前言
良好的習慣是人生産生複利的有力助手。
本公衆号已經寫了3年多了,期間時斷時續,時常被事情打斷,甚是煩惱。
最近在看一些時間管理方面的書,發現其實很多事情都是可以安排清楚,關鍵在于固定的時間,固定的投入,形成習慣,成為良性循環。
成為習慣之後,一切就會水到渠成,2020 年慢慢來,本公衆号内容還是以安全為主,傾向于攻,會夾雜開發和算法的知識。
本公衆号之後的分享以專題的形式出現,确定一個專題會一直投入,這樣大家也容易形成體系,類似于寫專欄。
更新頻率至少每周一更,算是2020年的 flag吧。希望本公衆号可以作為傳播知識的平台,幫助更多積極上進的朋友們。
strace 指令
在之前的文章,講解騰訊哈勃linux沙箱實作時,涉及到strace指令。strace用來監控linux系統調用,主要用于調試,分析診斷應用程式的問題。你将發現他是一個極好的幫手,在你要調試一個無法看到源碼或者源碼無法在編譯的程式時候。做過linux開發的同學,會經常用到這個指令。
在安全領域,strace 可以作為linux syscall的應用層監控方案,不需要安裝驅動,原理是借助ptrace功能來實作,可以作為沙箱方案中的syscall監控元件。
指令參數
-c 統計每一系統調用的所執行的時間,次數和出錯的次數等.
-d 輸出strace關于标準錯誤的調試資訊.
-f 跟蹤由fork調用所産生的子程序.
-ff 如果提供-o filename,則所有程序的跟蹤結果輸出到相應的filename.pid中,pid是各程序的程序号.
-F 嘗試跟蹤vfork調用.在-f時,vfork不被跟蹤.
-h 輸出簡要的幫助資訊.
-i 輸出系統調用的入口指針.
-q 禁止輸出關于脫離的消息.
-r 列印出相對時間關于,,每一個系統調用.
-t 在輸出中的每一行前加上時間資訊.
-tt 在輸出中的每一行前加上時間資訊,微秒級.
-ttt 微秒級輸出,以秒了表示時間.
-T 顯示每一調用所耗的時間.
-v 輸出所有的系統調用.一些調用關于環境變量,狀态,輸入輸出等調用由于使用頻繁,預設不輸出.
-V 輸出strace的版本資訊.
-x 以十六進制形式輸出非标準字元串
-xx 所有字元串以十六進制形式輸出.
-a column 設定傳回值的輸出位置.預設為40.
-e expr 指定一個表達式,用來控制如何跟蹤.格式:[qualifier=][!]value1[,value2]...
qualifier隻能是 trace,abbrev,verbose,raw,signal,read,write其中之一.
value是用來限定的符号或數字,預設的 qualifier是 trace,感歎号是否定符号。例如:-eopen等價于 -e trace=open,表示隻跟蹤open調用.
而-e trace=!open 表示跟蹤除了open以外的其他調用.有兩個特殊的符号 all 和 none.
注意有些shell使用!來執行曆史記錄裡的指令,是以要使用\!,例如 -e trace=\!open.
-e trace=value 隻跟蹤指定的系統 調用.例如:-e trace=open,close,read,write表示隻跟蹤這四個系統調用.預設的value=all.
-e trace=file 隻跟蹤有關檔案操作的系統調用.
-e trace=process 隻跟蹤有關程序控制的系統調用.
-e trace=network 跟蹤與網絡有關的所有系統調用.
-e strace=signal 跟蹤所有與系統信号有關的 系統調用
-e trace=ipc 跟蹤所有與程序通訊有關的系統調用
-e abbrev=set 設定strace輸出的系統調用的結果集.-v 等與 abbrev=none.預設為abbrev=all.
-e raw=set 将指定的系統調用的參數以十六進制顯示.
-e signal=set 指定跟蹤的系統信号.預設為all.如 signal=!SIGIO(或者signal=!io),表示不跟蹤SIGIO信号.
-e read=set 輸出從指定檔案中讀出 的資料.例如: -e read=3,5
-e write=set 輸出寫入到指定檔案中的資料.
-o filename 将strace的輸出寫入檔案filename
-p pid 跟蹤指定的程序pid.
-s strsize 指定輸出的字元串的最大長度.預設為32.檔案名一直全部輸出.
-u username 以username的UID和GID執行被跟蹤的指令
常用參數說明
-
系統調用統計
strace不光能追蹤系統調用,通過使用參數-c,它還能将程序所有的系統調用做一個統計分析給你,這次我們執行帶-c參數的strace 調式ls:
[root@VM_0_13_centos ~]# strace -c ls
- 跟蹤子程序并将日志輸出到檔案中(添加時間戳和耗時)
[root@VM_0_13_centos ~]# strace -f -tt -T -e trace=all -o strace.log ls
[root@VM_0_13_centos ~]# tail strace.log -n 20
部分的監控日志,顯示還是比較整齊的。
......
