承接上文 Linux ptrace详细分析系列（一），本次主要介绍2个不同版本下的源码分析和2个关键参数解析。

三、sys_ptrace函数源码分析

1. Linux-2.6版本的源码分析

1. 源码分析

首先看一下linux-2.6.0的sys_ptrace的处理流程（以/arch/i386/kernel/ptrace.c为例）：

整体来看较为简单，经过简单的验证后根据不同的request参数进入不同的处理流程。

2. 流程梳理

根据源码分析结果，梳理函数的整体处理流程如下（为保证图片清晰，将图片进行了切割）：

上述流程图基本描述清晰了Linux-2.6版本下的sys_ptrace函数的执行流程。其中可以看参数为到PTRACE_TRACEME, PTRACE_ATTACH时进行了特殊处理，其他情况下，流程基本相同，根据不同的request的值调用对应的handler函数即可。

3. 其他

在Linux-2.6版本中，针对不同platform设计了不同的函数实现，总体流程上没有改变，只是根据不同的platform特点在某些位置坐了不同的处理方式。各platform对应的函数实现文件如下：

在kernel/ptrace.c中实现对公共函数的实现，此处不做过多介绍，感兴趣的师傅可自行研究：

2. Linux-5.9版本的源码分析

1. 源码分析

Linux-5.9版本的源码分析：

2. 流程梳理

梳理上述源码，可以得到函数流程图如下：

3. 其他

Linux-5.9中使用了宏的方式，在进行函数调用时先进行函数替换解析出完整的函数体再进行具体执行（详细替换可参考系列（一）中的函数定义部分内容）。而且与Linux-2.6不同的是，kernel/ptrace.c负责总体调度，使用arch_ptrace进行不同架构的处理的选择：

Linux-5.9版本的这种改动相比Linux-2.6的设计，更为清晰也更为安全（个人十分喜欢这种设计，由衷佩服这些优秀的开发者）。

四、Request参数详解

1. 参数简述

ptrace总计有4个参数，其中比较重要的是第一个参数--request，该参数决定了具体执行的系统调用功能。可取值如下（部分）：

备注：上述参数中，PTRACE_GETREGS, PTRACE_SETREGS, PTRACE_GETFPREGS, PTRACE_SETFPREGS参数为Interl386特有。

各参数所代表的值由/usr/include/sys/ptrace.h文件指定：

2. 重要参数详解

下面将对request中几个常见、重要的参数进行详细解析：

1. PTRACE_TRACEME

1. 描述
   本进程被其父进程跟踪，如果子进程没有被其父进程跟踪，不能使用该选项。PTRACE_TRACEME 只被tracee使用。

2. 定义

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

   /**  * ptrace_traceme  --  helper for PTRACE_TRACEME * * Performs checks and sets PT_PTRACED. * Should be used by all ptrace implementations for PTRACE_TRACEME. */ static int ptrace_traceme(void) {     int ret = -EPERM;       write_lock_irq(&tasklist_lock);   // 首先让writer拿到读写lock，并且会disable local irp       /* Are we already being traced? */       // 是否已经处于ptrace中     if (!current->ptrace) {         ret = security_ptrace_traceme(current->parent);         /*         * Check PF_EXITING to ensure ->real_parent has not passed         * exit_ptrace(). Otherwise we don't report the error but         * pretend ->real_parent untraces us right after return.         */         if (!ret && !(current->real_parent->flags & PF_EXITING)) {             // 检查通过，将子进程链接到父进程的ptrace链表中             current->ptrace = PT_PTRACED;             ptrace_link(current, current->real_parent);         }     }       write_unlock_irq(&tasklist_lock);       return ret; }

3. 分析

   通过分析源码我们可以明确看到，PTRACE_TRACEME并没有真正使子进程停止。它内部完成的操作只有对父进程是否能对子进程进行trace的合法性检查，然后将子进程链接到父进程的饿ptrace链表中。真正导致子进程停止的是exec系统调用。

   在系统调用成功后，kernel会判断该进程是否被ptrace跟踪。如果处于跟踪状态，kernel将会向该进程发送SIGTRAP信号，正是该信号导致了当前进程的停止。

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

   /**  * ptrace_event - possibly stop for a ptrace event notification  * @event:    %PTRACE_EVENT_* value to report  * @message:    value for %PTRACE_GETEVENTMSG to return  *  * Check whether @event is enabled and, if so, report @event and @message  * to the ptrace parent.  *  * Called without locks.  */ static inline void ptrace_event(int event, unsigned long message) {     if (unlikely(ptrace_event_enabled(current, event))) {         current->ptrace_message = message;         ptrace_notify((event << 8) | SIGTRAP);     } else if (event == PTRACE_EVENT_EXEC) {         /* legacy EXEC report via SIGTRAP */         if ((current->ptrace & (PT_PTRACED|PT_SEIZED)) == PT_PTRACED)             send_sig(SIGTRAP, current, 0);     } }

