.\" -*- coding: UTF-8 -*- .\" Copyright (c) 1993 Michael Haardt .\" Fri Apr 2 11:32:09 MET DST 1993 .\" .\" and changes Copyright (C) 1999 Mike Coleman (mkc@acm.org) .\" -- major revision to fully document ptrace semantics per recent Linux .\" kernel (2.2.10) and glibc (2.1.2) .\" Sun Nov 7 03:18:35 CST 1999 .\" .\" and Copyright (c) 2011, Denys Vlasenko .\" and Copyright (c) 2015, 2016, Michael Kerrisk .\" .\" SPDX-License-Identifier: GPL-2.0-or-later .\" .\" Modified Fri Jul 23 23:47:18 1993 by Rik Faith .\" Modified Fri Jan 31 16:46:30 1997 by Eric S. Raymond .\" Modified Thu Oct 7 17:28:49 1999 by Andries Brouwer .\" Modified, 27 May 2004, Michael Kerrisk .\" Added notes on capability requirements .\" .\" 2006-03-24, Chuck Ebbert <76306.1226@compuserve.com> .\" Added PTRACE_SETOPTIONS, PTRACE_GETEVENTMSG, PTRACE_GETSIGINFO, .\" PTRACE_SETSIGINFO, PTRACE_SYSEMU, PTRACE_SYSEMU_SINGLESTEP .\" (Thanks to Blaisorblade, Daniel Jacobowitz and others who helped.) .\" 2011-09, major update by Denys Vlasenko .\" 2015-01, Kees Cook .\" Added PTRACE_O_TRACESECCOMP, PTRACE_EVENT_SECCOMP .\" .\" FIXME The following are undocumented: .\" .\" PTRACE_GETWMMXREGS .\" PTRACE_SETWMMXREGS .\" ARM .\" Linux 2.6.12 .\" .\" PTRACE_SET_SYSCALL .\" ARM and ARM64 .\" Linux 2.6.16 .\" commit 3f471126ee53feb5e9b210ea2f525ed3bb9b7a7f .\" Author: Nicolas Pitre .\" Date: Sat Jan 14 19:30:04 2006 +0000 .\" .\" PTRACE_GETCRUNCHREGS .\" PTRACE_SETCRUNCHREGS .\" ARM .\" Linux 2.6.18 .\" commit 3bec6ded282b331552587267d67a06ed7fd95ddd .\" Author: Lennert Buytenhek .\" Date: Tue Jun 27 22:56:18 2006 +0100 .\" .\" PTRACE_GETVFPREGS .\" PTRACE_SETVFPREGS .\" ARM and ARM64 .\" Linux 2.6.30 .\" commit 3d1228ead618b88e8606015cbabc49019981805d .\" Author: Catalin Marinas .\" Date: Wed Feb 11 13:12:56 2009 +0100 .\" .\" PTRACE_GETHBPREGS .\" PTRACE_SETHBPREGS .\" ARM and ARM64 .\" Linux 2.6.37 .\" commit 864232fa1a2f8dfe003438ef0851a56722740f3e .\" Author: Will Deacon .\" Date: Fri Sep 3 10:42:55 2010 +0100 .\" .\" PTRACE_SINGLEBLOCK .\" Since at least Linux 2.4.0 on various architectures .\" Since Linux 2.6.25 on x86 (and others?) .\" commit 5b88abbf770a0e1975c668743100f42934f385e8 .\" Author: Roland McGrath .\" Date: Wed Jan 30 13:30:53 2008 +0100 .\" ptrace: generic PTRACE_SINGLEBLOCK .\" .\" PTRACE_GETFPXREGS .\" PTRACE_SETFPXREGS .\" Since at least Linux 2.4.0 on various architectures .\" .\" PTRACE_GETFDPIC .\" PTRACE_GETFDPIC_EXEC .\" PTRACE_GETFDPIC_INTERP .\" blackfin, c6x, frv, sh .\" First appearance in Linux 2.6.11 on frv .\" .\" and others that can be found in the arch/*/include/uapi/asm/ptrace files .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH ptrace 2 "2. Mai 2024" "Linux man\-pages 6.8" .SH BEZEICHNUNG ptrace \- Prozessverfolgung .SH BIBLIOTHEK Standard\-C\-Bibliothek (\fIlibc\fP, \fI\-lc\fP) .SH ÜBERSICHT .nf \fB#include \fP .P \fBlong ptrace(enum __ptrace_request \fP\fIAkt\fP\fB, pid_t \fP\fIpid\fP\fB,\fP \fB void *\fP\fIAdresse\fP\fB, void *\fP\fIDaten\fP\fB);\fP .fi .SH BESCHREIBUNG Der Systemaufruf \fBptrace\fP() stellt ein Mittel bereit, wodurch ein Prozess (der »Verfolger«) die Ausführung eines anderen Prozesses (des »verfolgten Prozesses«) beobachten und steuern kann und seinen Speicher sowie die Register untersuchen und ändern kann. Er wird in erster Linie benutzt, um Fehlersuche mittels Haltepunkten zu implementieren und Systemaufrufe zu verfolgen. .P Ein verfolgter Prozess muss zuerst an den Verfolger angehängt werden. Anhängen und nachfolgende Befehle bestehen pro Thread: In einem Prozess mit mehreren Threads kann jeder Thread individuell