ptrace (process trace)

#include

long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

ptrace系统调用运行tracer进程监视和控制tracee进程的执行过程，检查和修改tracee进程的内存和寄存器值。ptrace主要用来实现端点调试和跟踪系统调用。

tracee进程首先需要attach在tracer进程上，attach和接下来的命令是以线程为单位的，每一个tracee的线程都需要单独attach到一个不同的tracer进程上，如果没有attach到tracer上，则无法进行调试。

ptrace系统调用根据request分为不同的应用场景：

1) PTRACE_TRACEME

子线程中通过PTRACE_TRACEME请求父线程跟踪自己，只有PTRACE_TRACEME请求ID是tracee调用的，其他请求ID都是tracer调用的。

ptrace(PTRACE_TRACEME, NULL, NULL, NULL);

2) PTRACE_PEEKTEXT,PTRACE_PEEKDATA

从tracee的内存addr处读取一个双字节数据。

Linux不区分代码地址空间和数据地址空间，所以这两个请求ID是一样的。

3) PTRACE_PEEKUSER

从tracee的用户区addr处读取一个双字节数据，通常包含寄存器值和进程相关的信息。(sys/user.h)

4) PTRACE_PORKTEXT,PTRACE_POKEDATA

将data双字节数据写入tracee内存的addr处

5) PTRACE_POKEUSER

拷贝一个双字节数据data到tracee的用户区addr处

6) PTRACE_GETREGS,PTRACE_GETFPREGS

拷贝tracee的通用寄存器值或者浮点寄存器值到tracer的data处。不是所有的CPU架构都支持该请求

7) PTRACE_GETREGSET

读取tracee的寄存器

8) PTRACE_SETREGS,PTRACE_SETFPREGS

修改tracee的通用寄存器或者浮点寄存器

9) PTRACE_SETREGSET

修改tracee的寄存器

10) PTRACE_GETSIGINFO

获取导致tracee停止执行的信号量。通过data返回siginfo_t结构体

11) PTRACE_SETSIGINFO

设置信号量，这样正常发给tracee的信号量会首先被tracer捕获

12) PTRACE_PEEKSIGINFO

只读tracee的siginfo_t结构体

13) PTRACE_GETSIGMASK

获取tracee屏蔽的信号量

14) PTRACE_SETSIGMASK

设置tracee信号量屏蔽属性

15) PTRACE_SETOPTIONS

16) PTRACE_GETEVENTMSG

获取ptrace消息事件

17) PTRACE_CONT

重新运行停止运行的tracee线程

18) PTRACE_SYSCALL,PTRACE_SIGLESTEP

单步调试tracee

19) PTRACE_SYSEMU,PTRACE_SYSEMU_SIGLESTEP

20) PTRACE_LISTEN

重启停止的tracee，但是不执行它

21) PTRACE_KILL

给tracee发送SIGKILL终止它运行

22) PTRACE_INTERRUPT

停止tracee运行

23) PTRACE_ATTACH

附着在pid进程上，让他成为调用者的tracee

24) PTRACE_SZIZE

与PTRACE_ATTACH不同的是，该请求不会停止tracee的执行

25) PTRACE_DETACH

取消附着，恢复tracee执行