开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用ptrace跟踪跨子节点的所有execve()调用

使用ptrace跟踪跨子节点的所有execve()调用

背景

ptrace是一种在Linux系统中用于调试和跟踪进程的机制。它允许一个进程（称为追踪器）控制另一个进程（称为被追踪者）的执行。通过ptrace，我们可以在被追踪者的关键点暂停执行，检查其内存和寄存器，甚至修改它们。

execve()是一个Linux系统调用，用于在当前进程中执行一个新的程序。它接受三个参数：要执行的程序的文件名、一个指向字符串数组的指针（表示程序的参数）和一个指向字符串数组的指针（表示程序的环境变量）。

问题

在某些情况下，我们可能需要跟踪一个进程及其子进程中的所有execve()调用。这可能是为了调试、安全审计或其他目的。然而，由于execve()通常会创建一个新的地址空间，因此在跨越子进程的上下文中跟踪它可能会变得复杂。

解决方案

为了解决这个问题，我们可以使用ptrace来跟踪一个进程及其子进程中的所有execve()调用。以下是一个简单的步骤：

使用ptrace附加到目标进程。
在目标进程中设置一个断点，当execve()系统调用被调用时触发。
当断点触发时，检查堆栈跟踪以确定调用来自哪个进程。
如果调用来自子进程，则继续跟踪子进程。
如果调用来自父进程，则继续跟踪父进程。
重复步骤2-5，直到达到所需的跟踪深度。

注意事项

使用ptrace跟踪进程可能会导致一些问题，例如性能下降、安全问题和死锁。因此，在使用ptrace进行跟踪时，应该谨慎操作并遵循最佳实践。

推荐的腾讯云相关产品

腾讯云提供了多种云计算产品，可以帮助用户解决跨子节点跟踪execve()调用的问题。以下是一些可能有用的产品：

腾讯云服务器：提供可扩展的虚拟服务器，可以在其上部署和运行自定义应用程序。
腾讯云容器服务：提供容器化部署解决方案，可以帮助用户更轻松地管理和跟踪容器化应用程序。
腾讯云云原生：提供一系列云原生相关的产品和服务，可以帮助用户构建可扩展、高可用和安全的应用程序。

产品介绍链接地址

相关搜索:使用AJAX调用获取子节点的JsTree 使用xsl读取xml标记下的所有属性和所有子节点使用swift从firebase中的所有子节点获取数据 Postgres ltree模块，使用所有子相关路径更新节点的id 如何使用javascript遍历firebase数据库中的所有子节点？使用Rvest将特定父节点的所有子节点的文本提取为数据框中的变量如何在不使用所有子节点中的XNamespace的情况下为子节点创建具有默认命名空间的XElement PostgreSQL ltree查找给定路径的所有子节点(不使用表达式)使用Angular2路由器，路由的所有子节点如何加载相同的组件？如何一次删除div中的所有子节点，这样在使用javascript执行代码行后，它就是空的？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Linux ptrace 的实现

前言：ptrace 是 Linux 内核提供的非常强大的系统调用，通过 ptrace 可以实现进程的单步调试和收集系统调用情况。比如 strace 和 gdb 都是基于 ptrace 实现的，strace 可以显示进程调用了哪些系统调用，gdb 可以实现对进程的调试。本文介绍这些工具的底层 ptrace 是如何实现的。这里选用了 1.2.13 的早期版本，原理是类似的，新版内核代码过多，没必要陷入过多细节中。

02

吃土记之GDB调试原理

If you are thinking of using complex kernel programming to accomplish tasks, think again. Linux provides an elegant mechanism to achieve all of these things: the ptrace (Process Trace) system call.

