AI 助理
备案控制台
开发者社区 云计算 文章 正文

ptrace注入详解

2022-05-11 1891
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: ptrace注入分析

1.ptrace基础

函数原型

long ptrace(enum __ptrace_request request, pid_t pid, void *addr,void *data);

参数详解

主要是参数一

PTRACE_ATTACH,表示附加到指定远程进程

PTRACE_DETACH,表示从指定远程进程分离

PTRACE_GETREGS,表示读取远程进程当前寄存器环境

PTRACE_SETREGS,表示设置远程进程的寄存器环境

PTRACE_CONT,表示使远程进程继续运行

PTRACE_PEEKTEXT,从远程进程指定内存地址读取一个word大小的数据

PTRACE_POKETEXT,往远程进程指定内存地址写入一个word大小的数据

在注入需求下都是应用这两个参数的PTRACE_ATTACH、PTRACE_DETACH

参数二 需要附加注入的pid数据

参数三、参数四 都直接用NULL填充就可以

2.ptrace注入的步骤

1.调用ptrace系统函数进行附加到远程进程

2.保存寄存器的环境数据

3.通过调mmap系统函数进行分配内存空间

4.想附加的进程写入模块名称和要执行的函数名称

5.调用dlopen系统函数进行打开注入的模块

6.调用dlsym系统函数获取需调用函数的地址信息

7.远程调用被注入模块的函数

8.恢复寄存器的环境数据

9.调用ptrace系统函数进行和附加进程进行剥离

3.ptrace注入源码实现

3.1附加进程

/*******************
 函数功能n:   使用ptrace函数 Attach到指定远程进程
 参数:        pid表示远程进程的ID
 返回值:      返回0表示attach成功,返回-1表示失败
********************/  
int ptrace_attach(pid_t pid)    
{
  int status = 0;
    if (ptrace(PTRACE_ATTACH, pid, NULL, 0) < 0) {    
        LOGD("attach process error, pid:%d", pid);    
        return -1;    
    }    
  LOGD("attach process pid:%d", pid);          
    waitpid(pid, &status , WUNTRACED);        
    return 0;    
}

3.2剥离进程

/******************
  函数功能n:    使用ptrace函数 DETACH到剥离进程
  参数:         pid表示远程进程的ID
  返回值:       返回0表示DETACH成功,返回-1表示失败
******************/    
int ptrace_detach(pid_t pid)    
{    
    if (ptrace(PTRACE_DETACH, pid, NULL, 0) < 0) {    
        LOGD("detach process error, pid:%d", pid);     
        return -1;    
    }    
  LOGD("detach process pid:%d", pid);  
    return 0;    
}
复制代码

