标签: ptrace execve
当我尝试使用ptrace跟踪execve并捕获其参数时,我发现寄存器中的值都为0吗?这就是我所做的:
if(orig_rax == SYS_execve) { path_addr = (char *) ptrace(PTRACE_PEEKUSER, child, sizeof(long)*RDI, res); }
还有其他方法可以捕获execve调用的参数吗?