论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
云安全
[12928] 2018-07-10_如何利用Ptrace拦截和模拟Linux系统调用
文档创建者:
s7ckTeam
浏览次数:
5
最后更新:
2025-01-18
云安全
5 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2018-07-10_如何利用Ptrace拦截和模拟Linux系统调用
如
何
利
用
P
t
r
a
c
e
拦
截
和
模
拟
L
i
n
u
x
系
统
调
用
A
l
p
h
a
_
h
4
c
k
F
r
e
e
B
u
f
2
0
1
8
-
0
7
-
1
0
写
在
前
面
的
话
写
在
前
面
的
话
p
t
r
a
c
e
(
2
)
这
个
系
统
调
用
一
般
都
跟
调
试
离
不
开
关
系
,
它
不
仅
是
类
这
个
系
统
调
用
一
般
都
跟
调
试
离
不
开
关
系
,
它
不
仅
是
类
U
n
i
x
系
统
中
本
地
调
试
器
监
控
实
现
的
主
要
机
制
,
而
系
统
中
本
地
调
试
器
监
控
实
现
的
主
要
机
制
,
而
且
它
还
是
且
它
还
是
s
t
r
a
c
e
系
统
调
用
常
用
的
实
现
方
法
。
系
统
调
用
常
用
的
实
现
方
法
。
p
t
r
a
c
e
(
)
系
统
调
用
函
数
提
供
了
一
个
进
程
(
系
统
调
用
函
数
提
供
了
一
个
进
程
(
t
h
e
“
t
r
a
c
e
r
”
)
监
察
和
控
制
另
)
监
察
和
控
制
另
一
个
进
程
(
一
个
进
程
(
t
h
e
“
t
r
a
c
e
e
”
)
的
方
法
,
它
不
仅
可
以
监
控
系
统
调
用
,
而
且
还
能
够
检
查
和
改
变
)
的
方
法
,
它
不
仅
可
以
监
控
系
统
调
用
,
而
且
还
能
够
检
查
和
改
变
“
t
r
a
c
e
e
”
进
程
的
内
存
和
寄
进
程
的
内
存
和
寄
存
器
里
的
数
据
,
甚
至
它
还
可
以
拦
截
系
统
调
用
。
存
器
里
的
数
据
,
甚
至
它
还
可
以
拦
截
系
统
调
用
。
这
里
的
“
拦
截
”
我
指
的
是
t
r
a
c
e
r
能
够
改
变
系
统
调
用
参
数
,
改
变
系
统
调
用
的
返
回
值
,
甚
至
屏
蔽
特
定
的
系
统
调
用
。
这
也
就
意
味
着
,
一
个
t
r
a
c
e
r
将
能
够
完
全
实
现
自
己
的
系
统
调
用
,
这
就
非
常
有
趣
了
,
也
就
是
说
,
一
个
t
r
a
c
e
r
将
可
以
模
拟
出
一
整
套
操
作
系
统
机
制
,
而
且
这
一
切
都
不
需
要
内
核
提
供
任
何
其
他
帮
助
。
但
问
题
在
于
,
一
个
进
程
一
次
只
能
够
绑
定
一
个
t
r
a
c
e
r
,
因
此
我
们
无
法
在
调
试
进
程
(
G
D
B
)
的
过
程
中
模
拟
出
一
套
外
部
操
作
系
统
,
而
另
一
个
问
题
就
是
模
拟
系
统
调
用
将
耗
费
更
多
的
资
源
开
销
。
在
这
篇
文
章
中
,
我
将
主
要
讨
论
x
8
6
-
6
4
架
构
下
的
L
i
n
u
x
P
t
r
a
c
e
,
并
且
我
还
会
使
用
到
一
些
特
定
的
L
i
n
u
x
扩
展
。
除
此
之
外
,
我
可
能
会
忽
略
错
误
检
查
,
但
最
终
发
布
的
完
整
源
码
将
会
解
决
这
些
问