02

终端程序不支持 SOCKS5 / HTTP 代理怎么办？有了这个神器后，终于可以跨越高山和大海了！

你是否经常有在终端下通过一些实用程序进行工作的需求呢，比如：Git 等。但是由于这些终端程序默认并不支持 Socks 5 代理或 HTTP 代理

02

df 和 ls 命令执行夯主

其实他说第二点问题的时候我就已经猜到问题所在了，那不就是远程挂载的磁盘非正常的掉了，然后就会造成这个问题。但是他说 ISCSI 这个玩意的时候我不知道是啥，于是查了一下，有兴趣的同学可以看看这是：https://zhuanlan.zhihu.com/p/60986068，看的出来他是一个网络存储，那么就更加坚定我的想法了，开始指挥解决问题。

01

为什么 strace 在 Docker 中不起作用？

在编辑“容器如何工作”爱好者杂志的能力页面时，我想试着解释一下为什么 strace 在 Docker 容器中无法工作。

03

反弹shell-逃逸基于execve的命令监控(上)

本篇聊一聊新的主题：《反弹shell-逃逸基于execve的命令监控》，打算写一个专题，预估可以写三篇，内容确实有点多，也是最近研究了一些有意思的东西，想给大家分享一下。喜欢的话，请大家一定点在看，并分享出去，算是对我原创最大的支持了。

02

linux-沙盒入门，ptrace从0到1

本文是在linux系统角度下，对ptrace反调试进行底层分析，使我们更清楚的看到一些底层原理的实现，更好的理解在逆向工程中的一些突破口，病毒怎么实现代码注入，本文还将列出一些常见的攻防手段，分析其原理，让我们一同见证见证茅与盾激情对决！内容很充实，建议躺着阅读！！！！！！！！

03

AgentSmith-HIDS：一套轻量级高性能的基于主机的入侵检测系统

从技术角度来说，AgentSmith-HIDS严格意义上来说并不是一个传统的“基于主机的入侵检测系统”（HIDS），因为就该项目目前开源的部分来说，它还缺少了规则引擎以及相关的检测能力。但是它可以作为一个高性能的主机信息收集工具来帮助安全研究人员构建属于自己的HIDS。

03

分析Linux系统的执行过程

原创作品转载请注明出处 + https://github.com/mengning/linuxkernel/

02

无"命令"反弹shell-逃逸基于execve的命令监控(上)

本篇聊一聊新的主题：《反弹shell-逃逸基于execve的命令监控》，打算写一个专题，预估可以写三篇，内容确实有点多，也是最近研究了一些有意思的东西，想给大家分享一下。喜欢的话，请大家一定点在看，并分享出去，算是对我原创最大的支持了。如何想看新方法，直接到最后。

02

Linux提权漏洞(CVE-2019-13272）

kernel / ptrace.c中的ptrace_link错误地处理了想要创建ptrace关系的进程的凭据记录，这允许本地用户通过利用父子的某些方案来获取root访问权限进程关系，父进程删除权限并调用execve（可能允许攻击者控制）。一个影响因素是对象寿命问题（也可能导致恐慌）。另一个影响因素是将ptrace关系标记为特权，这可以通过（例如）Polkit的pkexec帮助程序与PTRACE_TRACEME进行利用。获取root权限。

01

系统与应用异常定位诊断

描述:官方介绍 strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器。我们用它来监控用户空间进程和内核的交互，比如系统调用、信号传递、进程状态变更等。其底层的实现方式是基于ptrace特性;

02

进程的描述和创建

进程在内核态运行时需要自己的堆栈信息，linux内核为每个进程都提供了一个内核栈。对每个进程，Linux内核都把两个不同的数据结构紧凑的存放在一个单独为进程分配的内存区域中：

03

关于CVE-2019-13272 linux本地提权的复现经历

复现这个洞出现有段时间了，迟迟没有复现，先来复现下有大佬在github上发布了漏洞的利用代码： https://github.com/bcoles/kernel-exploits/blob/master/CVE--/poc.c 像我这样的菜鸡就只能拿来直接用，不会分析 gcc 1.c -o exp ./exp 我测试的环境是 Ubuntu 18.04.1 kernel 4.15.0-20-generic 很顺利直接就root了，我的内核版本还很新，这个洞着阔怕。。。。。复现成功接着复现（VP

01

GDB原理之ptrace实现原理

在程序出现bug的时候，最好的解决办法就是通过 GDB 调试程序，然后找到程序出现问题的地方。比如程序出现段错误（内存地址不合法）时，就可以通过 GDB 找到程序哪里访问了不合法的内存地址而导致的。

02

Linux Hook 笔记

相信很多人对"Hook"都不会陌生,其中文翻译为"钩子”.在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口. 比如,我们想要提供一段代码来分析程序中某段逻辑路径被执行的频率,或者想要在其中插入更多功能时就会用到钩子. 钩子都是以固定的目的提供给用户的,并且一般都有文档说明. 通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结果, 甚至可以中止一个当前运行中的进程并且将控制权转移到自己手上.

