AI 助理
备案控制台
开发者社区 云计算 文章 正文

ptrace注入详解

2022-05-11 1627
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: ptrace注入分析

1.ptrace基础

函数原型

long ptrace(enum __ptrace_request request, pid_t pid, void *addr,void *data);

参数详解

主要是参数一

PTRACE_ATTACH,表示附加到指定远程进程

PTRACE_DETACH,表示从指定远程进程分离

PTRACE_GETREGS,表示读取远程进程当前寄存器环境

PTRACE_SETREGS,表示设置远程进程的寄存器环境

PTRACE_CONT,表示使远程进程继续运行

PTRACE_PEEKTEXT,从远程进程指定内存地址读取一个word大小的数据

PTRACE_POKETEXT,往远程进程指定内存地址写入一个word大小的数据

在注入需求下都是应用这两个参数的PTRACE_ATTACH、PTRACE_DETACH

参数二 需要附加注入的pid数据

参数三、参数四 都直接用NULL填充就可以

2.ptrace注入的步骤

1.调用ptrace系统函数进行附加到远程进程

2.保存寄存器的环境数据

3.通过调mmap系统函数进行分配内存空间

4.想附加的进程写入模块名称和要执行的函数名称

5.调用dlopen系统函数进行打开注入的模块

6.调用dlsym系统函数获取需调用函数的地址信息

7.远程调用被注入模块的函数

8.恢复寄存器的环境数据

9.调用ptrace系统函数进行和附加进程进行剥离

3.ptrace注入源码实现

3.1附加进程

/*******************
 函数功能n:   使用ptrace函数 Attach到指定远程进程
 参数:        pid表示远程进程的ID
 返回值:      返回0表示attach成功,返回-1表示失败
********************/  
int ptrace_attach(pid_t pid)    
{
  int status = 0;
    if (ptrace(PTRACE_ATTACH, pid, NULL, 0) < 0) {    
        LOGD("attach process error, pid:%d", pid);    
        return -1;    
    }    
  LOGD("attach process pid:%d", pid);          
    waitpid(pid, &status , WUNTRACED);        
    return 0;    
}

3.2剥离进程

/******************
  函数功能n:    使用ptrace函数 DETACH到剥离进程
  参数:         pid表示远程进程的ID
  返回值:       返回0表示DETACH成功,返回-1表示失败
******************/    
int ptrace_detach(pid_t pid)    
{    
    if (ptrace(PTRACE_DETACH, pid, NULL, 0) < 0) {    
        LOGD("detach process error, pid:%d", pid);     
        return -1;    
    }    
  LOGD("detach process pid:%d", pid);  
    return 0;    
}
复制代码