3.2ptrace注入so功能

/**************************
  函数功能: 通过远程直接调用dlopen\dlsym的方法ptrace注入so模块到远程进程中
  参数1:    pid表示远程进程的pid,
  参数2:LibPath为被远程注入的so模块路径,
  参数3:FunctionName为远程注入的模块后调用的函数
  参数4::FuncParameter指向被远程调用函数的参数(若传递字符串,需要先将字符串写入到远程进程空间中),NumParameter为参数的个数
  Return:  返回0表示注入成功,返回-1表示失败
**********************/ 
int inject_remote_process(pid_t pid, char *LibPath, char *FunctionName, long *FuncParameter, long NumParameter)
{
  int iRet = -1;
  struct pt_regs CurrentRegs, OriginalRegs;  // CurrentRegs表示远程进程中当前的寄存器值,OriginalRegs存储注入前的寄存器值,方便恢复
  void *mmap_addr, *dlopen_addr, *dlsym_addr, *dlclose_addr, *dlerror_addr;   // 远程进程中需要调用函数的地址
  void *RemoteMapMemoryAddr, *RemoteModuleAddr, *RemoteModuleFuncAddr; // RemoteMapMemoryAddr为远程进程空间中映射的内存基址,RemoteModuleAddr为远程注入的so模块加载基址,RemoteModuleFuncAddr为注入模块中需要调用的函数地址
  long parameters[6];  
  // Attach远程进程
  if (ptrace_attach(pid) == -1)
    return iRet;
  // 获取远程进程的寄存器值
  if (ptrace_getregs(pid, &CurrentRegs) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // 保存远程进程空间中当前的上下文寄存器环境
  memcpy(&OriginalRegs, &CurrentRegs, sizeof(CurrentRegs)); 
  // 获取mmap函数在远程进程中的地址
  mmap_addr = GetRemoteFuncAddr(pid, libc_path, (void *)mmap);
  LOGD("mmap RemoteFuncAddr:0x%lx", (long)mmap_addr);
  // 设置mmap的参数
  // void *mmap(void *start, size_t length, int prot, int flags, int fd, off_t offsize);
    parameters[0] = 0;  // 设置为NULL表示让系统自动选择分配内存的地址    
    parameters[1] = 0x1000; // 映射内存的大小    
    parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC;  // 表示映射内存区域可读可写可执行   
    parameters[3] =  MAP_ANONYMOUS | MAP_PRIVATE; // 建立匿名映射    
    parameters[4] = 0; //  若需要映射文件到内存中,则为文件的fd  
    parameters[5] = 0; //文件映射偏移量  
  // 调用远程进程的mmap函数,建立远程进程的内存映射
  if (ptrace_call(pid, (long)mmap_addr, parameters, 6, &CurrentRegs) == -1)
  {
    LOGD("Call Remote mmap Func Failed");
    ptrace_detach(pid);
    return iRet;
  }
  // 获取mmap函数执行后的返回值,也就是内存映射的起始地址
  RemoteMapMemoryAddr = (void *)ptrace_getret(&CurrentRegs);
  LOGD("Remote Process Map Memory Addr:0x%lx", (long)RemoteMapMemoryAddr);
  // 分别获取dlopen、dlsym、dlclose等函数的地址
  dlopen_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlopen);
  dlsym_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlsym);
  dlclose_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlclose);
  dlerror_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlerror);
  // 将要加载的so库路径写入到远程进程内存空间中
  if (ptrace_writedata(pid, RemoteMapMemoryAddr, LibPath, strlen(LibPath) + 1) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // 设置dlopen的参数,返回值为模块加载的地址
  // void *dlopen(const char *filename, int flag);
  parameters[0] = (long)RemoteMapMemoryAddr;
  parameters[1] = RTLD_NOW| RTLD_GLOBAL;
  if (ptrace_call(pid, (long)dlopen_addr, parameters, 2, &CurrentRegs) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // RemoteModuleAddr为远程进程加载注入模块的地址
  RemoteModuleAddr = (void *)ptrace_getret(&CurrentRegs);
  if ((long)RemoteModuleAddr == 0x0)   // dlopen 错误
  {
    LOGD("dlopen error");
    if (ptrace_call(pid, (long)dlerror_addr, parameters, 0, &CurrentRegs) == -1)
    {
      LOGD("Call Remote dlerror Func Failed");
      ptrace_detach(pid);
      return iRet;
    }
    char *Error = (void *)ptrace_getret(&CurrentRegs);
    char LocalErrorInfo[1024] = {0};
    ptrace_readdata(pid, Error, LocalErrorInfo, 1024);
    ptrace_detach(pid);
    return iRet;
  } 
  // 将so库中需要调用的函数名称写入到远程进程内存空间中
  if (ptrace_writedata(pid, RemoteMapMemoryAddr + strlen(LibPath) + 2, FunctionName, strlen(FunctionName) + 1) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // 设置dlsym的参数,返回值为远程进程内函数的地址
  // void *dlsym(void *handle, const char *symbol);
  parameters[0] = (long)RemoteModuleAddr;
  parameters[1] = (long)(RemoteMapMemoryAddr + strlen(LibPath) + 2);
  if (ptrace_call(pid, (long)dlsym_addr, parameters, 2, &CurrentRegs) == -1)
  {
    LOGD("Call Remote dlsym Func Failed");
    ptrace_detach(pid);
    return iRet;
  } 
  // RemoteModuleFuncAddr为远程进程空间内获取的函数地址
  RemoteModuleFuncAddr = (void *)ptrace_getret(&CurrentRegs);
  if (ptrace_call(pid, (long)RemoteModuleFuncAddr, FuncParameter, NumParameter, &CurrentRegs) == -1)
  {
    LOGD("Call Remote injected Func Failed");
    ptrace_detach(pid);
    return iRet;
  } 
  if (ptrace_setregs(pid, &OriginalRegs) == -1)
  {
    LOGD("Recover reges failed");
    ptrace_detach(pid);
    return iRet;    
  }
  ptrace_getregs(pid, &CurrentRegs);
  if (memcmp(&OriginalRegs, &CurrentRegs, sizeof(CurrentRegs)) != 0)
  {
    LOGD("Set Regs Error");
  }
  //剥离
  if (ptrace_detach(pid) == -1)
  {
    LOGD("ptrace detach failed");
    return iRet;
  }
  return 0;
}