06

CVE-2019-13272：Linux本地内核提权漏洞复现

2019年07月20日，Linux正式修复了一个本地内核提权漏洞。通过此漏洞，攻击者可将普通权限用户提升为Root权限。

03

Strace——隐藏的超能力

与任何操作系统一样，在运行 Linux 和相关应用程序时遇到问题并不罕见。在使用闭源程序时尤其如此，因为无法进行精细的代码检查。因此，排除故障和解决问题并不是一个简单的过程。Linux 管理员和工程师很快发现需要补充实用程序。值得庆幸的是，他们并没有等太久。

01

自己动手写一个 strace

用过 strace 的同学都知道，strace 是用来跟踪进程调用的系统调用，还可以统计进程对系统调用的统计等。strace 的使用方式有两种，如下：

02

Ptrace使用

ptrace共有四个参数： long ptrace(enum __ptrace_request request,pid_t pid,void *addr,void *data); 其中第一个参数可以取如下内容：

01

Linux rootfs_hdfs shell命令

本文阐述 Linux 中的文件系统部分，源代码来自基于 IA32 的 2.4.20 内核。总体上说 Linux下的文件系统主要可分为三大块：一是上层的文件系统的系统调用，二是虚拟文件系统 VFS(Virtual FilesystemSwitch)，三是挂载到 VFS 中的各实际文件系统，例如 ext2，jffs 等。本文侧重于通过具体的代码分析来解释 Linux内核中 VFS 的内在机制，在这过程中会涉及到上层文件系统调用和下层实际文件系统的如何挂载。文章试图从一个比较高的角度来解释Linux 下的 VFS文件系统机制，所以在叙述中更侧重于整个模块的主脉络，而不拘泥于细节，同时配有若干张插图，以帮助读者理解。

01

十个例子让你了解 strace 的使用技巧

tcpdump 作为计算机网络排查的一大神器，掌握了上文所说的技巧，可以让你随时随地得心应手的掌握网络应用的一举一动。

01

深入理解 K8S Pod 调试与实践技巧

调试运行中的容器和 Pod 不像直接调试进程那么容易，本文介绍了通过临时容器共享命名空间的方式调试业务容器进程的方法。调试 pod 最简单的方法是在有问题的 pod 中执行命令，并尝试排除故障。这种方法很简单，但有许多缺点。

05

运维利器之万能的 strace

01

为什么无法用SIGTERM终止容器1号进程

kubernetes官网资料介绍在停止一个pod时会先发送SIGTERM给Pod各个容器的1号进程实现优雅退出，实际使用容器时会有用户没有关注到如果容器1号进程执行的程序或者脚本如果缺少注册SIGTERM信号handler会导致容器无法优雅退出，直到terminationGracePeriodSeconds时间到达后发送SIGKILL强制杀掉尚未退出的容器。这篇文章从内核实现机制分析为什么容器1号进程不注册SIGTERM信号handler会导致无法优雅停止容器。

K8s 一条默认参数引起的性能问题

系统资源的瓶颈，可以通过 USE 法，即使用率、饱和度以及错误数这三类指标来衡量。系统的资源，可以分为硬件资源和软件资源两类。

01

基于 Cilium 和 eBPF 检测容器逃逸

如果运行云原生工作负载均衡设施，则可以更好地保护我们的服务。毕竟，服务经常向公众暴露以及工作负载可能属于不同的租户。在这篇博文中，我将向大家展示访问我们的 Kubernetes 集群的攻击者如何进行容器逃逸：运行 Pod 以获得 root 权限，将 Pod 转义到主机上，并通过不可见的 Pod 和无文件执行来持续攻击。同时，我将向大家展示如何基于 Isovalent Cilium Enterprise 进行攻击检测。

