Ptrace 詳解

引子:
1.在Linux系統中，進程狀態除了我們所熟知的TASK_RUNNING，TASK_INTERRUPTIBLE，TASK_STOPPED等，還有一個TASK_TRACED。這表明這個進程處於什么狀態？
2.strace可以方便的幫助我們記錄進程所執行的系統調用，它是如何跟蹤到進程執行的？
3.gdb是我們調試程序的利器，可以設置斷點，單步跟蹤程序。它的實現原理又是什么？

所有這一切的背后都隱藏着Linux所提供的一個強大的系統調用ptrace().

1.ptrace系統調用
ptrace系統調從名字上看是用於進程跟蹤的，它提供了父進程可以觀察和控制其子進程執行的能力，並允許父進程檢查和替換子進程的內核鏡像(包括寄存器)的值。其基本原理是: 當使用了ptrace跟蹤后，所有發送給被跟蹤的子進程的信號(除了SIGKILL)，都會被轉發給父進程，而子進程則會被阻塞，這時子進程的狀態就會被系統標注為TASK_TRACED。而父進程收到信號后，就可以對停止下來的子進程進行檢查和修改，然后讓子進程繼續運行。    
    其原型為：    
    #include <sys/ptrace.h>
    long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);
    ptrace有四個參數: 
    1). enum __ptrace_request request：指示了ptrace要執行的命令。
    2). pid_t pid: 指示ptrace要跟蹤的進程。
    3). void *addr: 指示要監控的內存地址。
    4). void *data: 存放讀取出的或者要寫入的數據。
ptrace是如此的強大，以至於有很多大家所常用的工具都基於ptrace來實現，如strace和gdb。接下來，我們借由對strace和gdb的實現，來看看ptrace是如何使用的。

2. strace的實現
strace常常被用來攔截和記錄進程所執行的系統調用，以及進程所收到的信號。如有這么一段程序：
HelloWorld.c:
#include <stdio.h>
int main(){
    printf("Hello World!/n");
    return 0;
}
編譯后，用strace跟蹤： strace ./HelloWorld
可以看到形如:
execve("./HelloWorld", ["./HelloWorld"], [/* 67 vars */]) = 0
brk(0)                                  = 0x804a000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7f18000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/home/supperman/WorkSpace/lib/tls/i686/sse2/libc.so.6", O_RDONLY) = -1 ENOENT (No such file or directory)
...
的一段輸出，這就是在執行HelloWorld中，系統所執行的系統調用，以及他們的返回值。

下面我們用ptrace來研究一下它是怎么實現的。
...
    switch(pid = fork())
    {
    case -1:
        return -1;
    case 0: //子進程
        ptrace(PTRACE_TRACEME,0,NULL,NULL);
        execl("./HelloWorld", "HelloWorld", NULL);
    default: //父進程
        wait(&val); //等待並記錄execve
        if(WIFEXITED(val))
            return 0;
        syscallID=ptrace(PTRACE_PEEKUSER, pid, ORIG_EAX*4, NULL);
        printf("Process executed system call ID = %ld/n",syscallID);
        ptrace(PTRACE_SYSCALL,pid,NULL,NULL);
        while(1)
        {
            wait(&val); //等待信號
            if(WIFEXITED(val)) //判斷子進程是否退出
                return 0;
            if(flag==0) //第一次(進入系統調用)，獲取系統調用的參數
            {
                syscallID=ptrace(PTRACE_PEEKUSER, pid, ORIG_EAX*4, NULL);
                printf("Process executed system call ID = %ld ",syscallID);
                flag=1;
            }
            else //第二次(退出系統調用)，獲取系統調用的返回值
            {
                returnValue=ptrace(PTRACE_PEEKUSER, pid, EAX*4, NULL);
                printf("with return value= %ld/n", returnValue);
                flag=0;
            }
            ptrace(PTRACE_SYSCALL,pid,NULL,NULL);
        }
    }
...