   在exec.c中对该函数的调用如下：

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

   static int exec_binprm(struct linux_binprm *bprm) {     pid_t old_pid, old_vpid;     int ret, depth;       /* Need to fetch pid before load_binary changes it */     old_pid = current->pid;     rcu_read_lock();     old_vpid = task_pid_nr_ns(current, task_active_pid_ns(current->parent));     rcu_read_unlock();     .......     audit_bprm(bprm);     trace_sched_process_exec(current, old_pid, bprm);     // 调用ptrace_event,传入的event为PTRACE_EVENT_EXEC   // 直接走发送SIGTRAP的逻辑     ptrace_event(PTRACE_EVENT_EXEC, old_vpid);        proc_exec_connector(current);     return 0; }

   SIGTRAP信号的值为5，专门为调试设计。当kernel发生int 3时，触发回掉函数do_trap()，其代码如下：

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

   asmlinkage void do_trap(struct pt_regs *regs, unsigned long address) {     force_sig_fault(SIGTRAP, TRAP_TRACE, (void __user *)address);       regs->pc += 4; }   int force_sig_fault(int sig, int code, void __user *addr     ___ARCH_SI_TRAPNO(int trapno)     ___ARCH_SI_IA64(int imm, unsigned int flags, unsigned long isr)) {     return force_sig_fault_to_task(sig, code, addr                        ___ARCH_SI_TRAPNO(trapno)                        ___ARCH_SI_IA64(imm, flags, isr), current); }

   父进程唤醒wait对子进程进行监控，wait有3种退出情况（子进程正常退出、收到信号退出、收到信号暂停），对于PTRACE_TRACEME来说，对应的是第三种情况--收到信号后暂停。

   PTRACE_TRACEME只是表明了子进程可以被trace，如果进程调用了PTRACE_TRACEME，那么该进程处理信号的方式会发生改变。例如一个进程正在运行，此时输入ctrl+c(SIGINT),则进程会直接退出；如果进程中有ptrace (PTRACE_TRACEME,0，NULL,NULL)，当输入CTRL+C时，该进程将会处于stopped的状态。

   在sys_ptrace函数中，该部分的处理流程如下：

   

   在5.9版中，单独写成了ptrace_traceme()函数，而在2.6版本中，直接在sys_ptrace的逻辑中进行实现：

   

   虽然2个版本的核心功能相同，但是5.9版本的处理逻辑和情况考量相比2.6版本上升了很大高度。

2. PTRA CE_ATTACH

1. 描述

   attach到pid指定的进程，使其成为调用进程的tracee。tracer会向tracee发送一个SIGSTOP信号，但不一定已通过此调用完成而停止；tracer使用waitpid()等待tracee停止。