1343 17:30:16.250382 write(1, "adultre.txt\t\t\t IDA_Pro\t\t\t\t"..., 69) = 69 <0.000009>
1343 17:30:16.250416 write(1, "a.out\t\t\t\t Image-ExifTool-1"..., 71) = 71 <0.000008>
1343 17:30:16.250441 write(1, "_asyncio.pyd\t\t\t Image-Exif"..., 100) = 100 <0.000007>
1343 17:30:16.250465 write(1, "b3\t\t\t\t index.html.1\t\t\t\t\t\t "..., 64) = 64 <0.000008>
1343 17:30:16.250499 write(1, "babyre\t\t\t\t kernel-debug-de"..., 116) = 116 <0.000009>
1343 17:30:16.250526 write(1, "bach\t\t\t\t kernel-debuginfo-"..., 105) = 105 <0.000007>
1343 17:30:16.250550 write(1, "basic_authable-1.0.1.gem\t "..., 97) = 97 <0.000008>
1343 17:30:16.250573 write(1, "binwalk\t\t\t\t libpeshnx-0.1\t"..., 68) = 68 <0.000009>
1343 17:30:16.250597 write(1, "_bz2.pyd\t\t\t libpeshnx-0.1."..., 82) = 82 <0.000008>
1343 17:30:16.250621 write(1, "calc.asm\t\t\t libssl-1_1.dll"..., 78) = 78 <0.000008>
1343 17:30:16.250644 write(1, "calc.exe\t\t\t LICENSE.txt\t\t\t"..., 70) = 70 <0.000008>
1343 17:30:16.250668 write(1, "calc.exe.asm\t\t\t loader\t\t\t\t"..., 58) = 58 <0.000008>
1343 17:30:16.250691 write(1, "calc.exe.shc\t\t\t loader.she"..., 69) = 69 <0.000009>
1343 17:30:16.250715 write(1, "calc.i64\t\t\t lock.txt\t\t\t\t\t\t"..., 45) = 45 <0.000007>
1343 17:30:16.250737 write(1, "calc.shc.asm\t\t\t _lzma.pyd\t"..., 54) = 54 <0.000007>
1343 17:30:16.250766 close(1) = 0 <0.000005>
1343 17:30:16.250784 munmap(0x7f47313a7000, 4096) = 0 <0.000009>
1343 17:30:16.250806 close(2) = 0 <0.000005>
1343 17:30:16.250842 exit_group(0) = ?
1343 17:30:16.251121 +++ exited with 0 +++
3.跟蹤一個現有的程序
strace不光能自己初始化一個程序進行trace,還能追蹤現有的程序,參數-p就是取這個作用的,用法也很簡單,具體如下。
strace -p pid
日志結構化
雖然strace能很好地監控syscall調用,但是有個問題是不利于工程化,因為strace的定位是程式員用來調試程式,日志顯示的方式利于人類觀察,不利于程式直接分析,是以需要對strace日志進行解析。在github中,搜尋了一下strace parser ,發現了不少項目,看來這個問題,大家都曾遇到過呀,經過挑選,有6個開源項目還是不錯的。
https://github.com/zom3y3/stracer
https://github.com/johnlcf/Stana
https://github.com/vstinner/python-ptrace
https://github.com/dannykopping/b3
https://github.com/wookietreiber/strace-analyzer
https://github.com/burner1024/strace-io-parser
其中 https://github.com/dannykopping/b3, 基于nodejs開發,可以将strace日志轉化為json,還是很令人欣喜的。
執行以下指令安裝b3并解析日志為json:
[root@VM_0_13_centos ~]# npm i -g b3-strace-parser
[root@VM_0_13_centos ~]# strace -f -T -o strace.log ls
[root@VM_0_13_centos ~]# cat strace.log | b3
windows下的strace: wtrace
在搜尋日志解析的時候,發現 windows下也有類似strace的工具:wtrace (https://github.com/lowleveldesign/wtrace),基于ETW機制實作。
簡單試用一下效果還是不錯的,以管理者權限啟動:
之後也可以作為windows下沙箱的監控元件,記錄以下ok.
最後
關注公衆号:七夜安全部落格
回複【1】:領取 Python資料分析 教程大禮包
回複【2】:領取 Python Flask 全套教程
回複【3】:領取 某學院 機器學習 教程
回複【4】:領取 爬蟲 教程
回複【5】:領取 編譯原理 教程
回複【6】:領取 滲透測試 教程
回複【7】:領取 人工智能數學基礎 教程
本文章屬于原創作品,歡迎大家轉載分享,禁止修改文章的内容。尊重原創,轉載請注明來自:七夜的故事 http://www.cnblogs.com/qiyeboy/
本文章屬于原創作品,歡迎大家轉載分享,禁止修改文章的内容。尊重原創,轉載請注明來自:七夜的故事 http://www.cnblogs.com/qiyeboy/
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)