an einen (möglicherweise unterschiedlichen) Verfolger angehängt werden oder nicht angehängt und folglich nicht auf Fehler untersucht werden. Daher bedeutet »verfolgter Prozess« immer »(ein) Thread«, niemals »ein Prozess (mit möglicherweise mehreren Threads)«. Ptrace\-Befehle werden immer an einen bestimmten verfolgten Prozess gesandt. Der Aufruf hat folgende Form: .P .in +4n .EX ptrace(PTRACE_foo, PID, …) .EE .in .P wobei \fIPID\fP die Thread\-Kennung des zugehörigen Linux\-Threads ist. .P (Beachten Sie, dass auf dieser Seite ein »Prozess aus mehreren Threads« eine Thread\-Gruppe bezeichnet, die aus Threads besteht, die mittels des \fBclone\fP(2)\-Schalters \fBCLONE_THREAD\fP erzeugt wurde.) .P Ein Prozess kann eine Verfolgung mittels \fBfork\fP(2) starten und als Ergebnis einen Kindprozess erhalten, der \fBPTRACE_TRACEME\fP ausführt, was (üblicherweise) von einem \fBexecve\fP(2) gefolgt wird. Alternativ kann ein Prozess die Verfolgung eines anderen Prozesses mittels \fBPTRACE_ATTACH\fP oder \fBPTRACE_SEIZE\fP beginnen. .P Während der Prozess verfolgt wird, wird er jedesmal stoppen, wenn ein Signal gesandt wird, sogar wenn das Signal ignoriert wird. (Eine Ausnahme ist \fBSIGKILL\fP, das seine normale Wirkung erzielt.) Der Verfolger wird bei seinem nächsten Aufruf von \fBwaitpid\fP(2) (oder den zugehörigen »wait«\-Systemaufrufen) benachrichtigt; dies wird einen \fIStatus\fPwert zurückgeben, der Informationen enthält, die den Grund angeben, weshalb der verfolgte Prozess stoppte. Während der verfolgte Prozess angehalten ist, kann der Verfolger verschiedene Ptrace\-Aktionen verwenden, um den verfolgten Prozess zu untersuchen und zu verändern. Dann veranlasst der Verfolger den verfolgten Prozess fortzufahren und wahlweise das versandte Signal zu ignorieren (oder stattdessen sogar ein anderes Signal zu senden). .P Falls die Option \fBPTRACE_O_TRACEEXEC\fP nicht in Kraft ist, werden alle erfolgreichen Aufrufe von \fBexecve\fP(2) durch den verfolgten Prozess zum Senden eines \fBSIGTRAP\fP\-Signals veranlassen, um dem Elternprozess die Möglichkeit zu geben, die Kontrolle zu erlangen, bevor die Ausführung des neuen Programms beginnt. .P Wenn der Verfolger die Verfolgung beendet hat, kann er veranlassen, das der verfolgte Prozess mit \fBPTRACE_DETACH\fP in einem normal Modus ohne Verfolgung fortfährt. .P Der Wert von \fIAkt\fP legt die durchzuführende Aktion fest: .TP \fBPTRACE_TRACEME\fP zeigt an, dass dieser Prozess durch seinen Elternprozess verfolgt wird. Ein Prozess sollte diese Aktion wahrscheinlich nicht durchführen, falls sein Elternprozess nicht erwartet, ihn zu verfolgen.(\fIPID\fP, \fIAdresse\fP und \fIDaten\fP werden ignoriert.) .IP Die Aktion \fBPTRACE_TRACEME\fP wird nur vom verfolgten Prozess benutzt; die verbleibenden Aktionen werden nur vom verfolgenden Prozess benutzt. In den folgenden Aktionen gibt \fIPID\fP die Thread\-Kennung des verfolgten Prozesses an, der beeinflusst werden soll. Für andere Aktionen als \fBPTRACE_ATTACH\fP, \fBPTRACE_SEIZE\fP, \fBPTRACE_INTERRUPT\fP und \fBPTRACE_KILL\fP muss der verfolgte Prozess gestoppt werden. .TP \fBPTRACE_PEEKTEXT\fP .TQ \fBPTRACE_PEEKDATA\fP liest ein »word« an der Stelle \fIAdresse\fP im Speicher des verfolgten Prozesses und gibt das »word« als Ergebnis des \fBptrace\fP()\-Aufrufs zurück. Linux hat keine separaten Adressräume für Text und Daten, daher sind diese beiden Aktionen derzeit gleichwertig. (Das Argument \fIDaten\fP wird ignoriert, lesen Sie aber auch ANMERKUNGEN.) .TP \fBPTRACE_PEEKUSER\fP .\" PTRACE_PEEKUSR in kernel source, but glibc uses PTRACE_PEEKUSER, .