使用ptrace时，attach的子进程钟代码执行的有点懵逼

IT保安 2017-03-31 05:32:02

刚刚接触ptrace，百度了一些资料，主要是写个测试代码，自己将代码敲了出来，然后在虚拟机里慢慢玩。

主要问题是：
1.既然子进程里调用execl会令内核挂起子进程，并通知调试进程，那么调试进程在干完活之后，放开对子进程的控制。按我的理解，此时子进程的代码流程就应该由被挂起的execl开始向下继续执行。

可是我在控制台中看到了由execl函数执行的"ls"命令的输出，却无法看见printf的输出，也就说明了子进程此时应该是挂起的哦，只有在控制台中手动输入ctrl+c结束掉进程。

这就有点不理解啊，为何子进程没有按代码流程向下执行呢？求解答



#include <stdio.h>

#include <unistd.h>

#include <sys/ptrace.h>

#include <sys/types.h>

#include <sys/wait.h>

#include <sys/user.h>

#include <sys/syscall.h>

#include <time.h>

#include <string.h>





int main()

{	

	pid_t pidChild = 0;

	long orig_rax;

	int status;

	int iscalling = 0;

	struct user_regs_struct Regs;

	

	pidChild = fork();



	if(pidChild == 0)  

	{

		ptrace(PTRACE_TRACEME,0,NULL,NULL);

				

		execl("/bin/ls","ls",NULL);	

		printf("child exit!\r\n");   	//



	}else if(pidChild != -1)  		//parent

	{

		wait(&status);

		if(WIFEXITED(status))

		{

			return 0;

		}



	/*	ptrace(PTRACE_GETREGS,pidChild,NULL,®s);

		printf("EAX == %llx,EBX == %llx,ECX == %llx,ESP == %llx\r\n",Regs.rax,Regs.rbx,Regs.rcx,Regs.rsp);

		ptrace(PTRACE_CONT,pidChild,NULL,NULL);*/

		

		ptrace(PTRACE_DETACH,pidChild,NULL,NULL);

		sleep(4);     			//wait 4 secs,let son_process run

	}

	printf("exit!\r\n");

	return 0;

}

...全文

294 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

本PDF电子书包含上下两册，共1576页，带目录，高清非扫描版本。作者：毛德操胡希明丛书名： Linux内核源代码情景分析出版社：浙江大学出版社目录第1章预备知识 1.1 Linux内核简介. 1.2 Intel X86 CPU系列的寻址方式 1.3 i386的页式内存管理机制 1.4 Linux内核源代码中的C语言代码 1.5 Linux内核源代码中的汇编语言代码第2章存储管理 2.1 Linux内存管理的基本框架 2.2 地址映射的全过程 2.3 几个重要的数据结构和函数 2.4 越界访问 2.5 用户堆栈的扩展 2.6 物理页面的使用和周转 2.7 物理页面的分配 2.8 页面的定期换出 2.9 页面的换入 2.10 内核缓冲区的管理 2.11 外部设备存储空间的地址映射 2.12 系统调用brk（） 2.13 系统调用mmap（）第3章中断、异常和系统调用 3.1 X86 CPU对中断的硬件支持 3.2 中断向量表IDT的初始化 3.3 中断请求队列的初始化 3.4 中断的响应和服务 3.5 软中断与Bottom Half 3.6 页面异常的进入和返回 3.7 时钟中断 3.8 系统调用 3.9 系统调用号与跳转表第4章进程与进程调度 4.1 进程四要素 4.2 进程三部曲：创建、执行与消亡 4.3 系统调用fork（）、vfork（）与clone（） 4.4 系统调用execve（） 4.5 系统调用exit（）与wait4（） 4.6 进程的调度与切换 4.7 强制性调度 4.8 系统调用nanosleep（）和pause（） 4.9 内核中的互斥操作第5章文件系统 5.1 概述 5.2 从路径名到目标节点 5.3 访问权限与文件安全性 5.4 文件系统的安装和拆卸 5.5 文件的打开与关闭 5.6 文件的写与读 5.7 其他文件操作 5.8 特殊文件系统／proc 第6章传统的Unix进程间通信 6.1 概述 6.2 管道和系统调用pipe（） 6.3 命名管道 6.4 信号 6.5 系统调用ptrace（）和进程跟踪 6.6 报文传递 6.7 共享内存 6.8 信号量第7章基于socket的进程间通信 7.1系统调用socket() 7.2函数sys—socket()——创建插口 7.3函数sys—bind()——指定插口地址 7.4函数sys—listen()——设定server插口 7.5函数sys—accept()——接受连接请求 7.6函数sys—connect()——请求连接 7.7报文的接收与发送 7.8插口的关闭 7.9其他第8章设备驱动 8.1概述 8.2系统调用mknod() 8.3可安装模块 8.4PCI总线 8.5块设备的驱动 8.6字符设备驱动概述 8.7终端设备与汉字信息处理 8.8控制台的驱动 8.9通用串行外部总线USB 8.10系统调用select()以及异步输入／输出 8.11设备文件系统devfs 第9章多处理器SMP系统结构 9.1概述 9.2SMP结构中的互斥问题 9.3高速缓存与内存的一致性 9.4SMP结构中的中断机制 9.5SMP结构中的进程调度 9.6SMP系统的引导第10章系统引导和初始化 10.1系统引导过程概述 10.2系统初始化(第一阶段) 10.3系统初始化(第二阶段) 10.4系统初始化(第三阶段) 10.5系统的关闭和重引导

