1.手把手教你写一个GDB（基本功能~）
2.深入探索Linux系统调用劫持浅析linux系统调用劫持
3.GDB的源码工作原理及skyeye远程调试
4.Hikari源码分析 - AntiDebug
5.GDB调试程序的核心技术-ptrace系统调用与使用示例
6.golang 调试Debug

手把手教你写一个GDB（基本功能~）

       本文将为你详细解读如何使用GDB进行Linux内核的基本调试，从入门到实践，源码一步步教你掌握这一强大的源码工具。首先，源码GDB中的源码ptrace系统调用是关键，它允许我们控制和观察其他进程的源码刷ip网站源码执行。

       通过GDB，源码你可以:

       调试可执行文件，源码理解程序的源码运行流程和逻辑。

       创建被调试子进程，源码并加载你想要监控的源码程序。

       当程序暂停时，源码利用GDB的源码命令行发送调试指令，深入检查变量值、源码调用栈等信息。源码

       深入理解Linux内核架构和工作原理是学习GDB的基础，这包括理解五大模块和整体设计。相关学习资源丰富，例如《Linux内核五大模块内核源码详解》和《全网独一无二Linux内核Makefile系统文件详解》等书籍可以提供深入的知识支持。

       同时，加入我们的技术交流群，可以获取更多学习资料，包括书籍、视频和面试题等福利。前名加入者还有额外的下载unix源码下载奖励，是提升内核调试技能的宝贵途径。

       学习Linux内核和GDB的旅程并不孤单，一步步实践，你将能够掌握这个强大的调试工具，为你的编程和内核研究打开新世界的大门。

深入探索Linux系统调用劫持浅析linux系统调用劫持

       深入探索Linux系统调用劫持浅析

       Linux系统调用劫持是一种破坏性技术，它利用程序间直接调用系统调用来更改或破坏系统行为。它可以在应用程序、安全工具、远程API和操作系统内核中使用，以增强功能或防御攻击。

       在Linux系统调用劫持中，用户空间程序会调用系统调用来实现特定功能，而劫持者则以某种方式拦截以前调用系统调用来进行攻击。有多种方法可以实现系统调用劫持。其中一个例子就是使用ptrace系统调用来拦截系统调用，ptrace可以在程序中插入代码以更改它的行为。

       此外，还可以使用LD_PRELOAD环境变量实现系统调用劫持。 LD_PRELOAD变量允许开发者加载用户自定义的动态链接库，以便在调用其他系统调用或函数时侦测它。

       另一个方法便是做一些种类更加复杂的内核开发，例如修改Linux内核的源码，从而在每次系统调用之前或之后插入程序代码，龙源码原生APP从而实现劫持系统调用的目的。

       最后，有一种特殊的黑客技术，称为『软件调整』技术，它可以以非常快的速度来实现系统调用劫持。该技术可以使用特殊的指令修改系统调用表，从而直接拦截系统调用以修改它们的行为。

       总之，Linux系统调用劫持技术可以用来增强功能或防御攻击，它具有很高的抗攻击性和柔韧性，但同时也可能被滥用用于恶意目的。因此，有必要继续深入研究Linux系统调用劫持，保护系统中的数据安全和攻击被发现和阻止。

GDB的工作原理及skyeye远程调试

       GDB，即GNU调试器，是UNIX及类UNIX系统中一款强大的命令行调试工具。GDB的工作原理主要基于ptrace系统调用，通过该系统调用，GDB能够观察和控制目标进程的执行，检查和修改其核心映像以及寄存器。ptrace系统调用提供了一种方法，允许父进程监视和控制其他进程，实现断点调试和系统调用跟踪。员工带源码离职

       ptrace函数的关键参数包括PTRACE_TRACEME、PTRACE_ATTACH、PTRACE_CONT等。PTRACE_TRACEME选项是由子进程调用的，表示子进程将被父进程跟踪，使得所有信号（除SIGKILL外）在被忽略时也会使子进程停止，父进程可通过wait()函数获取此信息。PTRACE_ATTACH选项则用于附加到指定进程，使其成为当前进程跟踪的子进程，尽管当前进程成为了被跟踪进程的父进程，但被跟踪进程通过getppid()获取的仍是原始父进程的pid。PTRACE_CONT选项用于继续运行之前停止的子进程。

       GDB提供了三种调试方式：attach并调试已运行的进程、运行并调试新进程以及远程调试目标主机上的新进程。在使用GDB调试时，实现基础都是基于信号的，ptrace系统调用建立调试关系后，任何信号（除SIGKILL外）都会被GDB截获，GDB可以对信号进行处理，决定是否将信号交付给目标进程。

       GDB的单步调试功能包括next、step、stepi和nexti命令，分别实现源代码级单步、大疆源码github严格指令集单步以及跨越函数调用的单步。在单步过程中遇到函数调用时，step命令将停止在子函数起始处，而next命令和nexti命令则不会跨越子函数。

       断点功能允许用户在指定位置插入断点，目标进程运行至断点时产生SIGTRAP信号，由GDB捕获并确定是否命中断点。断点插入的目标进程和清除的时间点由GDB控制，确保了正确的调试体验。

       SkyEye作为一款指令级别仿真平台，支持多种处理器体系架构，包括ARM、TI DSP、PowerPC、X、SPARC、龙芯和飞腾。SkyEye通过与GDB结合，实现远程调试，提供命令行工具和界面形式的调试功能。通过SkyEye，用户可以进行断点设置、单步执行、查看变量和寄存器信息等操作，同时支持指令集调试。调试信息直接展示在控制台中，实现高效的远程调试体验。