\" and that is the name that seems common on other systems. Liest ein »word« bei Versatz \fIAdresse\fP im BENUTZERbereich des verfolgten Prozesses, der die Register und andere Informationen über den Prozess enthält (siehe \fI\fP). Das »word« wird als Ergebnis des \fBptrace\fP()\-Aufrufs zurückgegeben. Typischerweise muss der Versatz am »word« ausgerichtet sein, obwohl dies je nach Architektur variieren kann. Lesen Sie die ANMERKUNGEN. (\fIDaten\fP wird ignoriert, lesen Sie aber auch ANMERKUNGEN.) .TP \fBPTRACE_POKETEXT\fP .TQ \fBPTRACE_POKEDATA\fP kopiert das »word« \fIDaten\fP an die Stelle \fIAdresse\fP im Speicher des verfolgenden Prozesses. Wie bei \fBPTRACE_PEEKTEXT\fP und \fBPTRACE_PEEKDATA\fP sind die beiden Aktionen derzeit gleichwertig. .TP \fBPTRACE_POKEUSER\fP .\" PTRACE_POKEUSR in kernel source, but glibc uses PTRACE_POKEUSER, .\" and that is the name that seems common on other systems. .\" FIXME In the preceding sentence, which modifications are disallowed, .\" and when they are disallowed, how does user space discover that fact? kopiert das »word« \fIDaten\fP an den Versatz \fIAdresse\fP im BENUTZERbereich des verfolgten Prozesses. Wie für \fBPTRACE_PEEKUSER\fP muss der Versatz am »word« ausgerichtet sein. Um die Integrität des Kernels aufrecht zu erhalten, sind einige Änderungen in BENUTZERbereich nicht erlaubt. .TP \fBPTRACE_GETREGS\fP .TQ \fBPTRACE_GETFPREGS\fP kopiert die Mehrzweck\- beziehungsweise Fließpunktregister des verfolgten Prozesses an die Stelle \fIDaten\fP im Verfolger. Lesen Sie \fI\fP, um Informationen über das Format dieser Daten zu erhalten. (\fIAdresse\fP wird ignoriert.) Beachten Sie, dass auf SPARC\-Systemen die Bedeutung von \fIDaten\fP und \fIAdresse\fP umgekehrt ist; daher wird \fIDaten\fP ignoriert und die Register werden an die Adresse \fIAdresse\fP kopiert. \fBPTRACE_GETREGS\fP und \fBPTRACE_GETFPREGS\fP sind nicht auf allen Architekturen verfügbar. .TP \fBPTRACE_GETREGSET\fP (seit Linux 2.6.34) liest die Register des verfolgten Prozesses. \fIAdresse\fP gibt auf eine von der Architektur unabhängige Weise den Typ des Registers an, das gelesen werden soll. \fBNT_PRSTATUS\fP (mit numerischem Wert 1) führt normalerweise dazu, dass Allzweckregister gelesen werden. Falls die CPU zum Beispiel Fließkomma\- und/oder Vektorregister hat, können sie durch Setzen von \fIAdresse\fP auf die entsprechende Konstante \fBNT_foo\fP ermittelt werden. \fIDaten\fP zeigt auf einen \fBstruct iovec\fP, der den Speicherort und die Länge des Zielpuffers beschreibt. Bei der Rückkehr ändert der Kernel \fBiov.len\fP, um die tatsächliche Anzahl zurückgegebener Byte anzuzeigen. .TP \fBPTRACE_SETREGS\fP .TQ \fBPTRACE_SETFPREGS\fP .\" FIXME . In the preceding sentence, which modifications are disallowed, .\" and when they are disallowed, how does user space discover that fact? verändert die Mehrzweck\- beziehungsweise Fließpunktregister des verfolgten Prozesses von der Adresse \fIDaten\fP im Verfolger. Wie für \fBPTRACE_POKEUSER\fP können einige Änderungen am Mehrzweckregister verboten sein. (\fIAdresse\fP wird ignoriert.) Beachten Sie, dass auf SPARC\-Systemen die Bedeutung von \fIDaten\fP und \fIAdresse\fP umgekehrt ist; daher wird \fIDaten\fP ignoriert und die Register werden von der Adresse \fIAdresse\fP kopiert. \fBPTRACE_SETREGS\fP und \fBPTRACE_SETFPREGS\fP sind nicht auf allen Architekturen verfügbar. .TP \fBPTRACE_SETREGSET\fP (seit Linux 2.6.34) verändert die Register des verfolgten Prozesses. Die Bedeutung von \fIAdresse\fP und \fIDaten\fP ist analog zu \fBPTRACE_GETREGSET\fP. .TP \fBPTRACE_GETSIGINFO\fP (seit Linux 