c3
RIP: 400c38 Instruction executed: 7500e87d83e84589
RIP: 400c3b Instruction executed: b93c7500e87d83
RIP: 400c3f Instruction executed: ba00000000b93c75
RIP: 400c41 Instruction executed: ba00000000b9
RIP: 400c46 Instruction executed: be00000000ba
RIP: 400c4b Instruction executed: bf00000000be
RIP: 400c50 Instruction executed: b800000000bf
RIP: 400c55 Instruction executed: fe61e800000000b8
RIP: 400c5a Instruction executed: bafffffe61e8
RIP: 400ac0 Instruction executed: a68002015a225ff
RIP: 400ac6 Instruction executed: ff40e90000000a68
RIP: 400acb Instruction executed: 9a25ffffffff40e9
RIP: 400a10 Instruction executed: 25ff002015f235ff
RIP: 400a16 Instruction executed: 1f0f002015f425ff
RIP: 7ff6ccf6c160 Instruction executed: 2404894838ec8348
RIP: 7ff6ccf6c164 Instruction executed: 244c894824048948
RIP: 7ff6ccf6c168 Instruction executed: 54894808244c8948
RIP: 7ff6ccf6c16d Instruction executed: 7489481024548948
....
Hello world
....

为什么知识产权的价值变化如此之大?这是因为我之前处于内核模式吗?

此外,看起来所执行的指令的输出没有正确排列(就像它被分成几行一样),但这可能只是我试图将模式放在没有一个的地方。

无论如何,这是我正在运行到该输出的程序: 警告,令人讨厌的C \ C ++混合 

#include <iostream>
#include <sys/ptrace.h>
#include <unistd.h>
#include <asm/unistd.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/syscall.h>
#include <sys/reg.h>
#include <sys/user.h>

#include <iomanip>

using namespace std;

///for when dealing with different archectures.
#if __WORDSIZE == 64
#define REG(reg) reg.orig_rax
#else
#define REG(reg) reg.orig_eax
#endif

int main()
{
  pid_t child;
  long orig_eax;
  const int long_size = sizeof(long);

  child = fork();

  long ins;
  if(child == 0)
  {
    ptrace(PTRACE_TRACEME, 0, NULL, NULL);
    execl("./dummy", "dummy", NULL);
  }
  else
  {
    ptrace(PTRACE_ATTACH, child, NULL, NULL);
    ptrace(PTRACE_SYSCALL, child, NULL, NULL);
    int status;
    union u {
      long val;
      char chars[long_size];
    }data;
    struct user_regs_struct regs;
    int start = 0;
    long ins;
    while(1)
    {
      wait(&status);
      if(WIFEXITED(status))
        break;
      ptrace(PTRACE_GETREGS,child, NULL, &regs);
      ins = ptrace(PTRACE_PEEKTEXT, child, regs.rip, NULL);
      cout << "RIP: " << hex << regs.rip << " Instruction executed: " << ins << endl;
      ptrace(PTRACE_SINGLESTEP, child, NULL, NULL);
    }
    ptrace(PTRACE_DETACH, child, NULL, NULL);
  }
}

如果还需要其他信息,请告知我们。我知道我有点啰嗦,但如果这个问题得到解答,希望它能为下一个试图学习ptrace的人提供足够的信息。

1 个答案:

答案 0 :(得分:2)

没有实用的方法来挂钩malloc,它可以在所有静态链接的可执行文件中使用。无论如何,为了挂钩它,你需要知道它的地址。你可以做到这一点的唯一方法是在可执行文件的符号表中查找malloc,但由于它的静态链接,不能保证它有一个。动态库必须有一个符号表,因此它可以动态链接,但由于静态链接的程序是完全链接的,因此它不需要。

也就是说,许多静态链接的可执行文件将具有符号表,因为如果没有符号表,调试几乎是不可能的。他们占用的额外尺寸不再是一个问题。您可以使用nm命令检查您可能希望使用应用程序的任何可执行文件,以了解此问题可能对您有何影响。

假设您有一个带符号的可执行文件,下一个问题是如何实际读取程序中的符号。 ELF格式并不那么简单,所以你可能想要使用类似BFD(来自binutils)或libelf的东西。您也可以从命令行使用nm并手动提供地址以解决您的问题。

一旦获得malloc的地址,您就可以通过在函数开始时设置断点,使用ptrace跟踪对它的调用。设置断点很简单。只需使用PTRACE_PEEKTEXT读取函数的第一个字节,将其保存在某处,然后使用PTRACE_POKETEXT将字节更改为0xCC,即英特尔x86断点指令的操作码({{1 }})。然后,当调用INT 3时,将向跟踪过程发送一个malloc信号,您可以拦截该信号。

您需要做的事情更复杂。您需要执行以下一系列步骤:

  1. 读取寄存器和/或堆栈以查找SIGTRAP的参数并记录它们。
  2. 使用malloc恢复该功能的原始第一个字节。
  3. 从堆栈顶部读取返回地址
  4. PTRACE_POKETEXT位置设置断点,将返回,保存旧值。
  5. 从程序计数器(EIP / RIP)中减去1(断点指令的大小)。
  6. 继续运行跟踪过程。您拦截的下一个malloc将在SIGTRAP返回后。{/ li>
  7. 通过读取返回寄存器(EAX / RAX)来记录值malloc
  8. 使用malloc删除返回地址处的断点
  9. 使用PTRACE_POKETEXT将断点放回PTRACE_POKETEXT
    10. 的开头
  10. 从程序计数器中减去1。
  11. 继续运行跟踪过程。

    12. 可能有一些我没有的东西,但这是你需要做的事情。

    如果您只想使用自己编译的代码,那么有更简单的选项,比如使用glibc内置的memory allocation hooks支持。

相关问题
最新问题