在上面的程序中，fork出的子進程先調用了ptrace(PTRACE_TRACEME)表示子進程讓父進程跟蹤自己。然后子進程調用execl加載執行了HelloWorld。而在父進程中則使用wait系統調用等待子進程的狀態改變。子進程因為設置了PTRACE_TRACEME而在執行系統調用被系統停止(設置為TASK_TRACED)，這時父進程被喚醒，使用ptrace(PTRACE_PEEKUSER,pid,...)分別去讀取子進程執行的系統調用ID(放在ORIG_EAX中)以及系統調用返回時的值(放在EAX中)。然后使用ptrace(PTRACE_SYSCALL,pid,...)指示子進程運行到下一次執行系統調用的時候(進入或者退出)，直到子進程退出為止。

程序的執行結果如下:
Process executed system call ID = 11
Process executed system call ID = 45 with return value= 134520832
Process executed system call ID = 192 with return value= -1208934400
Process executed system call ID = 33 with return value= -2
Process executed system call ID = 5 with return value= -2
...
其中，11號系統調用就是execve，45號是brk,192是mmap2,33是access,5是open...經過比對可以發現，和strace的輸出結果一樣。當然strace進行了更詳盡和完善的處理，我們這里只是揭示其原理，感興趣的同學可以去研究一下strace的實現。

PS: 
    1). 在系統調用執行的時候，會執行pushl %eax # 保存系統調用號ORIG_EAX在程序用戶棧中。
    2). 在系統調用返回的時候，會執行movl %eax,EAX(%esp)將系統調用的返回值放入寄存器%eax中。
    3). WIFEXITED()宏用來判斷子進程是否為正常退出的，如果是，它會返回一個非零值。
    4). 被跟蹤的程序在進入或者退出某次系統調用的時候都會觸發一個SIGTRAP信號，而被父進程捕獲。
    5). execve()系統調用執行成功的時候並沒有返回值，因為它開始執行一段新的程序，並沒有"返回"的概念。失敗的時候會返回-1。
    6). 在父進程進行進行操作的時候，用ps查看，可以看到子進程的狀態為T,表示子進程處於TASK_TRACED狀態。當然為了更具操作性，你可以在父進程中加入sleep()。

 

3. GDB的實現
GDB是GNU發布的一個強大的程序調試工具，用以調試C/C++程序。可以使程序員在程序運行的時候觀察程序在內存/寄存器中的使用情況。它的實現也是基於ptrace系統調用來完成的。
其原理是利用ptrace系統調用，在被調試程序和gdb之間建立跟蹤關系。然后所有發送給被調試程序的信號(除SIGKILL)都會被gdb截獲，gdb根據截獲的信號，查看被調試程序相應的內存地址，並控制被調試的程序繼續運行。GDB常用的使用方法有斷點設置和單步跟蹤，接下來我們來分析一下他們是如何實現的。

3.1 建立調試關系
用gdb調試程序，可以直接gdb ./test,也可以gdb <pid>(test的進程號)。這對應着使用ptrace建立跟蹤關系的兩種方式:
1)fork: 利用fork+execve執行被測試的程序，子進程在執行execve之前調用ptrace(PTRACE_TRACEME)，建立了與父進程(debugger)的跟蹤關系。如我們在分析strace時所示意的程序。
2)attach: debugger可以調用ptrace(PTRACE_ATTACH，pid,...)，建立自己與進程號為pid的進程間的跟蹤關系。即利用PTRACE_ATTACH，使自己變成被調試程序的父進程(用ps可以看到)。用attach建立起來的跟蹤關系，可以調用ptrace(PTRACE_DETACH，pid,...)來解除。注意attach進程時的權限問題，如一個非root權限的進程是不能attach到一個root進程上的。

3.2 斷點原理
斷點是大家在調試程序時常用的一個功能,如break linenumber，當執行到linenumber那一行的時候被調試程序會停止，等待debugger的進一步操作。 
斷點的實現原理，就是在指定的位置插入斷點指令，當被調試的程序運行到斷點的時候，產生SIGTRAP信號。該信號被gdb捕獲並進行斷點命中判定，當gdb判斷出這次SIGTRAP是斷點命中之后就會轉入等待用戶輸入進行下一步處理，否則繼續。
斷點的設置原理: 在程序中設置斷點，就是先將該位置的原來的指令保存，然后向該位置寫入int 3。當執行到int 3的時候，發生軟中斷，內核會給子進程發出SIGTRAP信號，當然這個信號會被轉發給父進程。然后用保存的指令替換int3,等待恢復運行。
斷點命中判定:gdb把所有的斷點位置都存放在一個鏈表中，命中判定即把被調試程序當前停止的位置和鏈表中的斷點位置進行比較，看是斷點產生的信號，還是無關信號。

3.3 單步跟蹤原理
單步跟蹤就是指在調試程序的時候，讓程序運行一條指令/語句后就停下。GDB中常用的命令有next, step, nexti, stepi。單步跟蹤又常分為語句單步(next, step)和指令單步(如nexti, stepi)。