2. 定义

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

   static int ptrace_attach(struct task_struct *task, long request,              unsigned long addr,              unsigned long flags) {     bool seize = (request == PTRACE_SEIZE);     int retval;       retval = -EIO;  /* I/O error*/       /*     * 判断request是PTRACE_SEIZE还是PTRACE_ATTACH。     * 如果request为PTRACE_SEIZE，则进行必要的参数检查，错误时退出。     */     if (seize) {         if (addr != 0)             goto out;         if (flags & ~(unsigned long)PTRACE_O_MASK)             goto out;         flags = PT_PTRACED | PT_SEIZED | (flags << PT_OPT_FLAG_SHIFT);     } else {         flags = PT_PTRACED;     }       audit_ptrace(task);       /*     * 判断task进程是否为kernel thread（PF_KTHREAD），     * 调用same_thread_group(task, current)，判断task是否和current进程在同一个线程组，查看current进程是否有权限trace task进程。     * 如果不符合要求，则直接退出。     */     retval = -EPERM;  /* Operation not permitted, retval = -1 */     if (unlikely(task->flags & PF_KTHREAD))         goto out;     if (same_thread_group(task, current))         goto out;       /*      * Protect exec's credential calculations against our interference;      * SUID, SGID and LSM creds get determined differently      * under ptrace.      */     retval = -ERESTARTNOINTR;     if (mutex_lock_interruptible(&task->signal->cred_guard_mutex))         goto out;       task_lock(task);     retval = __ptrace_may_access(task, PTRACE_MODE_ATTACH_REALCREDS);     task_unlock(task);     if (retval)         goto unlock_creds;       write_lock_irq(&tasklist_lock);     retval = -EPERM;     if (unlikely(task->exit_state))         goto unlock_tasklist;     if (task->ptrace)         goto unlock_tasklist;       /*      * 设置子进程task->ptrace = PT_TRACED，被跟踪状态      */     if (seize)         flags |= PT_SEIZED;     task->ptrace = flags;       /*      * 调用__ptrace_link(task, current)，将task->ptrace_entry链接到current->ptraced链表中。      */     ptrace_link(task, current);       /* SEIZE doesn't trap tracee on attach */     /*      * 如果是PTRACE_ATTACH请求（PTRACE_SEIZE请求不会停止被跟踪进程），      * 则调用send_sig_info(SIGSTOP,SEND_SIG_PRIV, task);      * 发送SIGSTOP信号，中止task运行，设置task->state为TASK_STOPPED      */     if (!seize)         send_sig_info(SIGSTOP, SEND_SIG_PRIV, task);       spin_lock(&task->sighand->siglock);       /*      * If the task is already STOPPED, set JOBCTL_TRAP_STOP and      * TRAPPING, and kick it so that it transits to TRACED.  TRAPPING      * will be cleared if the child completes the transition or any      * event which clears the group stop states happens.  We'll wait      * for the transition to complete before returning from this      * function.      *      * This hides STOPPED -> RUNNING -> TRACED transition from the      * attaching thread but a different thread in the same group can      * still observe the transient RUNNING state.  IOW, if another      * thread's WNOHANG wait(2) on the stopped tracee races against      * ATTACH, the wait(2) may fail due to the transient RUNNING.      *      * The following task_is_stopped() test is safe as both transitions      * in and out of STOPPED are protected by siglock.      *      *      *      * 等待task->jobctl的JOBCTL_TRAPPING_BIT位被清零，      * 阻塞时进程状态被设置为TASK_UNINTERRUPTIBLE，引发进程调度      */       if (task_is_stopped(task) &&         task_set_jobctl_pending(task, JOBCTL_TRAP_STOP | JOBCTL_TRAPPING))         signal_wake_up_state(task, __TASK_STOPPED);       spin_unlock(&task->sighand->siglock);       retval = 0; unlock_tasklist:     write_unlock_irq(&tasklist_lock); unlock_creds:     mutex_unlock(&task->signal->cred_guard_mutex); out:     if (!retval) {         /*          * We do not bother to change retval or clear JOBCTL_TRAPPING          * if wait_on_bit() was interrupted by SIGKILL. The tracer will          * not return to user-mode, it will exit and clear this bit in          * __ptrace_unlink() if it wasn't already cleared by the tracee;          * and until then nobody can ptrace this task.          */         wait_on_bit(&task->jobctl, JOBCTL_TRAPPING_BIT, TASK_KILLABLE);         proc_ptrace_connector(task, PTRACE_ATTACH);     }       return retval; }

3. 分析

   代码上可以看出，PTRACE_ATTACH处理的方式与PTRACE_TRACEME处理的方式不同。PTRACE_ATTACH会使父进程直接向子进程发送SIGSTOP信号，如果子进程停止，那么父进程的wait操作被唤醒，从而成功attach。一个进程不能attach多次。

   在2.6版本中的实现如下(kernel/ptrace.c)：

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46

   int ptrace_attach(struct task_struct *task) {     int retval;     task_lock(task);     retval = -EPERM;     if (task->pid <= 1)        // 不能调试init         goto bad;     if (task == current)  // 不能调试自身         goto bad;     if (!task->mm)         goto bad;   /* 鉴权 */     if(((current->uid != task->euid) ||         (current->uid != task->suid) ||         (current->uid != task->uid) ||          (current->gid != task->egid) ||          (current->gid != task->sgid) ||          (current->gid != task->gid)) && !capable(CAP_SYS_PTRACE))         goto bad;     rmb();     if (!task->mm->dumpable && !capable(CAP_SYS_PTRACE))         goto bad;       if (task->ptrace & PT_PTRACED)   // 一个进程不能被attach多次         goto bad;     retval = security_ptrace(current, task);     if (retval)         goto bad;       /* Go */     task->ptrace |= PT_PTRACED;     if (capable(CAP_SYS_PTRACE))         task->ptrace |= PT_PTRACE_CAP;     task_unlock(task);       write_lock_irq(&tasklist_lock);     __ptrace_link(task, current);      // 调用__ptrace_link(task, current)，将task->ptrace_entry链接到current->ptraced链表中     write_unlock_irq(&tasklist_lock);       force_sig_specific(SIGSTOP, task);  // 发送SIGSTOP，终止运行     return 0;   bad:     task_unlock(task);     return retval; }

（未完待续）

第五届安全开发者峰会（SDC 2021）议题征集正式开启！