题
。
本
文
涉
及
到
的
可
运
行
代
码
样
本
可
以
从
【
这
里
】
获
取
。
s
t
r
a
c
e
在
开
始
之
前
,
我
们
先
看
一
看
s
t
r
a
c
e
的
实
现
骨
架
。
P
t
r
a
c
e
一
直
都
没
有
相
应
的
使
用
标
准
,
但
在
不
同
的
操
作
系
统
中
它
的
接
口
都
是
类
似
的
,
尤
其
是
它
的
核
心
功
能
,
但
多
多
少
少
都
会
有
一
些
细
微
的
差
别
。
P
t
r
a
c
e
(
2
)
的
原
型
类
似
如
下
:
p
i
d
是
t
r
a
c
e
e
的
进
程
I
D
,
一
个
t
r
a
c
e
e
一
次
只
能
绑
定
一
个
t
r
a
c
e
r
,
但
一
个
t
r
a
c
e
r
可
以
绑
定
多
个
t
r
a
c
e
e
。
r
e
q
u
e
s
t
域
负
责
选
择
一
个
指
定
的
P
t
r
a
c
e
函
数
,
例
如
i
o
c
t
l
(
2
)
接
口
。
对
于
s
t
r
a
c
e
来
说
,
只
有
下
面
是
必
须
的
:
P
T
R
A
C
E
_
T
R
A
C
E
M
E
:
它
的
父
进
程
必
须
跟
踪
这
个
进
程
。
P
T
R
A
C
E
_
S
Y
S
C
A
L
L
:
继
续
运
行
,
但
是
会
在
下
一
个
系
统
调
用
入
口
暂
停
运
行
。
P
T
R
A
C
E
_
G
E
T
R
E
G
S
:
获
取
t
r
a
c
e
e
的
寄
存
器
备
份
。
另
外
两
个
数
据
域
,
即
a
d
d
r
和
d
a
t
a
,
它
们
负
责
给
选
定
的
P
t
r
a
c
e
函
数
提
供
参
数
,
一
般
这
两
个
数
据
都
可
以
忽
略
,
这
里
我
选
择
传
入
0
。
s
t
r
a
c
e
接
口
本
质
上
是
其
他
命
令
的
前
缀
:
我
的
最
小
化
配
置
不
包
含
任
何
参
数
,
所
以
要
做
的
第
一
件
事
就
是
假
设
它
至
少
包
含
一
个
参
数
(
f
o
r
k
(
2
)
)
,
通
过
a
r
g
v
传
递
。
在
加
载
目
标
程
序
之
前
,
新
的
进
程
会
告
知
内
核
它
的
父
进
程
将
会
对
它
进
行
跟
踪
监
视
,
t
r
a
c
e
e
将
会
被
这
个
P
t
r
a
c
e
系
统
调
用
挂
起
:
父
进
程
将
使
用
w
a
i
t
(
2
)
来
等
待
子
进
程
的
P
T
R
A
C
E
_
T
R
A
C
E
M
E
,
当
w
a
i
t
(
2
)
返
回
值
之
后
,
子
进
程
将
会
被
挂
起
:
在
允
许
子
进
程
继
续
运
行
之
前
,
我
们
将
告
诉
操
作
系
统
t
r
a
c
e
e
应
该
跟
它
的
父
进
程
一
起
终
止
。
真
实
场
景
下
的
s
t
r
a
c
e
实
现
还
需
要
设
置
其
他
的
参
数
,
例
如
P
T
R
A
C
E
_
O
_
T
R
A
C
E
F
O
R
K
:
捕
捉
系
统
调
用
的
循
环
步
骤
如
下
:
等
待
进
程
进
入
下
一
次
系
统
调
用
。
打
印
系
统
调
用
信
息
。
允
许
系
统
调
用
执
行
,
并
等
待
返
回
结
果
。
打
印
系
统
调
用
的
返
回
值
。
P
T
R
A
C
E
_
S
Y
S
C
A
L
L
请
求
可
以
完
成
等
待
下
一
个
系
统
调
用
以
及
等
待
系
统
调
用
结
束
这
两
个
任
务
,
跟
之
前
一
样
,
这
里
也
需
要
使
用
w
a
i
t
(
2
