3. GDB的實(shí)現(xiàn)
GDB是GNU發(fā)布的一個(gè)強(qiáng)大的程序調(diào)試工具,用以調(diào)試C/C++程序。可以使程序員在程序運(yùn)行的時(shí)候觀察程序在內(nèi)存/寄存器中的使用情況。它的實(shí)現(xiàn)也是基于ptrace系統(tǒng)調(diào)用來完成的。
其
原理是利用ptrace系統(tǒng)調(diào)用,在被調(diào)試程序和gdb之間建立跟蹤關(guān)系。然后所有發(fā)送給被調(diào)試程序的信號(hào)(除SIGKILL)都會(huì)被gdb截獲,gdb
根據(jù)截獲的信號(hào),查看被調(diào)試程序相應(yīng)的內(nèi)存地址,并控制被調(diào)試的程序繼續(xù)運(yùn)行。GDB常用的使用方法有斷點(diǎn)設(shè)置和單步跟蹤,接下來我們來分析一下他們是如
何實(shí)現(xiàn)的。
3.1 建立調(diào)試關(guān)系
用gdb調(diào)試程序,可以直接gdb ./test,也可以gdb <pid>(test的進(jìn)程號(hào))。這對(duì)應(yīng)著使用ptrace建立跟蹤關(guān)系的兩種方式:
1)fork: 利用fork+execve執(zhí)行被測(cè)試的程序,子進(jìn)程在執(zhí)行execve之前調(diào)用ptrace(PTRACE_TRACEME),建立了與父進(jìn)程(debugger)的跟蹤關(guān)系。如我們?cè)诜治鰏trace時(shí)所示意的程序。
2)attach:
debugger可以調(diào)用ptrace(PTRACE_ATTACH,pid,...),建立自己與進(jìn)程號(hào)為pid的進(jìn)程間的跟蹤關(guān)系。即利用
PTRACE_ATTACH,使自己變成被調(diào)試程序的父進(jìn)程(用ps可以看到)。用attach建立起來的跟蹤關(guān)系,可以調(diào)用ptrace
(PTRACE_DETACH,pid,...)來解除。注意attach進(jìn)程時(shí)的權(quán)限問題,如一個(gè)非root權(quán)限的進(jìn)程是不能attach到一個(gè)
root進(jìn)程上的。
3.2 斷點(diǎn)原理
斷點(diǎn)是大家在調(diào)試程序時(shí)常用的一個(gè)功能,如break linenumber,當(dāng)執(zhí)行到linenumber那一行的時(shí)候被調(diào)試程序會(huì)停止,等待debugger的進(jìn)一步操作。
斷點(diǎn)的實(shí)現(xiàn)原理,就是在指定的位置插入斷點(diǎn)指令,當(dāng)被調(diào)試的程序運(yùn)行到斷點(diǎn)的時(shí)候,產(chǎn)生SIGTRAP信號(hào)。該信號(hào)被gdb捕獲并進(jìn)行斷點(diǎn)命中判定,當(dāng)gdb判斷出這次SIGTRAP是斷點(diǎn)命中之后就會(huì)轉(zhuǎn)入等待用戶輸入進(jìn)行下一步處理,否則繼續(xù)。
斷點(diǎn)的設(shè)置原理: 在程序中設(shè)置斷點(diǎn),就是先將該位置的原來的指令保存,然后向該位置寫入int 3。當(dāng)執(zhí)行到int 3的時(shí)候,發(fā)生軟中斷,內(nèi)核會(huì)給子進(jìn)程發(fā)出SIGTRAP信號(hào),當(dāng)然這個(gè)信號(hào)會(huì)被轉(zhuǎn)發(fā)給父進(jìn)程。然后用保存的指令替換int3,等待恢復(fù)運(yùn)行。
斷點(diǎn)命中判定:gdb把所有的斷點(diǎn)位置都存放在一個(gè)鏈表中,命中判定即把被調(diào)試程序當(dāng)前停止的位置和鏈表中的斷點(diǎn)位置進(jìn)行比較,看是斷點(diǎn)產(chǎn)生的信號(hào),還是無關(guān)信號(hào)。
3.3 單步跟蹤原理
單步跟蹤就是指在調(diào)試程序的時(shí)候,讓程序運(yùn)行一條指令/語句后就停下。GDB中常用的命令有next, step, nexti, stepi。單步跟蹤又常分為語句單步(next, step)和指令單步(如nexti, stepi)。
在linux上,指令單步可以通過ptrace來實(shí)現(xiàn)。調(diào)用ptrace(PTRACE_SINGLESTEP,pid,...)可以使被調(diào)試的進(jìn)程在每執(zhí)行完一條指令后就觸發(fā)一個(gè)SIGTRAP信號(hào),讓GDB運(yùn)行。下面來看一個(gè)例子:
child = fork();
if(child == 0) {
execl("./HelloWorld", "HelloWorld", NULL);
}
else {
ptrace(PTRACE_ATTACH,child,NULL,NULL);
while(1){
wait(&val);
if(WIFEXITED(val))
break;
count++;
ptrace(PTRACE_SINGLESTEP,child,NULL,NULL);
}
printf("Total Instruction number= %d\n",count);
}
這
段程序比較簡單,子進(jìn)程調(diào)用execve執(zhí)行HelloWorld,而父進(jìn)程則先調(diào)用ptrace(PTRACE_ATTACH,pid,...)建立與