2.3.99\-pre6) ruft Informationen über das Signal ab, das den Stopp verursachte. Kopiert eine \fIsiginfo_t\fP\-Struktur (siehe \fBsigaction\fP(2)) vom verfolgten Prozess an die Stelle \fIDaten\fP im Verfolger. (\fIAdresse\fP wird ignoriert.) .TP \fBPTRACE_SETSIGINFO\fP (seit Linux 2.3.99\-pre6) setzt Signalinformationen: kopiert eine \fIsiginfo_t\fP\-Struktur von der Adresse \fIDaten\fP vom verfolgenden zum verfolgten Prozess. Dies wird nur Signale betreffen, die normalerweise an den verfolgten Prozess zugestellt würden und vom Verfolger abgefangen wurden. Es könnte schwierig werden, diese normalen Signale von künstlichen Signalen zu unterscheiden, die von \fBptrace\fP() selbst generiert wurden. (\fIAdresse\fP wird ignoriert.) .TP \fBPTRACE_PEEKSIGINFO\fP (seit Linux 3.10) .\" commit 84c751bd4aebbaae995fe32279d3dba48327bad4 fragt \fIsiginfo_t\fP\-Strukturen ab, ohne Signale aus einer Warteschlange zu entfernen. \fIAdresse\fP zeigt auf eine \fIptrace_peeksiginfo_args\fP\-Struktur, die die Ordnungsposition angibt, von der das Kopieren der Signale starten soll sowie die Anzahl zu kopierender Signale. \fIsiginfo_t\fP\-Strukturen werden in den Puffer kopiert, auf den \fIDaten\fP verweist. Der Rückgabewert enthält die Anzahl der kopierten Signale (null zeigt an, dass es an der angegebenen Ordnungsposition kein entsprechendes Signal gibt). Innerhalb der zurückgegebenen \fIsiginfo\fP\-Strukturen enthält das Feld \fIsi_code\fP Informationen (\fB__SI_CHLD\fP, \fB__SI_FAULT\fP, etc.), die ansonsten nicht an den Anwendungsraum offengelegt werden. .P .in +4n .EX struct ptrace_peeksiginfo_args { u64 off; /* Ordnungsposition in der Warteschlange, an der mit dem Kopieren der Signale begonnen wird */ u32 flags; /* PTRACE_PEEKSIGINFO_SHARED oder 0 */ s32 nr; /* Anzahl zu kopierender Signale */ }; .EE .in .IP Derzeit gibt es nur einen Schalter, \fBPTRACE_PEEKSIGINFO_SHARED\fP, um Signale aus der prozessweiten Signalwarteschlange auszugeben. Falls dieser Schalter nicht gesetzt ist, werden Signale von der Thread\-eigenen Warteschlange des angegebenen Threads gelesen. .in .TP \fBPTRACE_GETSIGMASK\fP (seit Linux 3.11) .\" commit 29000caecbe87b6b66f144f72111f0d02fbbf0c1 Platzieren Sie eine Kopie der Maske blockierter Signale (siehe \fBsigprocmask\fP(2)) in den Puffer, auf den \fIDaten\fP zeigt. Dies sollte ein Zeiger auf einen Puffer des Typs \fIsigset_t\fP sein. Das Argument \fIAdresse\fP enthält die Größe des Puffers, auf den \fIDaten\fP zeigt (d.h. \fIsizeof(sigset_t)\fP). .TP \fBPTRACE_SETSIGMASK\fP (seit Linux 3.11) ändert die Maske blockierter Signale (siehe \fBsigprocmask\fP(2)) auf den Wert, der im Puffer angegeben wird, auf den \fIDaten\fP zeigt. Dies sollte ein Zeiger auf einen Puffer des Typs \fIsigset_t\fP sein. Das Argument \fIAdresse\fP enthält die Größe des Puffers, auf den \fIDaten\fP zeigt (d.h. \fIsizeof(sigset_t)\fP). .TP \fBPTRACE_SETOPTIONS\fP (seit Linux 2.4.6; siehe FEHLER für Vorsichtsmaßnahmen) setzt Ptrace\-Optionen von \fIDaten\fP. (\fIAdresse\fP wird ignoriert.) \fIDaten\fP wird als Bit in der Maske der Optionen interpretiert, die durch die folgenden Schalter angegeben wird: .RS .TP \fBPTRACE_O_EXITKILL\fP (seit Linux 3.8) .