03

基于 Cilium 和 eBPF 检测容器逃逸

如果运行云原生工作负载均衡设施，则可以更好地保护我们的服务。毕竟，服务经常向公众暴露以及工作负载可能属于不同的租户。在这篇博文中，我将向大家展示访问我们的 Kubernetes 集群的攻击者如何进行容器逃逸：运行 Pod 以获得 root 权限，将 Pod 转义到主机上，并通过不可见的 Pod 和无文件执行来持续攻击。同时，我将向大家展示如何基于 Isovalent Cilium Enterprise 进行攻击检测。

08

fork系统调用分析

在Linux中，主要是通过fork的方式产生新的进程，我们都知道每个进程都在内核对应一个PCB块，内核通过对PCB块的操作做到对进程的管理。在Linux内核中，PCB对应着的结构体就是task_struct，也就是所谓的进程描述符（process descriptor）。该数据结构中包含了程相关的所有信息，比如包含众多描述进程属性的字段，以及指向其他与进程相关的结构体的指针。因此，进程描述符内部是比较复杂的。这个结构体的声明位于include/linux/sched.h中。

03

自己动手写一个GDB｜基本功能

GDB 全称 the GNU Project debugger，主要用来调试用户态应用程序。

04

Linux进程启动过程分析do_execve(可执行程序的加载和运行)---Linux进程的管理与调度（十一）

我们前面提到了, fork, vfork等复制出来的进程是父进程的一个副本, 那么如何我们想加载新的程序, 可以通过execve来加载和启动新的程序。

03

如何利用Ptrace拦截和模拟Linux系统调用

ptrace(2)这个系统调用一般都跟调试离不开关系，它不仅是类Unix系统中本地调试器监控实现的主要机制，而且它还是strace系统调用常用的实现方法。ptrace()系统调用函数提供了一个进程（the “tracer”）监察和控制另一个进程（the “tracee”）的方法，它不仅可以监控系统调用，而且还能够检查和改变“tracee”进程的内存和寄存器里的数据，甚至它还可以拦截系统调用。

07

Swift中防止ptrace依附

在移动开发中，安全是一个很重要的话题，当然安全是没有绝对的，只能说尽可能的提高安全性。在iOS的开发中，为了防止别人窥视我们的App，我们得采用一些手段来进行防范。

03

iOS小技能：attribute的应用

LLVM和其他 GCC 特性一样，Clang 支持了 __attribute__，还加入了一小部分扩展特性。

02

如何进行Linux平台共享库替换

*本文原创作者：gaearrow，本文属FreeBuf原创奖励计划，未经许可禁止转载。共享库基础知识程序由源代码变成可执行文件，一般可以分解为四个步骤，分别是预处理（Prepressing）、编译（Compilation）、汇编（Assembly）和链接（Linking）。预处理过程主要处理源代码中以“#”开始的预编译指令；编译过程把预处理完成的文件进行词法、语法、语义等分析并产生相应的汇编代码文件；汇编过程将汇编代码文件翻译成机器可以执行的目标文件；链接过程将汇编生成的目标文件集合相连接并生成

08

CVE-2021-3156 sudo堆栈溢出漏洞预警

国外的Qualys 研究团队在 sudo 发现了堆溢出漏洞，sudo是一种几乎无处不在的非常实用程序，可用于大型 Unix 类操作系统（类似与windows的UAC功能，但是功能更加强大，它还允许用户使用其他用户的安全权限运行程序，不仅限于管理员哟）。

01

入侵检测之syscall监控

《Linux入侵检测》系列文章目录： 1️⃣企业安全建设之HIDS-设计篇 2️⃣入侵检测技术建设及其在场景下的运用 3️⃣ATT&CK矩阵linux系统实践/命令监控 4️⃣Linux入侵检测之文件监控 5️⃣Linux入侵检测之syscall监控 6️⃣linux入侵检测之应急响应 0x01:Syscall简介内核提供用户空间程序与内核空间进行交互的一套标准接口，这些接口让用户态程序能受限访问硬件设备，比如申请系统资源，操作设备读写，创建新进程等。用户空间发生请求，内核空间负责执行，这些接口便是用户空