)
来
等
待
t
r
a
c
e
e
进
入
特
定
状
态
。
w
a
i
t
(
2
)
返
回
后
,
线
程
寄
存
器
中
将
存
储
有
系
统
调
用
号
和
相
应
参
数
。
下
一
步
就
是
收
集
系
统
调
用
信
息
,
在
不
同
的
系
统
架
构
中
这
一
步
的
实
现
方
式
也
不
同
。
在
x
8
6
-
6
4
中
,
系
统
调
用
号
是
通
过
r
a
x
传
递
的
,
参
数
(
最
大
为
6
)
将
传
递
给
r
d
i
、
r
s
i
、
r
d
x
、
r
1
0
、
r
8
和
r
9
。
读
取
寄
存
器
还
需
要
其
他
的
P
t
r
a
c
e
调
用
,
但
这
里
就
不
需
要
w
a
i
t
(
2
)
了
,
因
为
t
r
a
c
e
e
并
不
会
改
变
状
态
。
l
o
n
g
p
t
r
a
c
e
(
i
n
t
r
e
q
u
e
s
t
,
p
i
d
_
t
p
i
d
,
v
o
i
d
*
a
d
d
r
,
v
o
i
d
*
d
a
t
a
)
;
$
s
t
r
a
c
e
[
s
t
r
a
c
e
o
p
t
i
o
n
s
]
p
r
o
g
r
a
m
[
a
r
g
u
m
e
n
t
s
]
p
i
d
_
t
p
i
d
=
f
o
r
k
(
)
;
s
w
i
t
c
h
(
p
i
d
)
{
c
a
s
e
-
1
:
/
*
e
r
r
o
r
*
/
F
A
T
A
L
(
"
%
s
"
,
s
t
r
e
r
r
o
r
(
e
r
r
n
o
)
)
;
c
a
s
e
0
:
/
*
c
h
i
l
d
*
/
p
t
r
a
c
e
(
P
T
R
A
C
E
_
T
R
A
C
E
M
E
,
0
,
0
,
0
)
;
e
x
e
c
v
p
(
a
r
g
v
[
1
]
,
a
r
g
v
+
1
)
;
F
A
T
A
L
(
"
%
s
"
,
s
t
r
e
r
r
o
r
(
e
r
r
n
o
)
)
;
}
w
a
i
t
p
i
d
(
p
i
d
,
0
,
0
)
;
p
t
r
a
c
e
(
P
T
R
A
C
E
_
S
E
T
O
P
T
I
O
N
S
,
p
i
d
,
0
,
P
T
R
A
C
E
_
O
_
E
X
I
T
K
I
L
L
)
;
p
t
r
a
c
e
(
P
T
R
A
C
E
_
S
Y
S
C
A
L
L
,
p
i
d
,
0
,
0
)
;
w
a
i
t
p
i
d
(
p
i
d
,
0
,
0
)
;
接
下
来
就
是
另
一
个
P
T
R
A
C
E
_
S
Y
S
C
A
L
L
和
w
a
i
t
(
2
)
,
然
后
利
用
P
T
R
A
C
E
_
G
E
T
R
E
G
S
获
取
结
果
,
结
果
将
存
储
在
r
a
x
中
:
这
个
样
本
程
序
的
输
出
结
果
还
是
比
较
简
陋
的
,
其
中
没
有
包
含
系
统
调
用
的
符
号
名
,
并
且
每
一
个
参
数
都
是
按
数
字
形
式
打
印
的
,
不
过
这
已
经
足
够
奠
定
系
统
调
用
拦
截
的
基
础
了
。
系
统
调
用
拦
截
系
统
调
用
拦
截
假
设
我
们
想
利
用
P
t
r
a
c
e
去
实
现
一
个
类
似
O
p
e
n
B
S
D
的
p
l
e
d
g
e
(
2
)
这
样
的
东
西
。
基
本
思
路
如
下
:
很
多
程
序
一
般
都
有
一
个
初
始
化
过
程
,
这
个
过
程
需
要
涉
及
到
很
多
系
统
访
问
权
限
,
例
如
打
开
文
件
和
绑
定
套
接
字
等
等
。
初
始
化
完
成
之
后
,
它