\" commit 992fb6e170639b0849bace8e49bf31bd37c4123 schickt an den verfolgten Prozess ein \fBSIGKILL\fP\-Signal, falls der verfolgende Prozess beendet wird. Diese Option ist für diejenigen nützlich, die Ptrace einsperren und sicherstellen wollen, dass der verfolgte Prozess nie der Steuerung des verfolgenden Prozesses entkommt. .TP \fBPTRACE_O_TRACECLONE\fP (seit Linux 2.5.46) stoppt den verfolgten Prozess beim nächsten Aufruf von \fBclone\fP(2) und startet automatisch die Verfolgung des neu geklonten Prozesses, der mit einem \fBSIGSTOP\fP oder, falls \fBPTRACE_SEIZE\fP benutzt wurde, mit \fBPTRACE_EVENT_STOP\fP starten wird. Ein \fBwaitpid\fP(2) durch den Verfolger wird einen \fIStatus\fPwert wie diesen zurückgeben: .IP .nf status>>8 == (SIGTRAP | (PTRACE_EVENT_CLONE<<8)) .fi .IP Die PID des neuen Prozesses kann mit \fBPTRACE_GETEVENTMSG\fP abgefragt werden. .IP Diese Option kann nicht in allen Fällen \fBclone\fP(2)\-Aufrufe abfangen. Falls der verfolgte Prozess \fBclone\fP(2) mit dem Schalter \fBCLONE_VFORK\fP aufruft, wird stattdessen \fBPTRACE_EVENT_VFORK\fP geschickt, wenn \fBPTRACE_O_TRACEVFORK\fP gesetzt ist; andernfalls wird \fBPTRACE_EVENT_FORK\fP geschickt, wenn der verfolgte Prozess \fBclone\fP(2) mit dem auf \fBSIGCHLD\fP gesetzten Beendigungssignal aufgerufen wird, falls \fBPTRACE_O_TRACEFORK\fP gesetzt ist. .TP \fBPTRACE_O_TRACEEXEC\fP (seit Linux 2.5.46) stoppt den verfolgten Prozess beim nächsten \fBexecve\fP(2). Ein \fBwaitpid\fP(2) durch den Verfolger wird einen \fIStatus\fPwert wie diesen zurückgeben: .IP .nf status>>8 == (SIGTRAP | (PTRACE_EVENT_EXEC<<8)) .fi .IP Falls der ausführende Thread kein führender Thread der Gruppe ist, wird die Thread\-Kennung vor dem Stopp auf die Kennung des führenden Threads der Gruppe zurückgesetzt. Seit Linux 3.0 kann die vorherige Thread\-Kennung mit \fBPTRACE_GETEVENTMSG\fP abgefragt werden. .TP \fBPTRACE_O_TRACEEXIT\fP (seit Linux 2.5.60) stoppt den verfolgten Prozess beim Beenden. Ein \fBwaitpid\fP(2) durch den Verfolger wird einen \fIStatus\fPwert wie diesen zurückgeben: .IP .nf status>>8 == (SIGTRAP | (PTRACE_EVENT_EXIT<<8)) .fi .IP Der Exit\-Status des verfolgten Prozesses kann mit \fBPTRACE_GETEVENTMSG\fP abgefragt werden. .IP Der verfolgte Prozess wird frühzeitig während des Beendens gestoppt, wenn die Register noch verfügbar sind, was es dem Verfolger ermöglicht, zu sehen, wo das Beenden veranlasst wurde, wohingegen die normale Benachrichtigung über die Beendigung geschickt wird, wenn der Prozess das Beenden abgeschlossen hat. Auch wenn der Kontext verfügbar ist, kann der Verfolger das Beenden an diesem Punkt nicht mehr verhindern. .TP \fBPTRACE_O_TRACEFORK\fP (seit Linux 2.5.46) stoppt den verfolgten Prozess beim nächsten Aufruf von \fBfork\fP(2) und startet die Verfolgung des neuen Prozesszweiges, der mit einem \fBSIGSTOP\fP oder, falls \fBPTRACE_SEIZE\fP benutzt wurde, mit \fBPTRACE_EVENT_STOP\fP starten wird. Ein \fBwaitpid\fP(2) durch den Verfolger wird einen \fIStatus\fPwert wie diesen zurückgeben: .IP .nf status>>8 == (SIGTRAP | (PTRACE_EVENT_FORK<<8)) .fi .IP Die PID des neuen Prozesses kann mit \fBPTRACE_GETEVENTMSG\fP abgefragt werden. .TP \fBPTRACE_O_TRACESYSGOOD\fP (seit Linux 2.4.6) Wenn Systemaufrufe abgefangen werden, wird Bit 7 in der Signalnummer gesetzt (d.h. \fISIGTRAP | 0x80\fP geschickt). Dies erleichtert es dem Verfolger, den Unterschied zwischen normalen, abgefangenen Signalen und denen, die durch einen Systemaufruf verursacht wurden, mitzuteilen. .TP \fBPTRACE_O_TRACEVFORK\fP (seit Linux 2.5.46) stoppt den verfolgten Prozess beim nächsten Aufruf von \fBvfork\fP(2) und startet automatisch die Verfolgung des neuen »vfork«\-Prozesszweiges, der mit einem \fBSIGSTOP\fP oder, falls \fBPTRACE_SEIZE\fP benutzt wurde, mit \fBPTRACE_EVENT_STOP\fP starten wird. Ein \fBwaitpid\fP(2) durch den Verfolger wird einen \fIStatus\fPwert wie diesen zurückgeben: .IP .nf status>>8 == (SIGTRAP | (PTRACE_EVENT_VFORK<<8)) .fi .IP Die PID des neuen Prozesses kann mit \fBPTRACE_GETEVENTMSG\fP