리눅스에서 ptrace는 어떻게 작동합니까?

리눅스에서 ptrace는 어떻게 작동합니까?

그ptrace시스템 호출을 통해 부모 프로세스가 연결된 자식을 검사할 수 있습니다.예를 들어 Linux의 경우strace(이 기능은 다음과 함께 구현됨)ptracesystem call)은 하위 프로세스에 의해 호출되는 시스템 호출을 검사할 수 있습니다.

연결된 자식 프로세스가 시스템 호출을 호출하면 추적 부모 프로세스에 알립니다.하지만 정확히 어떻게 그런 일이 일어날까요?저는 이 메커니즘에 대한 기술적인 세부 사항을 알고 싶습니다.

잘 부탁드립니다.

연결된 자식 프로세스가 시스템 호출을 호출하면 추적 부모 프로세스에 알립니다.하지만 정확히 어떻게 그런 일이 일어날까요?

상위 프로세스 호출ptrace와 함께PTRACE_ATTACH그리고 그의 아이가 전화를 합니다.ptrace와 함께PTRACE_TRACEME선택.이 쌍은 내부의 일부 필드를 채워 두 프로세스를 연결합니다(커널/ptrace.c: sys_ptrace, 하위 프로세스는PT_PTRACED기어들어가다.ptrace의 분야.struct task_struct그리고 ptracer 프로세스의 pid를 부모로서 그리고 in.ptrace_entrylist - ; 부모는 자녀의 pid를 기록합니다.ptraced목록)을 선택합니다.

그러면 트레이스가 전화할 겁니다.ptrace와 함께PTRACE_SYSCALLsyscall 디버거로 등록하기 위한 플래그, thread_debugger 설정TIF_SYSCALL_TRACE소아과에서.struct thread_info(같은 것에 의해)set_tsk_thread_flag(child, TIF_SYSCALL_TRACE);). arch/x86/include/asm/thread_info.h:

 67 /*
 68  * thread information flags
 69  * - these are process state flags that various assembly files
 70  *   may need to access   ...*/

 75 #define TIF_SYSCALL_TRACE       0       /* syscall trace active */
 99 #define _TIF_SYSCALL_TRACE      (1 << TIF_SYSCALL_TRACE)

모든 syscall 엔트리나 종료 시 아키텍처별 syscall 엔트리 코드는 이 플래그를 확인합니다(예: x86:jnz syscall_trace_entry에ENTRY(system_call))의 유사한 코드가 설정되어 있으면 신호(SIGTRAP)와 함께 ptracer에 통지되고 자식이 일시적으로 정지됩니다.이 작업은 일반적으로 및 에서 수행됩니다.syscall_trace_leave:

1457 long syscall_trace_enter(struct pt_regs *regs)

1483         if ((ret || test_thread_flag(TIF_SYSCALL_TRACE)) &&
1484             tracehook_report_syscall_entry(regs))
1485                 ret = -1L;

1507 void syscall_trace_leave(struct pt_regs *regs)

1531         if (step || test_thread_flag(TIF_SYSCALL_TRACE))
1532                 tracehook_report_syscall_exit(regs, step);

그tracehook_report_syscall_*여기 실제 근로자들입니까, 그들은 전화할 것입니다.ptrace_report_syscall. include/linux/tracehook.h:

 80 /**
 81  * tracehook_report_syscall_entry - task is about to attempt a system call
 82  * @regs:               user register state of current task
 83  *
 84  * This will be called if %TIF_SYSCALL_TRACE has been set, when the
 85  * current task has just entered the kernel for a system call.
 86  * Full user register state is available here.  Changing the values
 87  * in @regs can affect the system call number and arguments to be tried.
 88  * It is safe to block here, preventing the system call from beginning.
 89  *
 90  * Returns zero normally, or nonzero if the calling arch code should abort
 91  * the system call.  That must prevent normal entry so no system call is
 92  * made.  If @task ever returns to user mode after this, its register state
 93  * is unspecified, but should be something harmless like an %ENOSYS error
 94  * return.  It should preserve enough information so that syscall_rollback()
 95  * can work (see asm-generic/syscall.h).
 96  *
 97  * Called without locks, just after entering kernel mode.
 98  */
 99 static inline __must_check int tracehook_report_syscall_entry(
100         struct pt_regs *regs)
101 {
102         return ptrace_report_syscall(regs);
103 }
104 
105 /**
106  * tracehook_report_syscall_exit - task has just finished a system call
107  * @regs:               user register state of current task
108  * @step:               nonzero if simulating single-step or block-step
109  *
110  * This will be called if %TIF_SYSCALL_TRACE has been set, when the
111  * current task has just finished an attempted system call.  Full
112  * user register state is available here.  It is safe to block here,
113  * preventing signals from being processed.
114  *
115  * If @step is nonzero, this report is also in lieu of the normal
116  * trap that would follow the system call instruction because
117  * user_enable_block_step() or user_enable_single_step() was used.
118  * In this case, %TIF_SYSCALL_TRACE might not be set.
119  *
120  * Called without locks, just before checking for pending signals.
121  */
122 static inline void tracehook_report_syscall_exit(struct pt_regs *regs, int step)
123 {
...
130 
131         ptrace_report_syscall(regs);
132 }

그리고 다음을 통해 디버거나 트레이스를 위한 SIGTRAP을 생성합니다.ptrace_notify/ptrace_do_notify:

 55 /*
 56  * ptrace report for syscall entry and exit looks identical.
 57  */
 58 static inline int ptrace_report_syscall(struct pt_regs *regs)
 59 {
 60         int ptrace = current->ptrace;
 61 
 62         if (!(ptrace & PT_PTRACED))
 63                 return 0;
 64 
 65         ptrace_notify(SIGTRAP | ((ptrace & PT_TRACESYSGOOD) ? 0x80 : 0));
 66 
 67         /*
 68          * this isn't the same as continuing with a signal, but it will do
 69          * for normal use.  strace only continues with a signal if the
 70          * stopping signal is not SIGTRAP.  -brl
 71          */
 72         if (current->exit_code) {
 73                 send_sig(current->exit_code, current, 1);
 74                 current->exit_code = 0;
 75         }
 76 
 77         return fatal_signal_pending(current);
 78 }

ptrace_notify에서 구현되며 자식을 중지하고 sig_info를 ptracer에 전달합니다.

1961 static void ptrace_do_notify(int signr, int exit_code, int why)
1962 {
1963         siginfo_t info;
1964 
1965         memset(&info, 0, sizeof info);
1966         info.si_signo = signr;
1967         info.si_code = exit_code;
1968         info.si_pid = task_pid_vnr(current);
1969         info.si_uid = from_kuid_munged(current_user_ns(), current_uid());
1970 
1971         /* Let the debugger run.  */
1972         ptrace_stop(exit_code, why, 1, &info);
1973 }
1974 
1975 void ptrace_notify(int exit_code)
1976 {
1977         BUG_ON((exit_code & (0x7f | ~0xffff)) != SIGTRAP);
1978         if (unlikely(current->task_works))
1979                 task_work_run();
1980 
1981         spin_lock_irq(&current->sighand->siglock);
1982         ptrace_do_notify(SIGTRAP, exit_code, CLD_TRAPPED);
1983         spin_unlock_irq(&current->sighand->siglock);
1984 }

ptrace_stop같은 안에 있음signal.c파일, 3.13행 1839호.

언급URL : https://stackoverflow.com/questions/23928530/how-does-ptrace-work-in-linux