Android应用程序是运行在一个沙箱中。这个沙箱是基于Linux内核提供的用户ID（UID）和用户组ID（GID）来实现的。Android应用程序在安装的过程中，安装服务PackageManagerService会为它们分配一个唯一的UID和GID，以及根据应用程序所申请的权限，赋予其它的GID。有了这些UID和GID之后，应用程序就只能限访问特定的文件，一般就是只能访问自己创建的文件。此外，Android应用程序在调用敏感的API时，系统检查它在安装的时候会没有申请相应的权限。如果没有申请的话，那么访问也会被拒绝。对于有root权限的应用程序，则不受上述沙箱限制。此外，有root权限的应用程序，还可以通过Linux的ptrace注入到其它应用程序进程，以及系统进程，进行各种函数调用拦截。

引子: 1.在Linux系统中，进程状态除了我们所熟知的TASK_RUNNING，TASK_INTERRUPTIBLE，TASK_STOPPED等，还有一个TASK_TRACED。这表明这个进程处于什么状态？ 2.strace可以方便的帮助我们记录进程所执行的系统调用，它是如何跟踪到进程执行的？ 3.gdb是我们调试程序的利器，可以设置断点，单步跟踪程序。它的实现原理又是什么？所有这

Can’t attach to the process: ptrace(PTRACE_ATTACH, …) failed for 1: Operation not permitted docker运行的 Tomcat 容器，由于jvm 内存溢出，想要排查，进入到容器内，都无法使用相关命令，如 jmap、jps、jinfo 等命令，都会报出 Can’t attach to the process: ptrace(PTRACE_ATTACH, …) failed for 1: Operation not per

attach到一个指定的进程，使其成为当前进程跟踪的子进程，而子进程的行为等同于它进行了一次PTRACE_TRACEME操作。但是，需要注意的是，虽然当前进程成为被跟踪进程的父进程，但是子进程使用getppid()的到的仍将是其原始父进程的pid。当你在gdb中使用attach命令来跟踪一个指定进程/线程的时候，gdb就自动成为改进程的父进程，而被跟踪的进程则使用了一次PTRACE_TRACEME，gdb也就顺理成章的接管了这个进程。 gdb调试的实现都是建立...

Linux/Unix社区

23,116

社区成员

74,507

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章