abgefragt werden. .TP \fBPTRACE_O_TRACEVFORKDONE\fP (seit Linux 2.5.60) stoppt den verfolgten Prozess bei Vollendung des nächsten \fBvfork\fP(2). Ein \fBwaitpid\fP(2) durch den Verfolger wird einen \fIStatus\fPwert wie diesen zurückgeben: .IP .nf status>>8 == (SIGTRAP | (PTRACE_EVENT_VFORK_DONE<<8)) .fi .IP Die PID des neuen Prozesses kann (seit Linux 2.6.18) abgefragt werden mit .TP \fBPTRACE_O_TRACESECCOMP\fP (seit Linux 3.5) stoppt den verfolgten Prozess, wenn eine \fBseccomp\fP(2) \fBSECCOMP_RET_TRACE\fP\-Regel ausgelöst wird. Ein \fBwaitpid\fP(2) durch den Verfolger wird einen \fIStatus\fPwert wie diesen zurückgeben: .IP .nf status>>8 == (SIGTRAP | (PTRACE_EVENT_SECCOMP<<8)) .fi .IP Während dies ein \fBPTRACE_EVENT\fP\-Stopp auslöst, ist es einem Systemaufrufeintrittsstopp ähnlich. Für Details lesen Sie die Bemerkungen über \fBPTRACE_EVENT_SECCOMP\fP weiter unten. Die Seccomp\-Ereignisnachrichtendaten (aus dem Abschnitt \fBSECCOMP_RET_DATA\fP der Seccomp\-Filterregel) können über \fBPTRACE_GETEVENTMSG\fP ermittelt werden. .TP \fBPTRACE_O_SUSPEND_SECCOMP\fP (seit Linux 4.3) .\" commit 13c4a90119d28cfcb6b5bdd820c233b86c2b0237 setzt den Seccomp\-Schutz des verfolgten Prozesses aus. Dies gilt unabhängig vom Modus und kann verwandt werden, wenn der verfolgte Prozess noch keine Seccomp\-Filter installiert hat. Das bedeutet, dass ein gültiger Anwendungsfall darin besteht, den Seccomp\-Schutz auszusetzen, bevor er von dem verfolgten Prozess installiert wird, dann den verfolgten Prozess die Filter installieren zu lassen und danach diesen Schalter wieder zurückzusetzen, wenn die Filter wiederaufgenommen werden sollen. Um diese Option zu setzen, muss der verfolgende Prozess über die Capability \fBCAP_SYS_ADMIN\fP verfügen, er darf selber keinen Seccomp\-Schutz installiert haben und darf nicht \fBPTRACE_O_SUSPEND_SECCOMP\fP auf sich selbst setzen. .RE .TP \fBPTRACE_GETEVENTMSG\fP (seit Linux 2.5.46) fragt eine Nachricht (als \fIunsigned long\fP) über das Ptrace\-Ereignis, das einfach so auftrat, ab und platziert es an die Adresse \fIDaten\fP im Verfolger. Für \fBPTRACE_EVENT_EXIT\fP ist dies der Exit\-Status des verfolgten Prozesses. Für \fBPTRACE_EVENT_FORK\fP, \fBPTRACE_EVENT_VFORK\fP und \fBPTRACE_EVENT_CLONE\fP ist dies die PID des neuen Prozesses. Für \fBPTRACE_EVENT_SECCOMP\fP ist das \fBSECCOMP_RET_DATA\fP von \fBseccomp\fP(2)s Filter, das der ausgelösten Regel zugeordnet ist. (\fIAdresse\fP wird ignoriert.) .TP \fBPTRACE_CONT\fP startet den gestoppten, verfolgten Prozess erneut. Falls \fIDaten\fP nicht null ist, wird es als Nummer des Signals interpretiert, das an den verfolgten Prozess geschickt wird; andernfalls wird kein Signal geschickt. Dadurch kann der Verfolger zum Beispiel steuern, ob ein Signal an den verfolgten Prozess geschickt wird oder nicht. (\fIAdresse\fP wird ignoriert.) .TP \fBPTRACE_SYSCALL\fP .TQ \fBPTRACE_SINGLESTEP\fP startet den gestoppten, verfolgten Prozess wie für \fBPTRACE_CONT\fP, arrangiert aber, dass der verfolgte Prozess beim nächsten Eintritt oder einem Systemaufruf beziehungsweise nach der Ausführung einer einzelnen Anweisung gestoppt wird. (Der verfolgte Prozess wird auch, wie üblich, über den Empfang des Signals gestoppt.) Aus der Sicht des Verfolgers scheint es, als ob der verfolgte Prozess durch Empfang eines \fBSIGTRAP\fP gestoppt wurde. Daher gibt es zum Beispiel für \fBPTRACE_SYSCALL\fP die Idee, beim ersten Stopp die Argumente des Systemaufrufs zu prüfen, dann einen anderen \fBPTRACE_SYSCALL\fP zu schicken und den Rückgabewert des Systemaufrufs am zweiten Stopp zu prüfen. Das Argument \fIDaten\fP wird wie für \fBPTRACE_CONT\fP behandelt. (\fIAdresse\fP wird ignoriert.) .TP \fBPTRACE_SET_SYSCALL\fP (seit Linux 2.6.16) .