elva

[Pthread] Linux程序調(diào)試的基石(二)--Inside GDB

3. GDB的實(shí)現(xiàn)
GDB是GNU發(fā)布的一個(gè)強(qiáng)大的程序調(diào)試工具，用以調(diào)試C/C++程序?？梢允钩绦騿T在程序運(yùn)行的時(shí)候觀察程序在內(nèi)存/寄存器中的使用情況。它的實(shí)現(xiàn)也是基于ptrace系統(tǒng)調(diào)用來(lái)完成的。
其 原理是利用ptrace系統(tǒng)調(diào)用，在被調(diào)試程序和gdb之間建立跟蹤關(guān)系。然后所有發(fā)送給被調(diào)試程序的信號(hào)(除SIGKILL)都會(huì)被gdb截獲，gdb 根據(jù)截獲的信號(hào)，查看被調(diào)試程序相應(yīng)的內(nèi)存地址，并控制被調(diào)試的程序繼續(xù)運(yùn)行。GDB常用的使用方法有斷點(diǎn)設(shè)置和單步跟蹤，接下來(lái)我們來(lái)分析一下他們是如 何實(shí)現(xiàn)的。

3.1 建立調(diào)試關(guān)系
用gdb調(diào)試程序，可以直接gdb ./test,也可以gdb <pid>(test的進(jìn)程號(hào))。這對(duì)應(yīng)著使用ptrace建立跟蹤關(guān)系的兩種方式:
1)fork: 利用fork+execve執(zhí)行被測(cè)試的程序，子進(jìn)程在執(zhí)行execve之前調(diào)用ptrace(PTRACE_TRACEME)，建立了與父進(jìn)程(debugger)的跟蹤關(guān)系。如我們?cè)诜治鰏trace時(shí)所示意的程序。
2)attach: debugger可以調(diào)用ptrace(PTRACE_ATTACH，pid,...)，建立自己與進(jìn)程號(hào)為pid的進(jìn)程間的跟蹤關(guān)系。即利用 PTRACE_ATTACH，使自己變成被調(diào)試程序的父進(jìn)程(用ps可以看到)。用attach建立起來(lái)的跟蹤關(guān)系，可以調(diào)用ptrace (PTRACE_DETACH，pid,...)來(lái)解除。注意attach進(jìn)程時(shí)的權(quán)限問(wèn)題，如一個(gè)非root權(quán)限的進(jìn)程是不能attach到一個(gè) root進(jìn)程上的。

3.2 斷點(diǎn)原理
斷點(diǎn)是大家在調(diào)試程序時(shí)常用的一個(gè)功能,如break linenumber，當(dāng)執(zhí)行到linenumber那一行的時(shí)候被調(diào)試程序會(huì)停止，等待debugger的進(jìn)一步操作。
斷點(diǎn)的實(shí)現(xiàn)原理，就是在指定的位置插入斷點(diǎn)指令，當(dāng)被調(diào)試的程序運(yùn)行到斷點(diǎn)的時(shí)候，產(chǎn)生SIGTRAP信號(hào)。該信號(hào)被gdb捕獲并進(jìn)行斷點(diǎn)命中判定，當(dāng)gdb判斷出這次SIGTRAP是斷點(diǎn)命中之后就會(huì)轉(zhuǎn)入等待用戶(hù)輸入進(jìn)行下一步處理，否則繼續(xù)。
斷點(diǎn)的設(shè)置原理: 在程序中設(shè)置斷點(diǎn)，就是先將該位置的原來(lái)的指令保存，然后向該位置寫(xiě)入int 3。當(dāng)執(zhí)行到int 3的時(shí)候，發(fā)生軟中斷，內(nèi)核會(huì)給子進(jìn)程發(fā)出SIGTRAP信號(hào)，當(dāng)然這個(gè)信號(hào)會(huì)被轉(zhuǎn)發(fā)給父進(jìn)程。然后用保存的指令替換int3,等待恢復(fù)運(yùn)行。
斷點(diǎn)命中判定:gdb把所有的斷點(diǎn)位置都存放在一個(gè)鏈表中，命中判定即把被調(diào)試程序當(dāng)前停止的位置和鏈表中的斷點(diǎn)位置進(jìn)行比較，看是斷點(diǎn)產(chǎn)生的信號(hào)，還是無(wú)關(guān)信號(hào)。