小道安全
目录
相关文章
Hcoco_me
|
算法 安全 网络安全
简单认识一下mbedTLS
简单认识一下mbedTLS
Hcoco_me
1449 0
binarydady
|
监控 C语言 索引
eBPF监控工具bcc系列八BPF C
binarydady
5724 0
1729692684231857
|
存储 算法 数据安全/隐私保护
【密码学】一文读懂白盒AES(Chow方案)(一)
本文主要参考了文献^[1], 代码参考了^[2], 这里感谢文献作者和代码作者,如果有能力的大佬,可以自行查看原文献,个人水平有限,有哪里写的不对的地方,也欢迎读者指正。
1729692684231857
4489 0
【密码学】一文读懂白盒AES(Chow方案)(一)
撷峰
|
机器学习/深度学习 网络协议 异构计算
浅析GPU通信技术(下)-GPUDirect RDMA
目录 浅析GPU通信技术(上)-GPUDirect P2P 浅析GPU通信技术(中)-NVLink 浅析GPU通信技术(下)-GPUDirect RDMA 1. 背景         前两篇文章我们介绍的GPUDirect P2P和NVLink技术可以大大提升GPU服务器单机的GPU通信性...
撷峰
28132 0
2025「AI安全」全球攻防赛小编
|
Kubernetes 安全 API
国内首个云上容器ATT&CK攻防矩阵发布,阿里云助力企业容器化安全落地
本文对云上容器ATT&CK攻防矩阵做了详细阐述,希望能帮助开发和运维人员了解容器的安全风险和落地安全实践。
2025「AI安全」全球攻防赛小编
15279 1
国内首个云上容器ATT&CK攻防矩阵发布,阿里云助力企业容器化安全落地
AhaoMu
|
监控 调度 开发工具
IO神器blktrace使用介绍
## 前言 1. blktrace的作者正是block io的maintainer,开发此工具,可以更好的追踪IO的过程。 2. blktrace 结合btt可以统计一个IO是在调度队列停留的时间长,还是在硬件上消耗的时间长,利用这个工具可以协助分析和优化问题。 ## blktrace的原理 一个I/O请求的处理过程,可以梳理为这样一张简单的图: ![](http://image
AhaoMu
19500 0
旦莫
|
Python
Python三种标准输出重定向方法
Python 提供了标准库中的 sys.stdout 对象来代表标准输出。如果我们想将输出重定向到其他位置,例如内存、文件或自定义类,我们可以通过一些技巧来实现。
旦莫
371 2
泡沫o0
|
存储 监控 安全
深度剖析Linux进程的内部机制:一探/proc/pid的奥秘
深度剖析Linux进程的内部机制:一探/proc/pid的奥秘
泡沫o0
2254 0
Hcoco_me
|
算法 Linux API
一文聊聊Linux Kernel的加密子系统【Crypto Subsystem】
一文聊聊Linux Kernel的加密子系统【Crypto Subsystem】
Hcoco_me
1200 1
泡沫o0
|
存储 缓存 安全
深入理解内存映射:mmap映射的背后原理以及和共享内存的差异
深入理解内存映射:mmap映射的背后原理以及和共享内存的差异
泡沫o0
4427 0