3.2ptrace注入so功能

/**************************
  函数功能: 通过远程直接调用dlopen\dlsym的方法ptrace注入so模块到远程进程中
  参数1:    pid表示远程进程的pid,
  参数2:LibPath为被远程注入的so模块路径,
  参数3:FunctionName为远程注入的模块后调用的函数
  参数4::FuncParameter指向被远程调用函数的参数(若传递字符串,需要先将字符串写入到远程进程空间中),NumParameter为参数的个数
  Return:  返回0表示注入成功,返回-1表示失败
**********************/ 
int inject_remote_process(pid_t pid, char *LibPath, char *FunctionName, long *FuncParameter, long NumParameter)
{
  int iRet = -1;
  struct pt_regs CurrentRegs, OriginalRegs;  // CurrentRegs表示远程进程中当前的寄存器值,OriginalRegs存储注入前的寄存器值,方便恢复
  void *mmap_addr, *dlopen_addr, *dlsym_addr, *dlclose_addr, *dlerror_addr;   // 远程进程中需要调用函数的地址
  void *RemoteMapMemoryAddr, *RemoteModuleAddr, *RemoteModuleFuncAddr; // RemoteMapMemoryAddr为远程进程空间中映射的内存基址,RemoteModuleAddr为远程注入的so模块加载基址,RemoteModuleFuncAddr为注入模块中需要调用的函数地址
  long parameters[6];  
  // Attach远程进程
  if (ptrace_attach(pid) == -1)
    return iRet;
  // 获取远程进程的寄存器值
  if (ptrace_getregs(pid, &CurrentRegs) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // 保存远程进程空间中当前的上下文寄存器环境
  memcpy(&OriginalRegs, &CurrentRegs, sizeof(CurrentRegs)); 
  // 获取mmap函数在远程进程中的地址
  mmap_addr = GetRemoteFuncAddr(pid, libc_path, (void *)mmap);
  LOGD("mmap RemoteFuncAddr:0x%lx", (long)mmap_addr);
  // 设置mmap的参数
  // void *mmap(void *start, size_t length, int prot, int flags, int fd, off_t offsize);
    parameters[0] = 0;  // 设置为NULL表示让系统自动选择分配内存的地址    
    parameters[1] = 0x1000; // 映射内存的大小    
    parameters[2] = PROT_READ | PROT_WRITE | PROT_EXEC;  // 表示映射内存区域可读可写可执行   
    parameters[3] =  MAP_ANONYMOUS | MAP_PRIVATE; // 建立匿名映射    
    parameters[4] = 0; //  若需要映射文件到内存中,则为文件的fd  
    parameters[5] = 0; //文件映射偏移量  
  // 调用远程进程的mmap函数,建立远程进程的内存映射
  if (ptrace_call(pid, (long)mmap_addr, parameters, 6, &CurrentRegs) == -1)
  {
    LOGD("Call Remote mmap Func Failed");
    ptrace_detach(pid);
    return iRet;
  }
  // 获取mmap函数执行后的返回值,也就是内存映射的起始地址
  RemoteMapMemoryAddr = (void *)ptrace_getret(&CurrentRegs);
  LOGD("Remote Process Map Memory Addr:0x%lx", (long)RemoteMapMemoryAddr);
  // 分别获取dlopen、dlsym、dlclose等函数的地址
  dlopen_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlopen);
  dlsym_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlsym);
  dlclose_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlclose);
  dlerror_addr = GetRemoteFuncAddr(pid, linker_path, (void *)dlerror);
  // 将要加载的so库路径写入到远程进程内存空间中
  if (ptrace_writedata(pid, RemoteMapMemoryAddr, LibPath, strlen(LibPath) + 1) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // 设置dlopen的参数,返回值为模块加载的地址
  // void *dlopen(const char *filename, int flag);
  parameters[0] = (long)RemoteMapMemoryAddr;
  parameters[1] = RTLD_NOW| RTLD_GLOBAL;
  if (ptrace_call(pid, (long)dlopen_addr, parameters, 2, &CurrentRegs) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // RemoteModuleAddr为远程进程加载注入模块的地址
  RemoteModuleAddr = (void *)ptrace_getret(&CurrentRegs);
  if ((long)RemoteModuleAddr == 0x0)   // dlopen 错误
  {
    LOGD("dlopen error");
    if (ptrace_call(pid, (long)dlerror_addr, parameters, 0, &CurrentRegs) == -1)
    {
      LOGD("Call Remote dlerror Func Failed");
      ptrace_detach(pid);
      return iRet;
    }
    char *Error = (void *)ptrace_getret(&CurrentRegs);
    char LocalErrorInfo[1024] = {0};
    ptrace_readdata(pid, Error, LocalErrorInfo, 1024);
    ptrace_detach(pid);
    return iRet;
  } 
  // 将so库中需要调用的函数名称写入到远程进程内存空间中
  if (ptrace_writedata(pid, RemoteMapMemoryAddr + strlen(LibPath) + 2, FunctionName, strlen(FunctionName) + 1) == -1)
  {
    ptrace_detach(pid);
    return iRet;
  }
  // 设置dlsym的参数,返回值为远程进程内函数的地址
  // void *dlsym(void *handle, const char *symbol);
  parameters[0] = (long)RemoteModuleAddr;
  parameters[1] = (long)(RemoteMapMemoryAddr + strlen(LibPath) + 2);
  if (ptrace_call(pid, (long)dlsym_addr, parameters, 2, &CurrentRegs) == -1)
  {
    LOGD("Call Remote dlsym Func Failed");
    ptrace_detach(pid);
    return iRet;
  } 
  // RemoteModuleFuncAddr为远程进程空间内获取的函数地址
  RemoteModuleFuncAddr = (void *)ptrace_getret(&CurrentRegs);
  if (ptrace_call(pid, (long)RemoteModuleFuncAddr, FuncParameter, NumParameter, &CurrentRegs) == -1)
  {
    LOGD("Call Remote injected Func Failed");
    ptrace_detach(pid);
    return iRet;
  } 
  if (ptrace_setregs(pid, &OriginalRegs) == -1)
  {
    LOGD("Recover reges failed");
    ptrace_detach(pid);
    return iRet;    
  }
  ptrace_getregs(pid, &CurrentRegs);
  if (memcmp(&OriginalRegs, &CurrentRegs, sizeof(CurrentRegs)) != 0)
  {
    LOGD("Set Regs Error");
  }
  //剥离
  if (ptrace_detach(pid) == -1)
  {
    LOGD("ptrace detach failed");
    return iRet;
  }
  return 0;
}