3.3 單步跟蹤原理
單步跟蹤就是指在調(diào)試程序的時(shí)候，讓程序運(yùn)行一條指令/語(yǔ)句后就停下。GDB中常用的命令有next, step, nexti, stepi。單步跟蹤又常分為語(yǔ)句單步(next, step)和指令單步(如nexti, stepi)。

在linux上，指令單步可以通過(guò)ptrace來(lái)實(shí)現(xiàn)。調(diào)用ptrace(PTRACE_SINGLESTEP,pid,...)可以使被調(diào)試的進(jìn)程在每執(zhí)行完一條指令后就觸發(fā)一個(gè)SIGTRAP信號(hào)，讓GDB運(yùn)行。下面來(lái)看一個(gè)例子:
    child = fork();
    if(child == 0) {
         execl("./HelloWorld", "HelloWorld", NULL);
    }
    else {
        ptrace(PTRACE_ATTACH,child,NULL,NULL);
        while(1){
        wait(&val);
        if(WIFEXITED(val))
            break;
        count++;
        ptrace(PTRACE_SINGLESTEP,child,NULL,NULL);
        }
    printf("Total Instruction number= %d\n",count);
    }
這 段程序比較簡(jiǎn)單，子進(jìn)程調(diào)用execve執(zhí)行HelloWorld,而父進(jìn)程則先調(diào)用ptrace(PTRACE_ATTACH,pid,...)建立與 子進(jìn)程的跟蹤關(guān)系。然后調(diào)用ptrace(PTRACE_SINGLESTEP, pid, ...)讓子進(jìn)程一步一停，以統(tǒng)計(jì)子進(jìn)程一共執(zhí)行了多少條指令(你會(huì)發(fā)現(xiàn)一個(gè)簡(jiǎn)單的HelloWorld實(shí)際上也執(zhí)行了好幾萬(wàn)條指令才完成)。當(dāng)然你也完 全可以在這個(gè)時(shí)候查看EIP寄存器中存放的指令，或者某個(gè)變量的值，當(dāng)然前提是你得知道這個(gè)變量在子進(jìn)程內(nèi)存鏡像中的位置。
指令單步可以依靠硬件 完成，如x86架構(gòu)處理器支持單步模式(通過(guò)設(shè)置EFLAGS寄存器的TF標(biāo)志實(shí)現(xiàn))，每執(zhí)行一條指令，就會(huì)產(chǎn)生一次異常(在Intel 80386以上的處理器上還提供了DRx調(diào)試寄存器以用于軟件調(diào)試)。也可以通過(guò)軟件完成，即在每條指令后面都插入一條斷點(diǎn)指令，這樣每執(zhí)行一條指令都會(huì) 產(chǎn)生一次軟中斷。
語(yǔ)句單步基于指令單步實(shí)現(xiàn)，即GDB算好每條語(yǔ)句所對(duì)應(yīng)的指令，從什么地方開(kāi)始到什么地方結(jié)束。然后在結(jié)束的地方插入斷點(diǎn)，或者指令單步一步一步的走到結(jié)束點(diǎn)，再進(jìn)行處理。

當(dāng) 然gdb的實(shí)現(xiàn)遠(yuǎn)比今天我們所說(shuō)的內(nèi)容要復(fù)雜，它能讓我們很容易的監(jiān)測(cè)，修改被調(diào)試的進(jìn)程，比如通過(guò)行號(hào)，函數(shù)名，變量名。而要真正實(shí)現(xiàn)這些，一是需要在 編譯的時(shí)候提供足夠的信息，如在gcc時(shí)加入-g選項(xiàng)，這樣gcc會(huì)把一些程序信息放到生成的ELF文件中，包括函數(shù)符號(hào)表，行號(hào)，變量信息，宏定義等， 以便日后gdb調(diào)試，當(dāng)然生成的文件也會(huì)大一些。二是需要我們對(duì)ELF文件格式，進(jìn)程的內(nèi)存鏡像(布局)以及程序的指令碼十分熟悉。這樣才能保證在正確的 時(shí)機(jī)(斷點(diǎn)發(fā)生？單步？)找到正確的內(nèi)存地址(代碼？數(shù)據(jù)？)并鏈接回正確的程序代碼(這是哪個(gè)變量？程序第幾行？)。感興趣的同學(xué)可以找到相應(yīng)的代碼仔 細(xì)分析一下。