Hikari源码分析 - AntiDebug

       一、框架分析

       针对PASS的具体实现进行深入分析。该PASS旨在提升编译后程序的抵抗调试能力，其核心逻辑包括两个主要方面：

       链接预编译的反调试IR代码

       特定于平台的内联汇编注入

       针对Darwin操作系统上的AArch架构，若未找到ADBCallBack和InitADB函数，PASS会尝试直接注入内联汇编代码。该代码片段可能利用系统调用，如ptrace，来检测是否处于调试环境。

       此外，配置允许用户指定预编译反调试IR文件的路径和函数混淆概率。

       具体实现包括：

       检查预编译IR路径，构建默认路径并链接预编译的IR文件。

       修改ADBCallBack和InitADB函数属性，确保它们在编译和链接阶段表现出反调试行为。

       初始化标志和目标三元组信息，准备为每个模块提供初始化和链接预编译IR的过程。

       模块处理和函数处理涉及应用概率值来决定是否对模块和函数应用反调试混淆。

       预编译的反调试IR文件包含了一系列用于反调试的函数和结构，如检测调试器的代码、修改执行路径以规避调试跟踪、以及插桩代码以检测异常行为。

       通过LLVM工具链中的llvm-dis工具，可以将.bc文件转换为可读的LLVM IR文件。该文件结构包含多个结构体定义、全局声明、函数实现和属性。

       函数ADBCallBack简单地终止程序并执行无法到达的指令。函数InitADB执行系统调用和检查来检测调试状态，可能涉及进程信息查询、动态库加载、系统调用、内存分配、异常端口检查等操作。

       系统调用声明确保了程序能调用各种底层函数进行操作，如sysctl、dlopen、dlsym、task_get_exception_ports、isatty、ioctl等。

       总结，通过在编译器优化阶段插入反调试逻辑，相较于源代码实现，基于LLVM Pass的AntiDebug方法提供了更好的隐蔽性、可移植性、灵活性、维护性和混淆程度。然而，这种方法需要对LLVM框架有深入理解，可能增加构建和调试复杂度。

GDB调试程序的核心技术-ptrace系统调用与使用示例

       当程序遭遇bug时，GDB调试是常用手段。本文并非详述GDB的使用，而是聚焦于其核心技术——ptrace系统调用。Linux的ptrace功能强大，允许深入调试进程。首先，我们来理解ptrace系统调用，它是Linux内核提供的进程调试工具。

       系统调用ptrace的定义如下，它提供了多种调试手段，例如追踪进程的寄存器值。深入学习需要了解进程调度、内存管理和信号处理等基础知识。

       通过实例，我们可以看到如何使用ptrace获取子进程的寄存器值，这涉及进程的追踪和操作请求，如PTRACE_TRACEME和PTRACE_GETREGS。在X CPU架构下，Linux内核的ptrace实现位于特定的源代码文件中。

       具体操作如PTRACE_TRACEME让进程进入追踪模式，当进程执行exec()函数时，会暂停并发送SIGCHLD信号给父进程，随后父进程可以开始调试。获取内存数据（如PTRACE_PEEKTEXT和PTRACE_PEEKDATA）涉及内存映射和访问过程。

       此外，单步调试（PTRACE_SINGLESTEP）则通过设置CPU的Trap Flag实现，每执行一条指令都会暂停并触发SIGTRAP信号。在单步模式下，父进程可以在信号处理中进行各种操作，包括继续执行被调试进程。

       总的来说，ptrace是GDB调试的强大工具，它通过系统调用来实现对进程的深入监控和干预。尽管本文未能详尽阐述所有功能，但提供了对ptrace核心功能的初步了解，其余内容则需要读者进一步阅读源代码来深入研究。

golang 调试Debug

       GODEBUG变量在Golang中提供个参数，通过在go run命令中设置GODEBUG变量启用。这些参数并无常量标识，其含义通过代码硬编码实现。具体参数如下：

       一、GODEBUG变量介绍

       GODEBUG变量支持个参数。这些参数在runtime包的doc中有所介绍，并在schedinit()方法的调度器初始化中通过parsedebugvars()函数进行初始化。

       二、垃圾回收分析：gctrace

       gctrace用于分析Golang程序的垃圾回收信息。

       命令：设置GODEBUG=gctrace=1

       输出：详细记录Golang程序的垃圾回收过程信息

       释义：通过此设置，可以追踪并记录Golang程序中垃圾回收的详细信息，帮助开发者理解和优化内存管理。

       三、GMP调度跟踪：schedtrace和scheddetail

       这些功能由Golang自身提供，但其功能较为有限，建议使用更专业的工具如GDB或dlv等进行更深入的分析。

       命令：设置GODEBUG=schedtrace=1 或 GODEBUG=scheddetail=1

       输出：具体调度过程信息

       释义：通过启用schedtrace或scheddetail，可以获取Golang程序调度器的详细运行信息，有助于深入理解程序执行过程中的调度策略。

       四、GMP跟踪细节信息

       具体命令：设置GODEBUG=mptrace=1

       输出：详细记录Golang多处理器环境下的线程执行信息

       协程状态（详细信息查看源码：golang.org/src/runtime/...）

       释义：此设置用于追踪Golang程序中协程的执行状态和多处理器环境下的线程交互信息，提供对程序并发执行过程的深入洞察。