01

强大的strace命令用法详解

按照strace官网的描述, strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器。我们用它来监控用户空间进程和内核的交互，比如系统调用、信号传递、进程状态变更等。

03

探索 ebpf 在 Node.js 中的应用

前言：ebpf 是现代 Linux 内核提供的非常复杂和强大的技术，它使得 Linux 内核变得可编程，不再是完全的黑盒子。随着 ebpf 的发展和成熟，其应用也越来越广泛，本文介绍如何使用 ebpf 来追踪 Node.js 底层的代码。

02

eBPF动手实践系列三：基于原生libbpf库的eBPF编程改进方案

在上一篇文章《eBPF动手实践系列二：构建基于纯C语言的eBPF项目》中，我们初步实现了脱离内核源码进行纯C语言eBPF项目的构建。libbpf库在早期和内核源码结合的比较紧密，如今的libbpf库更加成熟，已经完全脱离内核源码独立发展。

01

系统设计--内存泄漏该怎么分析？

strace会追踪程序运行时的整个生命周期，输出每一个系统调用的名字、参数、返回值和执行所消耗的时间等，是高级运维和开发人员排查问题的杀手铜。https://www.cnblogs.com/fadewalk/p/10847068.html

02

一个Python开源项目-哈勃沙箱源码剖析（下）

在上一篇中，我们讲解了哈勃沙箱的技术点，详细分析了静态检测和动态检测的流程。本篇接着对动态检测的关键技术点进行分析，包括strace，sysdig，volatility。volatility的介绍不会太深入，内存取证这部分的研究还需要继续。

01

深入Android源码系列（二） HOOK技术大作战

漫天的标题党的口水文打赏爆表，冷落了一群默默输出高质量文章的人群。真正的技术文章能否得到认可? 本文讲解内容有 hook技术原理探究 hook本进程方法 hook跨

05

Android逆向分析从入门到深入

学习逆向的初衷是想系统学习Android下的hook技术和工具, 想系统学习Android的hook技术和工具是因为Android移动性能实战这本书. 这本书里用hook技术hook一些关键函数来计算关键函数的调用参数和调用时长, 从而确定性能问题发生的位置和原因. 但目前没有比较系统的讲解hook的书籍, 所以就系统的了解下逆向分析.

02

从一道 CTF 题看 SROP | PWN

SROP 学习过程中，很大一部分人写的 smallest 这道题的 writeup 让我感觉很疑惑，为了证明他们写的存在一定问题，被迫走上了 pwntools + gdb 调试的路，所以这次只能用视频来进行展示了，文章剩余部分是讲义的内容也不知道因为啥，磨磨唧唧唠了近两个小时，在视频中，大家可以 get 以下内容： SROP 原理及利用一道 CTF 题的解题方法 pwntools + gdb 如何进行调试 SROP 整个过程中栈的内容是如何变化的一些偏执... 视频已经上传到 B 站了 https:/

02

【Android 逆向】ptrace 函数 ( C 标准库 ptrace 函数简介 | ptrace 函数真实作用 )

ptrace 函数 : 在 C 标准库中有一个 ptrace 函数 , 该函数是一个系统调用方法 , 可以监视进程执行 , 查看 / 更改被监视进程的内存和寄存器情况 , 常用于断点调试 ;

01

探索 ebpf 在 Node.js 中的应用

前言：ebpf 是现代 Linux 内核提供的非常复杂和强大的技术，它使得 Linux 内核变得可编程，不再是完全的黑盒子。随着 ebpf 的发展和成熟，其应用也越来越广泛，本文介绍如何使用 ebpf 来追踪 Node.js 底层的代码。

02

iOS逆向之【Anti ptrace】去掉ptrace反调试保护进行lldb调试的方案（内含demo）

Ptrace 提供了一种父进程可以控制子进程运行的机制，并可以检查和改变它的核心image。

01

Linux Capabilities 入门：让普通进程获得 root 的洪荒之力

Linux 是一种安全的操作系统，它把所有的系统权限都赋予了一个单一的 root 用户，只给普通用户保留有限的权限。root 用户拥有超级管理员权限，可以安装软件、允许某些服务、管理用户等。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