小結(jié):
ptrace可以實(shí)時(shí)監(jiān)測(cè)和修改另一個(gè)進(jìn)程的運(yùn)行，它是如此的強(qiáng)大以至于曾經(jīng)因?yàn)樗趗nix-like平臺(tái) (如Linux, *BSD)上產(chǎn)生了各種漏洞。但換言之，只要我們能掌握它的使用，就能開(kāi)發(fā)出很多以前在用戶(hù)態(tài)下不可能實(shí)現(xiàn)的應(yīng)用。當(dāng)然這可能需要我們掌握編譯，文件格 式，程序內(nèi)存布局等相當(dāng)多的底層知識(shí)。

最后讓我們來(lái)回顧一下ptrace的使用:
1)用PTRACE_ATTACH或者PTRACE_TRACEME 建立進(jìn)程間的跟蹤關(guān)系。
2)PTRACE_PEEKTEXT, PTRACE_PEEKDATA, PTRACE_PEEKUSR等讀取子進(jìn)程內(nèi)存/寄存器中保留的值。
3)PTRACE_POKETEXT, PTRACE_POKEDATA, PTRACE_POKEUSR等把值寫(xiě)入到被跟蹤進(jìn)程的內(nèi)存/寄存器中。
4)用PTRACE_CONT，PTRACE_SYSCALL, PTRACE_SINGLESTEP控制被跟蹤進(jìn)程以何種方式繼續(xù)運(yùn)行。
5)PTRACE_DETACH, PTRACE_KILL 脫離進(jìn)程間的跟蹤關(guān)系。

TIPS:
    1. 進(jìn)程狀態(tài)TASK_TRACED用以表示當(dāng)前進(jìn)程因?yàn)楸桓高M(jìn)程跟蹤而被系統(tǒng)停止。
    2. 如在子進(jìn)程結(jié)束前，父進(jìn)程結(jié)束，則trace關(guān)系解除。
    3. 利用attach建立起來(lái)的跟蹤關(guān)系，雖然ps看到雙方為父子關(guān)系，但在"子進(jìn)程"中調(diào)用getppid()仍會(huì)返回原來(lái)的父進(jìn)程id。
    4. 不能attach到自己不能跟蹤的進(jìn)程，如non-root進(jìn)程跟蹤root進(jìn)程。
    5. 已經(jīng)被trace的進(jìn)程，不能再次被attach。
    6. 即使是用PTRACE_TRACEME建立起來(lái)的跟蹤關(guān)系，也可以用DETACH的方式予以解除。
    7. 因?yàn)檫M(jìn)入/退出系統(tǒng)調(diào)用都會(huì)觸發(fā)一次SIGTRAP，所以通常的做法是在第一次(進(jìn)入)的時(shí)候讀取系統(tǒng)調(diào)用的參數(shù)，在第二次(退出)的時(shí)候讀取系統(tǒng)調(diào)用的返回值。但注意execve是個(gè)例外。
    8. 程序調(diào)試時(shí)的斷點(diǎn)由int 3設(shè)置完成，而單步跟蹤則可由ptrace(PTRACE_SINGLESTEP)實(shí)現(xiàn)。
   
Pthread 08/01/14

原文地址：http://blog.csdn.net/Javadino/archive/2008/09/06/2891434.aspx

posted on 2009-07-25 17:56 葉子 閱讀(1465) 評(píng)論(0)  編輯 收藏 引用 所屬分類(lèi): Unix