3

我正在使用 ptrace(PTRACE_ATTACH...) 附加到一个进程,而它处于系统调用中(如 nanosleep())。我可以使用 PTRACE_GETREGS 来获取寄存器内容,并且 eip 位于预期位置(在 __kernel_vsyscall 中)。但是,eax 和 orig_eax 寄存器有意外的内容:eax 通常包含 -516,而 orig_eax 通常为 0。

这是我使用的测试程序(取自http://www.linuxjournal.com/article/6210并稍作修改):

    #include <stdlib.h>
    #include <stdio.h>
    #include <sys/ptrace.h>
    #include <sys/types.h>
    #include <sys/wait.h>
    #include <unistd.h>
    #include <sys/user.h>

    int main(int argc, char *argv[])
    {
        pid_t traced_process;
        struct user_regs_struct regs;
        long ins;
        if(argc != 2) {
            printf("Usage: %s <pid to be traced>\n",
                   argv[0]);
            exit(1);
        }
        traced_process = atoi(argv[1]);
        ptrace(PTRACE_ATTACH, traced_process,
               NULL, NULL);
        wait(NULL);
        ptrace(PTRACE_GETREGS, traced_process,
               NULL, &regs);
        printf("eax: %lx (%d); orig_eax: %lx\n",
               regs.eax, (int)regs.eax, regs.orig_eax);
        ins = ptrace(PTRACE_PEEKTEXT, traced_process,
                     regs.eip, NULL);
        printf("EIP: %lx Instruction executed: %lx\n",
               regs.eip, ins);
        ptrace(PTRACE_DETACH, traced_process,
               NULL, NULL);
        return 0;
    }

附加到在另一个终端中运行的“sleep 10000”命令时的输出:

    eax: fffffdfc (-516); orig_eax: 0
    EIP: b7711424 Instruction executed: c3595a5d

eax中的值是什么意思?为什么 orig_eax 不包含原始系统调用号(如 162)?在这种情况下,我如何实际获取系统调用号?

另外,为什么 gdb 正确显示“print $orig_eax”的“162”?

顺便提一句。这是在 Ubuntu 12.04 上,内核为 3.2.0:

  • uname -a:“Linux edgebox 3.2.0-24-generic-pae #37-Ubuntu SMP Wed Apr 25 10:47:59 UTC 2012 i686 athlon i386 GNU/Linux”
  • /proc/cpuinfo:“AMD Athlon(tm) II Neo K345 双核处理器”
  • 文件which sleep:“/bin/sleep:ELF 32 位 LSB 可执行文件,Intel 80386,版本 1 (SYSV),动态链接(使用共享库),适用于 GNU/Linux 2.6.24,BuildID[sha1]=0x0965431bde4d183eaa2fa3e3989098ce46b92129,已剥离”。

所以它是一个 32 位 PAE 内核和 64 位 CPU 上的 32 位 Ubuntu 安装。

4

3 回答 3

1

当您附加到进程时,会向进程发送一个信号,该信号会中断正在进行的任何系统调用。如果发生这种情况,大多数系统调用只会返回 -EINTR,并期望用户空间代码在需要时重新启动它们。还有其他系统调用可以自动重新启动,但这是一个更大的话题。

在某些系统调用的情况下,其中 nanosleep() 是其中之一,进程已经休眠了指定时间的一部分,因此您不想从头开始重新启动,而是只想休眠剩余的时间。为此,每个线程在内核空间中都有一个“重启块”。当系统调用被中断时,它会填充重启块,并返回 -516 (ERESTART_RESTARTBLOCK)。内核特别对待这个返回码:它将 pc 倒回到系统调用之前,并将系统调用号更改为“restart_syscall”(在您的体系结构上为 0)。当进程重新启动时,它显然会调用 restart_syscall ,它使用重新启动块来确定要做什么。

这种重新启动通常对用户来说是不可见的,但 ptrace 是发现它的一种方法。但是我不知道 GDB 设法为 orig_eax 获得正确的值。

于 2014-09-01T16:16:43.830 回答
0

这是在 Ubuntu 12.04 上,内核为 3.2.0

这不能唯一标识您的系统。什么处理器?

我的水晶球告诉我sleep你正在调用的是一个 64 位程序,而你的跟踪程序不是。或相反亦然。

于 2012-06-29T21:30:50.480 回答
0

当休眠进程被 ptrace(PTRACE_ATTACH) 停止时,tracer 进程可以获取 registers(user_regs_struct) 信息。系统调用号为 162,即sys_nanosleep, eax=-516 表示本次中断系统调用的返回值。

于 2015-02-04T02:15:45.440 回答