\" commit 3f471126ee53feb5e9b210ea2f525ed3bb9b7a7f .\" As of 4.19-rc2 .\" commit 27aa55c5e5123fa8b8ad0156559d34d7edff58ca .\" see change_syscall in tools/testing/selftests/seccomp/seccomp_bpf.c .\" and also strace's linux/*/set_scno.c files. Wenn im Systemaufrufeintrittsstopp, wird die Nummer des auszuführenden Systemaufrufs auf die im Argument \fIdata\fP angegebene Nummer geändert. Das Argument \fIaddr\fP wird ignoriert. Diese Aktion wird derzeit nur auf Arm (und Arm64, allerdings nur für die Rückwärtskompatibilität) unterstützt, aber die meisten anderen Architekturen haben andere Mittel, um dies zu erreichen (normalerweise durch Änderung des Registers, in dem der Code aus der Anwendungsebene die Nummer des Systemaufrufs übergab). .TP \fBPTRACE_SYSEMU\fP .TQ \fBPTRACE_SYSEMU_SINGLESTEP\fP (seit Linux 2.6.14) .\" As at 3.7 für \fBPTRACE_SYSEMU\fP beim nächsten Eintritt für den Systemaufruf, der nicht ausgeführt wird, fortfahren und stoppen. Siehe die Dokumentation zu Systemaufrufstopps weiter unten. Für \fBPTRACE_SYSEMU_SINGLESTEP\fP das gleiche tun, aber in einem einzigen Schritt, wenn es sich nicht um einen Systemaufruf handelt. Dieser Aufruf wird von Programmen wie »User Mode Linux« verwandt, die die Systemaufrufe des verfolgten Prozesses emulieren wollen. Das Argument \fIDaten\fP wird wie für \fBPTRACE_CONT\fP behandelt. Das Argument \fIAdresse\fP wird ignoriert. Diese Aktionen werden derzeit nur unter x86 unterstützt. .TP \fBPTRACE_LISTEN\fP (seit Linux 3.4) startet den gestoppten verfolgten Prozess erneut, verhindert jedoch seine Ausführung. Der resultierende Status ist dem eines Prozesses ähnlich, der durch ein \fBSIGSTOP\fP (oder ein anderes Stoppsignal) angehalten wurde. Zusätzliche Informationen finden Sie im Unterabschnitt »Gruppenstopp«. \fBPTRACE_LISTEN\fP funktioniert nur bei verfolgten Prozessen, die durch \fBPTRACE_SEIZE\fP angehängt wurden. .TP \fBPTRACE_KILL\fP sendet dem verfolgten Prozess ein \fBSIGKILL\fP, um ihn zu beenden. (\fIAdresse\fP und \fIDaten\fP werden ignoriert.) .IP .\" [Note from Denys Vlasenko: .\" deprecation suggested by Oleg Nesterov. He prefers to deprecate it .\" instead of describing (and needing to support) PTRACE_KILL's quirks.] \fIDiese Aktion ist überholt; benutzen Sie sie nicht!\fP Senden Sie stattdessen ein \fBSIGKILL\fP direkt mittels \fBkill\fP(2) oder \fBtgkill\fP(2). Das Problem bei \fBPTRACE_KILL\fP ist, dass es verlangt, dass sich der verfolgte Prozess in einem Signallieferstopp befindet, andernfalls funktioniert es möglicherweise nicht (d.h. es könnte komplett erfolgreich sein, würde aber den verfolgten Prozess killen). Im Gegensatz dazu hat das direkte Senden von einem \fBSIGKILL\fP keine derartige Beschränkung. .TP \fBPTRACE_INTERRUPT\fP (seit Linux 3.4) stoppt einen verfolgten Prozess. Falls der verfolgte Prozess im Kernel\-Space läuft oder schläft und \fBPTRACE_SYSCALL\fP in Kraft ist, wird der Systemaufruf unterbrochen und Systemaufrufbeendigungsstopp gemeldet. (Der unterbrochene Systemaufruf wird beim Neustart des verfolgten Prozesses ebenfalls neu gestartet.) Falls der verfolgte Prozess bereits durch ein Signal gestoppt und \fBPTRACE_LISTEN\fP an ihn gesendet wurde, stoppt der verfolgte Prozess mit \fBPTRACE_EVENT_STOP\fP und \fIWSTOPSIG(Status)\fP gibt das Stoppsignal zurück. Falls zur selben Zeit irgendein anderes »ptrace\-stop« erzeugt wird (zum Beispiel, weil ein Signal an den verfolgten Prozess gesendet wird), tritt dieses »ptrace\-stop« auf. Falls nichts von obigem zutrifft (zum Beispiel, weil der verfolgte Prozess im Anwendungsraum läuft), stoppt er mit \fBPTRACE_EVENT_STOP\fP mit \fIWSTOPSIG(status)\fP == \fBSIGTRAP\fP. \fBPTRACE_INTERRUPT\fP funktioniert nur bei verfolgten Prozessen, die durch \fBPTRACE_SEIZE\fP angehängt wurden. .TP \fBPTRACE_ATTACH\fP .