一、Linux系统进程状态

        除了我们所熟知的TASK_RUNNING，TASK_INTERRUPTIBLE，TASK_STOPPED等，还有一个TASK_TRACED。

二、ptrace系统调用

        ptrace系统调从名字上看是用于进程跟踪的，它提供了父进程可以观察和控制其子进程执行的能力，并允许父进程检查和替换子进程的内核镜像(包括寄存器)的值。其基本原理是: 当使用了ptrace跟踪后，所有发送给被跟踪的子进程的信号(除了SIGKILL)，都会被转发给父进程，而子进程则会被阻塞，这时子进程的状态就会被系统标注为TASK_TRACED。而父进程收到信号后，就可以对停止下来的子进程进行检查和修改，然后让子进程继续运行。    

        其原型为：    

    #include <sys/ptrace.h>

    long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);

    ptrace有四个参数: 

    1). enum __ptrace_request request：指示了ptrace要执行的命令。

    2). pid_t pid: 指示ptrace要跟踪的进程。

    3). void *addr: 指示要监控的内存地址。

    4). void *data: 存放读取出的或者要写入的数据。

        ptrace系统调用提供了一种方法，这个方法可以让一个进程监视、控制另一个进程的执行，并且可以查看和更改被追踪进程的内存和寄存器。通常用来下断点和调试。ptrace是如此的强大，以至于有很多大家所常用的工具都基于ptrace来实现，如strace和gdb。

三、常用的两种追踪的模式

        ptrace(PTRACE_TRACEME, 0, 0, 0)

        通常为被追踪者使用，用来指示此进程将由其父进程跟踪。下面的代码示例演示了这个过程：父进程fork出一个子进程。

        子进程调用PTRACE_TRACEME，表明这个进程由它的父进程来跟踪。任何发给这个进程的信号signal（除了SIGKILL）将导致该进程停止运行，而它的父进程会通过wait()获得通知。另外，该进程之后所有对exec()的调用都将使操作系统产生一个SIGTRAP信号发送给它，这让父进程有机会在新程序开始执行之前获得对子进程的控制权。

        然后我们通过父进程wait函数来等待接收子进程发出的信号，同时看看子进程的入口（_start函数）处有没有初始化。

        可以看到我们接收到的信号是SIGTRAP信号，正是执行exec()时产生的软中断（int3），子进程的入口处代码也加载到了内存中。

        ptrace(PTRACE_ATTACH, pid, NULL, NULL)

        此追踪模式将主动发送一个停止的信号给目标进程（ATTACH模式），使目标程序暂停下来，然后使用wait来等待目标程序停下来再做进一步操作。示例代码如下，同样是来查看wait到的信号以及入口函数是否被加载到内存。

可以看到我们接受到了两个暂停的信号，第一个就是我们attach时主动发送的信号造成目标进程的停止，然后通知我们Stopped，此时，入口代码还没有加载到内存。第二个就是执行exec()时被系统软中断的信号，和PTRACE_ME相同，此时入口代码已被加载到内存。

        弄清楚了这两种常用的追踪模式后，我们来看看如何使用ptrace来查看、修改目标进程的内存和寄存器

        user_regs_struct是在ptrace.h中定义的一个结构体，用来存储各个寄存器的值，使用时通常会声明一个全局变量struct user_regs_struct regs; 当我们可以追踪进程之后，使用ptrace(PTRACE_GETREGS, child_pid, NULL, &regs);将此刻目标进程的寄存器信息存储到这个regs结构体，regs.eip查看eip的值，64位就是regs.rip啦。

        若要修改eip的值，只需更改regs.eip的值，然后ptrace(PTRACE_SETREGS, child_pid, NULL, &regs) 系统就会将目标程序的eip更改过来。然后查看内存中某地址的值用ptrace(PTRACE_PEEKTEXT, child_pid, addr, NULL)。修改内存的值用ptrace(PTRACE_POKETEXT, child_pid, addr, text)。然后就是让程序继续运行和单步了。我们使用wait等到目标程序中断，接着完成了我们想进行的操作后，使用ptrace(PTRACE_CONT, child_pid, NULL, NULL)来使目标进程恢复运行，想等到它再次中断，应使用wait等待。

        使用ptrace(PTRACE_SINGLESTEP, child_pid, NULL, NULL)来进行单步调试。父进程通过PTRACE_SINGLESTEP以及子进程的id号来调用ptrace。这么做是告诉操作系统——请重新启动子进程，但当子进程执行了下一条指令后再将其停止。然后父进程再次wait()等待子进程的停止。

        关于ptrace还有很多其他使用姿势，本文仅是介绍最常用的几种。