在linux上，指令單步可以通過ptrace來實現。調用ptrace(PTRACE_SINGLESTEP,pid,...)可以使被調試的進程在每執行完一條指令后就觸發一個SIGTRAP信號，讓GDB運行。下面來看一個例子:
    child = fork();
    if(child == 0) {
         execl("./HelloWorld", "HelloWorld", NULL);
    }
    else {
        ptrace(PTRACE_ATTACH,child,NULL,NULL);
        while(1){
        wait(&val);
        if(WIFEXITED(val))
            break;
        count++;
        ptrace(PTRACE_SINGLESTEP,child,NULL,NULL);
        }
    printf("Total Instruction number= %d/n",count);
    }
這段程序比較簡單，子進程調用execve執行HelloWorld,而父進程則先調用ptrace(PTRACE_ATTACH,pid,...)建立與子進程的跟蹤關系。然后調用ptrace(PTRACE_SINGLESTEP, pid, ...)讓子進程一步一停，以統計子進程一共執行了多少條指令(你會發現一個簡單的HelloWorld實際上也執行了好幾萬條指令才完成)。當然你也完全可以在這個時候查看EIP寄存器中存放的指令，或者某個變量的值，當然前提是你得知道這個變量在子進程內存鏡像中的位置。
指令單步可以依靠硬件完成，如x86架構處理器支持單步模式(通過設置EFLAGS寄存器的TF標志實現)，每執行一條指令，就會產生一次異常(在Intel 80386以上的處理器上還提供了DRx調試寄存器以用於軟件調試)。也可以通過軟件完成，即在每條指令后面都插入一條斷點指令，這樣每執行一條指令都會產生一次軟中斷。
語句單步基於指令單步實現，即GDB算好每條語句所對應的指令，從什么地方開始到什么地方結束。然后在結束的地方插入斷點，或者指令單步一步一步的走到結束點，再進行處理。

當然gdb的實現遠比今天我們所說的內容要復雜，它能讓我們很容易的監測，修改被調試的進程，比如通過行號，函數名，變量名。而要真正實現這些，一是需要在編譯的時候提供足夠的信息，如在gcc時加入-g選項，這樣gcc會把一些程序信息放到生成的ELF文件中，包括函數符號表，行號，變量信息，宏定義等，以便日后gdb調試，當然生成的文件也會大一些。二是需要我們對ELF文件格式，進程的內存鏡像(布局)以及程序的指令碼十分熟悉。這樣才能保證在正確的時機(斷點發生？單步？)找到正確的內存地址(代碼？數據？)並鏈接回正確的程序代碼(這是哪個變量？程序第幾行？)。感興趣的同學可以找到相應的代碼仔細分析一下。

小結:
ptrace可以實時監測和修改另一個進程的運行，它是如此的強大以至於曾經因為它在unix-like平台(如Linux, *BSD)上產生了各種漏洞。但換言之，只要我們能掌握它的使用，就能開發出很多以前在用戶態下不可能實現的應用。當然這可能需要我們掌握編譯，文件格式，程序內存布局等相當多的底層知識。

最后讓我們來回顧一下ptrace的使用:
1)用PTRACE_ATTACH或者PTRACE_TRACEME 建立進程間的跟蹤關系。
2)PTRACE_PEEKTEXT, PTRACE_PEEKDATA, PTRACE_PEEKUSR等讀取子進程內存/寄存器中保留的值。
3)PTRACE_POKETEXT, PTRACE_POKEDATA, PTRACE_POKEUSR等把值寫入到被跟蹤進程的內存/寄存器中。
4)用PTRACE_CONT，PTRACE_SYSCALL, PTRACE_SINGLESTEP控制被跟蹤進程以何種方式繼續運行。
5)PTRACE_DETACH, PTRACE_KILL 脫離進程間的跟蹤關系。

TIPS:
    1. 進程狀態TASK_TRACED用以表示當前進程因為被父進程跟蹤而被系統停止。
    2. 如在子進程結束前，父進程結束，則trace關系解除。
    3. 利用attach建立起來的跟蹤關系，雖然ps看到雙方為父子關系，但在"子進程"中調用getppid()仍會返回原來的父進程id。
    4. 不能attach到自己不能跟蹤的進程，如non-root進程跟蹤root進程。
    5. 已經被trace的進程，不能再次被attach。
    6. 即使是用PTRACE_TRACEME建立起來的跟蹤關系，也可以用DETACH的方式予以解除。
    7. 因為進入/退出系統調用都會觸發一次SIGTRAP，所以通常的做法是在第一次(進入)的時候讀取系統調用的參數，在第二次(退出)的時候讀取系統調用的返回值。但注意execve是個例外。
    8. 程序調試時的斷點由int 3設置完成，而單步跟蹤則可由ptrace(PTRACE_SINGLESTEP)實現。