子進(jìn)程的跟蹤關(guān)系。然后調(diào)用ptrace(PTRACE_SINGLESTEP, pid,
...)讓子進(jìn)程一步一停,以統(tǒng)計(jì)子進(jìn)程一共執(zhí)行了多少條指令(你會(huì)發(fā)現(xiàn)一個(gè)簡單的HelloWorld實(shí)際上也執(zhí)行了好幾萬條指令才完成)。當(dāng)然你也完
全可以在這個(gè)時(shí)候查看EIP寄存器中存放的指令,或者某個(gè)變量的值,當(dāng)然前提是你得知道這個(gè)變量在子進(jìn)程內(nèi)存鏡像中的位置。
指令單步可以依靠硬件
完成,如x86架構(gòu)處理器支持單步模式(通過設(shè)置EFLAGS寄存器的TF標(biāo)志實(shí)現(xiàn)),每執(zhí)行一條指令,就會(huì)產(chǎn)生一次異常(在Intel
80386以上的處理器上還提供了DRx調(diào)試寄存器以用于軟件調(diào)試)。也可以通過軟件完成,即在每條指令后面都插入一條斷點(diǎn)指令,這樣每執(zhí)行一條指令都會(huì)
產(chǎn)生一次軟中斷。
語句單步基于指令單步實(shí)現(xiàn),即GDB算好每條語句所對(duì)應(yīng)的指令,從什么地方開始到什么地方結(jié)束。然后在結(jié)束的地方插入斷點(diǎn),或者指令單步一步一步的走到結(jié)束點(diǎn),再進(jìn)行處理。
當(dāng)
然gdb的實(shí)現(xiàn)遠(yuǎn)比今天我們所說的內(nèi)容要復(fù)雜,它能讓我們很容易的監(jiān)測(cè),修改被調(diào)試的進(jìn)程,比如通過行號(hào),函數(shù)名,變量名。而要真正實(shí)現(xiàn)這些,一是需要在
編譯的時(shí)候提供足夠的信息,如在gcc時(shí)加入-g選項(xiàng),這樣gcc會(huì)把一些程序信息放到生成的ELF文件中,包括函數(shù)符號(hào)表,行號(hào),變量信息,宏定義等,
以便日后gdb調(diào)試,當(dāng)然生成的文件也會(huì)大一些。二是需要我們對(duì)ELF文件格式,進(jìn)程的內(nèi)存鏡像(布局)以及程序的指令碼十分熟悉。這樣才能保證在正確的
時(shí)機(jī)(斷點(diǎn)發(fā)生?單步?)找到正確的內(nèi)存地址(代碼?數(shù)據(jù)?)并鏈接回正確的程序代碼(這是哪個(gè)變量?程序第幾行?)。感興趣的同學(xué)可以找到相應(yīng)的代碼仔
細(xì)分析一下。
小結(jié):
ptrace可以實(shí)時(shí)監(jiān)測(cè)和修改另一個(gè)進(jìn)程的運(yùn)行,它是如此的強(qiáng)大以至于曾經(jīng)因?yàn)樗趗nix-like平臺(tái)
(如Linux,
*BSD)上產(chǎn)生了各種漏洞。但換言之,只要我們能掌握它的使用,就能開發(fā)出很多以前在用戶態(tài)下不可能實(shí)現(xiàn)的應(yīng)用。當(dāng)然這可能需要我們掌握編譯,文件格
式,程序內(nèi)存布局等相當(dāng)多的底層知識(shí)。
最后讓我們來回顧一下ptrace的使用:
1)用PTRACE_ATTACH或者PTRACE_TRACEME 建立進(jìn)程間的跟蹤關(guān)系。
2)PTRACE_PEEKTEXT, PTRACE_PEEKDATA, PTRACE_PEEKUSR等讀取子進(jìn)程內(nèi)存/寄存器中保留的值。
3)PTRACE_POKETEXT, PTRACE_POKEDATA, PTRACE_POKEUSR等把值寫入到被跟蹤進(jìn)程的內(nèi)存/寄存器中。
4)用PTRACE_CONT,PTRACE_SYSCALL, PTRACE_SINGLESTEP控制被跟蹤進(jìn)程以何種方式繼續(xù)運(yùn)行。
5)PTRACE_DETACH, PTRACE_KILL 脫離進(jìn)程間的跟蹤關(guān)系。
TIPS:
1. 進(jìn)程狀態(tài)TASK_TRACED用以表示當(dāng)前進(jìn)程因?yàn)楸桓高M(jìn)程跟蹤而被系統(tǒng)停止。
2. 如在子進(jìn)程結(jié)束前,父進(jìn)程結(jié)束,則trace關(guān)系解除。
3. 利用attach建立起來的跟蹤關(guān)系,雖然ps看到雙方為父子關(guān)系,但在"子進(jìn)程"中調(diào)用getppid()仍會(huì)返回原來的父進(jìn)程id。
4. 不能attach到自己不能跟蹤的進(jìn)程,如non-root進(jìn)程跟蹤root進(jìn)程。
5. 已經(jīng)被trace的進(jìn)程,不能再次被attach。
6. 即使是用PTRACE_TRACEME建立起來的跟蹤關(guān)系,也可以用DETACH的方式予以解除。
7. 因?yàn)檫M(jìn)入/退出系統(tǒng)調(diào)用都會(huì)觸發(fā)一次SIGTRAP,所以通常的做法是在第一次(進(jìn)入)的時(shí)候讀取系統(tǒng)調(diào)用的參數(shù),在第二次(退出)的時(shí)候讀取系統(tǒng)調(diào)用的返回值。但注意execve是個(gè)例外。
8. 程序調(diào)試時(shí)的斷點(diǎn)由int 3設(shè)置完成,而單步跟蹤則可由ptrace(PTRACE_SINGLESTEP)實(shí)現(xiàn)。
Pthread 08/01/14
原文地址:http://blog.csdn.net/Javadino/archive/2008/09/06/2891434.aspx