pmp
pmp是一个穷人的档案。 它通过毫秒唤醒一次并跟踪目标进程的堆栈来工作。
要求
必须针对libunwind构建pmp。
用法
pmp> /tmp/stacks.txt
这将输出每行具有堆栈跟踪的文件及其关联计数。 为了可视化,最好使用FlameGraph项目:
猫/tmp/stacks.txt | c ++过滤器| /path/to/FlameGraph.pl> /tmp/flamegraph.svg chrome /tmp/flamegraph.svg
2022-12-13 10:04:40
25KB
1
【Android 逆向】修改运行中的 Android 进程的内存数据 ( Android 系统中调试器进程内存流程 | 编译内存调试动态库以及调试程序 ) https://hanshuliang.blog.csdn.net/article/details/121063591 博客资源
2021-11-02 09:11:34
2.11MB
1
Ptrace 提供了一种父进程可以控制子进程运行,并可以检查和改变它的核心image。它主要用于实现断点调试。一个被跟踪的进程运行中,直到发生一个信号。则进程被中止,并且通知其父进程。在进程中止的状态下,进程的内存空间可以被读写。父进程还可以使子进程继续执行,并选择是否是否忽略引起中止的信号。
2021-04-28 22:10:34
498KB
1
1、文章:https://blog.csdn.net/z929118967/article/details/78233844
2、去掉ptrace的思路:
2.1、 当程序运行后,使用 debugserver *:1234 -a BinaryName 附加进程出现 segmentfault 11
时,一般说明程序内部调用了ptrace 。
2.2、为验证是否调用了ptrace 可以 debugserver -x backboard *:1234 /BinaryPath(这里是完整路径),然后下符号断点 b ptrace,c 之后看ptrace第一行代码的位置,然后 p $lr 找到函数返回地址,再根据
image list -o -f 的ASLR偏移,计算出原始地址。最后在 IDA
中找到调用ptrace的代码,分析如何调用的ptrace。
2.3、开始hook ptrace。
2021-03-16 12:11:18
154KB