们
会
进
入
主
循
环
,
并
处
理
输
入
数
据
,
这
里
只
需
要
使
用
到
少
量
系
统
调
用
。
在
进
入
主
循
环
之
前
,
进
程
可
以
限
制
自
身
只
进
行
少
量
操
作
,
如
果
程
序
存
在
漏
洞
的
话
,
p
l
e
d
g
e
还
可
以
限
制
漏
洞
利
用
代
码
所
能
完
成
的
事
情
。
当
然
了
,
我
们
不
仅
可
以
篡
改
系
统
调
用
参
数
,
而
且
还
可
以
修
改
系
统
调
用
号
,
并
将
其
转
换
成
一
个
不
存
在
的
系
统
调
用
,
然
后
在
e
r
r
n
o
中
报
告
一
个
E
P
E
R
M
错
误
信
息
:
创
建
自
定
义
的
系
统
调
用
创
建
自
定
义
的
系
统
调
用
我
将
我
新
创
建
的
模
仿
p
l
e
d
g
e
的
系
统
调
用
称
为
x
p
l
e
d
g
e
(
)
,
我
选
择
的
系
统
调
用
号
是
1
0
0
0
0
:
下
面
是
这
个
针
对
t
r
a
c
e
e
的
系
统
调
用
完
整
接
口
实
现
:
如
果
传
递
的
参
数
为
0
,
则
只
允
许
执
行
一
些
基
本
的
系
统
调
用
,
包
括
内
存
分
配
等
。
P
L
E
D
G
E
_
R
D
W
R
指
定
的
是
各
种
读
写
操
作
,
如
r
e
a
d
(
2
)
、
r
e
a
d
v
(
2
)
、
p
r
e
a
d
(
2
)
和
p
r
e
a
d
v
(
2
)
等
。
s
t
r
u
c
t
u
s
e
r
_
r
e
g
s
_
s
t
r
u
c
t
r
e
g
s
;
p
t
r
a
c
e
(
P
T
R
A
C
E
_
G
E
T
R
E
G
S
,
p
i
d
,
0
,
&
r
e
g
s
)
;
l
o
n
g
s
y
s
c
a
l
l
=
r
e
g
s
.
o
r
i
g
_
r
a
x
;
f
p
r
i
n
t
f
(
s
t
d
e
r
r
,
"
%
l
d
(
%
l
d
,
%
l
d
,
%
l
d
,
%
l
d
,
%
l
d
,
%
l
d
)
"
,
s
y
s
c
a
l
l
,
(
l
o
n
g
)
r
e
g
s
.
r
d
i
,
(
l
o
n
g
)
r
e
g
s
.
r
s
i
,
(
l
o
n
g
)
r
e
g
s
.
r
d
x
,
(
l
o
n
g
)
r
e
g
s
.
r
1
0
,
(
l
o
n
g
)
r
e
g
s
.
r
8
,
(
l
o
n
g
)
r
e
g
s
.
r
9
)
;
p
t
r
a
c
e
(
P
T
R
A
C
E
_
G
E
T
R
E
G
S
,
p
i
d
,
0
,
&
r
e
g
s
)
;
f
p
r
i
n
t
f
(
s
t
d
e
r
r
,
"
=
%
l
d
n
"
,
(
l
o
n
g
)
r
e
g
s
.
r
a
x
)
;
f
o
r
(
;
;
)
{
/
*
E
n
t
e
r
n
e
x
t
s
y
s
t
e
m
c
a
l
l
*
/
p
t
r
a
c
e
(
P
T
R
A
C
E
_
S
Y
S
C
A
L
L
,
p
i
d
,
0
,
0
)
;
w
a
i
t
p
i
d
(
p
i
d
,
0
,
0
)
;
s
t
r
u
c
t
u
s
e
r
_
r
e
g
s
_
s
t
r
u
c
t
r
e
g
s
;
p
t
r
a
c
e
(
P
T
R
A
C
E
_
G
E
T
R
E
G
S
,
p
i
d
,
0
,
&
r
e
g
s
)
;
/
*
I
s
t
h
i
s
s
y
s
t
e
m
c
a
l
l
p
e
r
m
i
t
t
e
d
?
