ptrace

下面是转帖的内容,写的很详细.但是不同的linux发行版中头文件的路径和名称并不相同.如在某些发行版中<linux/user.h>就不存在,其中定义的变量出现在<asm/ptrace-abi.h>和<sys/user.h>中. ================================================================================================== by Pradeep Padala Create

最近需要在mips上做监控,最底层的话就是调用kernel中的监控了,也就是ptrace了,gdb也是基于此的. 遇到一个问题,无论是使用attach还是fork一个新的进程,都无法唤醒被监控进程(子进程),发现在kernel3.4上是ok的. 后面发现是kernel2.6.32中,mips架构的ptrace存在一个bug,而2.6.34中被修复了. 具体可见: https://sourceforge.net/p/strace/mailman/message/31856938/ 然后patch在

网站总是出现bad gateway 提示,时有,时无,查看了一下日志,居然出现一堆错误,如下 [29-Mar-2014 22:40:10] ERROR: failed to ptrace(PEEKDATA) pid 4276: Input/output error (5) [29-Mar-2014 22:53:54] ERROR: failed to ptrace(PEEKDATA) pid 4319: Input/output error (5) [29-Mar-2014 22:56:30]

转自http://www.cnblogs.com/catch/p/3476280.html [本文翻译自这里: http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提供了一种很优雅的

近日,百度安全实验室发现了一款"聊天剽窃手"病毒,该病毒能够通过ptrace方式注入恶意代码至QQ.微信程序进程,恶意代码能够实时监控手机QQ.微信的聊天内容及联系人信息.该病毒是目前发现的首款通过ptrace进程注入方式进行恶意窃取私密资料的病毒. 简介 该病毒主要是通过ptrace注入QQ和微信进程进行信息窃取的,主程序调用assets中的inject_appso,libcall.so以及conn.jar联合进行"作案",在conn.jar中获取聊天信息/最近联

关于ptrace,是在linux kernel中自带的模块,一个函数接口,能做的事情很多. 找到了两篇关于ptrace使用的blog,很详细,包括例子啥的. ptrace的相关参数: http://blog.163.com/[email protected]/blog/static/6742308720123683433989/ ptrace的使用demo: http://zhangwenxin82.blog.163.com/blog/static/11459595620117151051245

概述 “聊天剽窃手”Windseeker是一款间谍软件,它使用了ptrace进程注入技术,能够对微信和QQ的聊天记录进行监控. 软件安装后的桌面图标和启动界面如图所示:   行为分析 该应用首先获取手机root权限,将assert目录下的inject_appso.libcall.so.conn.jar三个文件复制到三个不同的路径下: (1)将libcall.so复制到/system/lib/目录下: (2)将inject_appso复制到/system/bin目录下 (3)将conn.jar复制

X86_64 的 Redhat / Centos / Scientific 下面,若要编译.运行32位程序,需要安装以下包: yum install libgcc.i686 yum install glibc-static.i686 yum install glibc-devel.i686 #include <sys/ptrace.h> #include <sys/types.h> #include <sys/wait.h> #include <unistd.h&

#include <sys/ptrace.h> #include <sys/types.h> #include <sys/wait.h> #include <unistd.h> #include <sys/reg.h> //#include <linux/user.h> #include <sys/syscall.h> const int long_size = sizeof(long); void reverse(cha

1. 简介 使用ptrace向已运行进程中注入.so并执行相关函数,其中的“注入”二字的真正含义为:此.so被link到已运行进程(以下简称为:目标进程)空间中,从而.so中的函数在目标进程空间中有对应的地址,然后通过此地址便可在目标进程中进行调用. 到底是如何注入的呢? 本文实现方案为:在目标进程中,通过dlopen把需要注入的.so加载到目标进程的空间中. 2. 如何让目标进程执行dlopen加载.so? 显然,目标进程本来是没有实现通过dlopen来加载我们想注入的.so,为了实现此功能,