Почему ptrace если не через execl не работает?

Question

[MuffinLover]

https://pastebin.com/rHfUV9DZ
Может кто подсказать, пожалуйста
Почему если я закомментирую 19 строчку и раскомментирую 20, 21 строчку, то он уже логгировать два write системных вызова не будет?

Answer 1

[jcmvbkbc]

Потому что PTRACE_TRACEME не останавливает вызывающий процесс, а значит у родителя нет возможности заказать остановку по системному вызову. Останавливают трассируемый процесс только сигналы и явно запрошенные трассировщиком события.
В частности, вызов execve трассируемым процессом вызывает отправку ему сигнала SIGTRAP.
Можно вставить перед 20й строкой какой-нибудь asm volatile ("int3"); и это тоже вызовет доставку сигнала, останов и трассировку последующих вызовов write.

Comments

[MuffinLover]

Добавил, помогло частично
System call -1 made by child
System call 1 made by child
Hi1
System call 1 made by child
System call 1 made by child
Hi2
System call 1 made by child
System call 231 made by child

Только почему сисколлы дублируются?

[jcmvbkbc]

MuffinLover, не дублируются же, это вход и выход.

[MuffinLover]

jcmvbkbc, Что значит вход и выход?

[MuffinLover]

jcmvbkbc, и где здесь конкретно вход, а где выход

[jcmvbkbc]

Что значит вход и выход?

остановка перед началом выполнения системного вызова и сразу после окончания

и где здесь конкретно вход, а где выход

System call -1 made by child <-- это не сисколл, это остановка на инструкции int3
System call 1 made by child <--- вход в сисколл write
Hi1
System call 1 made by child <--- выход
System call 1 made by child <--- вход в следующий сисколл write
Hi2
System call 1 made by child <--- выход
System call 231 made by child <- вход в сисколл exit_group

[MuffinLover]

jcmvbkbc, как понимать вход и выход в сисколл? Это как?

[jcmvbkbc]

как понимать вход и выход в сисколл? Это как?

MuffinLover, сисколл это функция внутри ядра. Трассируемый процесс останавливается после входа в ядро но перед началом выполнения этой функции (это вход), а потом после окончания выполнения этой функции но перед возвратом из ядра (это выход).

[MuffinLover]

jcmvbkbc, а можно добиться чтобы было оригинальных два вывода и все
без выхода и входа?

[jcmvbkbc]

MuffinLover, не думаю. В чём проблема просто проигнорировать событие в котором ты не заинтересован?

[MuffinLover]

jcmvbkbc, вообще а в каких строчках кода происходит вывод именно входа или каким потоком, а в каких другим? Все-таки плохо понимаю вход и выход
Где можно про это подробней почитать?

[jcmvbkbc]

в каких строчках кода происходит вывод

весь вывод происходит в строчке 31. Если после входа трассировщик продолжает выполнение трассируемого процесса вызовом PTRACE_SYSCALL, то следующей остановкой будет выход из сисколла.

Где можно про это подробней почитать?

man ptrace?