小道安全
目录
相关文章
柠檬叶子C
|
API 开发工具
【Pintos】实现自定义 UserProg 系统调用 | 添加 syscall-nr 系统调用号 | 编写新的参数调用宏
【Pintos】实现自定义 UserProg 系统调用 | 添加 syscall-nr 系统调用号 | 编写新的参数调用宏
柠檬叶子C
115 0
禹鼎侯
|
6月前
|
存储 架构师 Linux
内存泄漏专题(7)hook之宏定义
内存泄漏专题(7)hook之宏定义
禹鼎侯
85 0
aliyun_11084
|
网络协议 安全 API
驱动开发:内核远程线程实现DLL注入
在笔者上一篇文章`《内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
aliyun_11084
4944 0
aliyun_11084
|
Shell
驱动开发:内核ShellCode线程注入
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充为`NULL`则表明不传递任何参数,也就是只在线程中执行`ShellCode`代码,利用
aliyun_11084
379 1
aliyun_11084
驱动开发:内核LoadLibrary实现DLL注入
远程线程注入是最常用的一种注入技术,在应用层注入是通过`CreateRemoteThread`这个函数实现的,该函数通过创建线程并调用 `LoadLibrary` 动态载入指定的DLL来实现注入,而在内核层同样存在一个类似的内核函数`RtlCreateUserThread`,但需要注意的是此函数未被公开,`RtlCreateUserThread`其实是对`NtCreateThreadEx`的包装,但最终会调用`ZwCreateThread`来实现注入,`RtlCreateUserThread`是`CreateRemoteThread`的底层实现。
aliyun_11084
2580 1
游客le2z6neicdyuw
|
JavaScript 安全
Frida-syscall-interceptor
Frida-syscall-interceptor
游客le2z6neicdyuw
551 0
Frida-syscall-interceptor
小道安全
ptrace的解析和注入
ptrace
小道安全
561 0
DS小龙哥
|
Linux
Linux系统编程-进程创建(fork)、外部程序调用(exec)
在linux中fork函数是非常重要的函数,它可以从已存在进程中创建一个新进程。新进程为子进程,而原进程为父进程。
DS小龙哥
518 0
韩曙亮
|
NoSQL Java Linux
【Android 逆向】ptrace 函数 ( C 标准库 ptrace 函数简介 | ptrace 函数真实作用 )
【Android 逆向】ptrace 函数 ( C 标准库 ptrace 函数简介 | ptrace 函数真实作用 )
韩曙亮
335 0
游客ebdjhbkyk4vb4
内核代码阅读(19) - 系统调用trap
系统调用trap
游客ebdjhbkyk4vb4
427 0