*
/
i
n
t
b
l
o
c
k
e
d
=
0
;
i
f
(
i
s
_
s
y
s
c
a
l
l
_
b
l
o
c
k
e
d
(
r
e
g
s
.
o
r
i
g
_
r
a
x
)
)
{
b
l
o
c
k
e
d
=
1
;
r
e
g
s
.
o
r
i
g
_
r
a
x
=
-
1
;
/
/
s
e
t
t
o
i
n
v
a
l
i
d
s
y
s
c
a
l
l
p
t
r
a
c
e
(
P
T
R
A
C
E
_
S
E
T
R
E
G
S
,
p
i
d
,
0
,
&
r
e
g
s
)
;
}
/
*
R
u
n
s
y
s
t
e
m
c
a
l
l
a
n
d
s
t
o
p
o
n
e
x
i
t
*
/
p
t
r
a
c
e
(
P
T
R
A
C
E
_
S
Y
S
C
A
L
L
,
p
i
d
,
0
,
0
)
;
w
a
i
t
p
i
d
(
p
i
d
,
0
,
0
)
;
i
f
(
b
l
o
c
k
e
d
)
{
/
*
e
r
r
n
o
=
E
P
E
R
M
*
/
r
e
g
s
.
r
a
x
=
-
E
P
E
R
M
;
/
/
O
p
e
r
a
t
i
o
n
n
o
t
p
e
r
m
i
t
t
e
d
p
t
r
a
c
e
(
P
T
R
A
C
E
_
S
E
T
R
E
G
S
,
p
i
d
,
0
,
&
r
e
g
s
)
;
}
}
#
d
e
f
i
n
e
S
Y
S
_
x
p
l
e
d
g
e
1
0
0
0
0
#
d
e
f
i
n
e
_
G
N
U
_
S
O
U
R
C
E
#
i
n
c
l
u
d
e
<
u
n
i
s
t
d
.
h
>
#
d
e
f
i
n
e
X
P
L
E
D
G
E
_
R
D
W
R
(
1
<
<
0
)
#
d
e
f
i
n
e
X
P
L
E
D
G
E
_
O
P
E
N
(
1
<
<
1
)
#
d
e
f
i
n
e
x
p
l
e
d
g
e
(
a
r
g
)
s
y
s
c
a
l
l
(
S
Y
S
_
x
p
l
e
d
g
e
,
a
r
g
)
在
x
p
l
e
d
g
e
t
r
a
c
e
r
中
,
我
只
需
要
检
测
这
个
系
统
调
用
:
操
作
系
统
将
返
回
E
N
O
S
Y
S
,
因
为
它
不
是
一
个
真
正
的
系
统
调
用
,
所
以
我
们
需
要
用
s
u
c
c
e
s
s
(
0
)
重
写
返
回
结
果
:
样
例
程
序
的
输
出
结
果
如
下
:
在
t
r
a
c
e
r
下
运
行
的
结
果
如
下
:
外
部
系
统
模
拟
外
部
系
统
模
拟
L
i
n
u
x
下
的
P
t
r
a
c
e
中
有
一
个
非
常
实
用
的
函
数
:
P
T
R
A
C
E
_
S
Y
S
M
U
,
我
们
可
以
利
用
这
个
函
数
来
实
现
系
统
模
拟
:
此
代
码
框
架
在
相
同
系
统
架
构
中
的
测
试
结
果
都
是
能
够
稳
定
运
行
的
,
大
家
可
以
根
据
自
己
的
需
要
来
修
改
代
码
。
感
谢
大
家
的
阅
读
,
希
望
大
家
喜
欢
。
*
参
考
来
源
:
参
考
来
源
:
n
u
l
l
p
r
o
g
r
a
m
,
,
F
B
小
编
小
编
A
l
p
h
a
_
h
4
c
k
编
译
,
转
载
请
注
明
来
自
编
译
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
/
*
H
a
n
d
l
e
e
n
t
r
a
n
c
e
*
/
s
w
i
t
c
h
(
r
e
g
s
.
o
r
i
g
_
r
a
x
)
{
c
a
s
e
S
Y
S
_
p
l
e
d
g
e
:
r
e
g
i
s
t
e
r
_
p
l
e
d
g
e
(
r
e
g
s
.
r
d
i
)
;
b
r
e
a
k
;
}
/
*
H
a
n
d
l
e
e
x
i
t
*
/
s
w
i
t
c
h
(
r
e
g
s
.
o
r
i
g
_
r
a
x
)
{
c
a
s
e
S
Y
S
_
p
l
e
d
g
e
:
p
t
r
a
c
e
(
P
T
R
A
C
E
_
P
O
K
E
U
S
E
R
,
p
i
d
,
R
A
X
*
8
,
0
)
;
b
r
e
a
k
;
}
$
.
/
e
x
a
m
p
l
e
f
r
e
a
d
(
"
/
d
e
v
/
u
r
a
n
d
o
m
"
)
[
1
]
=
0
x
c
d
2
5
0
8
c
7
X
P
l
e
d
g
i
n
g
.
.
.
X
P
l
e
d
g
e
f
a
i
l
e
d
:
F
u
n
c
t
i
o
n
n
o
t
i
m
p
l
e
m
e
n
t
e
d
f
r
e
a
d
(
"
/
d
e
v
/
u
r
a
n
d
o
m
"
)
[
2
]
=
0
x
0
b
e
4
a
9
8
6
f
r
e
a
d
(
"
/
d
e
v
/
u
r
a
n
d
o
m
"
)
[
1
]
=
0
x
0
3
1
4
7
6
0
4
$
.
/
x
p
l
e
d
g
e
.
/
e
x
a
m
p
l
e
f
r
e
a
d
(
"
/
d
e
v
/
u
r
a
n
d
o
m
"
)
[
1
]
=
0
x
b
2
a
c
3
9
c
4
X
P
l
e
d
g
i
n
g
.
.
.
f
o
p
e
n
(
"
/
d
e
v
/
u
r
a
n
d
o
m
"
)
[
2
]
:
O
p
e
r
a
t
i
o
n
n
o
t
p
e
r
m
i
t
t
e
d
f
r
e
a
d
(
"
/
d
e
v
/
u
r
a
n
d
o
m
"
)
[
1
]
=
0
x
2
e
1
b
d
1
c
4
f
o
r
(
;
;
)
{
p
t
r
a
c
e
(
P
T
R
A
C
E
_
S
Y
S
E
M
U
,
p
i
d
,
0
,
0
)
;
w
a
i
t
p
i
d
(
p
i
d
,
0
,
0
)
;
s
t
r
u
c
t
u
s
e
r
_
r
e
g
s
_
s
t
r
u
c
t
r
e
g
s
;
p
t
r
a
c
e
(
P
T
R
A
C
E
_
G
E
T
R
E
G
S
,
p
i
d
,
0
,
&
r
e
g
s
)
;
s
w
i
t
c
h
(
r
e
g
s
.
o
r
i
g
_
r
a
x
)
{
c
a
s
e
O
S
_
r
e
a
d
:
/
*
.
.
.
*
/
c
a
s
e
O
S
_
w
r
i
t
e
:
/
*
.
.
.
*
/
c
a
s
e
O
S
_
o
p
e
n
:
/
*
.
.
.
*
/
c
a
s
e
O
S
_
e
x
i
t
:
/
*
.
.
.
*
/
/
*
.
.
.
a
n
d
s
o
o
n
.
.
.
*
/
}
}
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
云安全