\" No longer true (removed by Denys Vlasenko, 2011, who remarks: .\" "I think it isn't true in non-ancient 2.4 and in Linux 2.6/3.x. .\" Basically, it's not true for any Linux in practical use. .\" ; the behavior of the tracee is as if it had done a .\" .BR PTRACE_TRACEME . .\" The calling process actually becomes the parent of the tracee .\" process for most purposes (e.g., it will receive .\" notification of tracee events and appears in .\" .BR ps (1) .\" output as the tracee's parent), but a .\" .BR getppid (2) .\" by the tracee will still return the PID of the original parent. hängt an den Prozess, der durch \fIPID\fP angegeben wird, an und lässt ihn zum verfolgten Prozess des aufrufenden Prozesses werden. Dem verfolgten Prozess wird ein \fBSIGSTOP\fP gesandt, er wird aber nicht notwendigerweise durch die Vollendung dieses Aufrufs gestoppt; benutzen Sie \fBwaitpid\fP(2), um auf das Stoppen des verfolgten Prozesses zu warten. Lesen Sie den Unterabschnitt »Anhängen und Loslösen«, um zusätzliche Informationen zu erhalten. (\fIAdresse\fP und \fIDaten\fP werden ignoriert.) .IP Berechtigungen, ein \fBPTRACE_ATTACH\fP durchzuführen, werden durch eine Ptrace\-Zugriffsmodus\-\fBPTRACE_MODE_ATTACH_REALCREDS\fP\-Überprüfung geregelt; siehe unten. .TP \fBPTRACE_SEIZE\fP (seit Linux 3.4) .\" .\" Noted by Dmitry Levin: .\" .\" PTRACE_SEIZE was introduced by commit v3.1-rc1~308^2~28, but .\" it had to be used along with a temporary flag PTRACE_SEIZE_DEVEL, .\" which was removed later by commit v3.4-rc1~109^2~20. .\" .\" That is, [before] v3.4 we had a test mode of PTRACE_SEIZE API, .\" which was not compatible with the current PTRACE_SEIZE API introduced .\" in Linux 3.4. .\" hängt an den zu dem in \fIPID\fP angegebenen Prozess an, wodurch er ein verfolgter Prozess des aufrufenden Prozesses wird. Anders als \fBPTRACE_ATTACH\fP beendet \fBPTRACE_SEIZE\fP den Prozess nicht. Gruppenstopps werden als \fBPTRACE_EVENT_STOP\fP berichtet und \fIWSTOPSIG(status)\fP liefert das Stopp\-Signal zurück. Automatisch angehängte Kinder stoppen mit \fBPTRACE_EVENT_STOP\fP und \fIWSTOPSIG(status)\fP liefert \fBSIGTRAP\fP zurück, statt ein \fBSIGSTOP\fP Signal geliefert zu bekommen. \fBexecve\fP(2) liefert kein zusätzliches \fBSIGTRAP\fP aus. Nur ein Prozess, der \fBPTRACE_SEIZE\fP ist, kann die Befehle \fBPTRACE_INTERRUPT\fP und \fBPTRACE_LISTEN\fP akzeptieren. Das gerade beschriebene »beschlagnahmte« (engl. »seized«) Verhalten wird von Kindern geerbt, die automatisch mittels \fBPTRACE_O_TRACEFORK\fP, \fBPTRACE_O_TRACEVFORK\fP und \fBPTRACE_O_TRACECLONE\fP angehängt sind. \fIAdresse\fP muss Null sein. \fIDaten\fP enthält eine Bitmaske, die die sofort zu aktivierenden Optionen enthält. .IP .\" Berechtigungen, ein \fBPTRACE_SEIZE\fP durchzuführen, werden durch eine Ptrace\-Zugriffsmodus\-\fBPTRACE_MODE_ATTACH_REALCREDS\fP\-Überprüfung geregelt; siehe unten. .TP \fBPTRACE_SECCOMP_GET_FILTER\fP (seit Linux 4.4) .\" commit f8e529ed941ba2bbcbf310b575d968159ce7e895 Diese Aktion erlaubt es dem verfolgenden Prozess, die klassischen BPF\-Filter des verfolgten Prozesses auszugeben. .IP \fIAdresse\fP ist eine Ganzzahl, die den Index des Filters, der ausgegeben werden soll, angibt. Der neuste installierte Filter hat den Index 0. Falls \fIAdresse\fP größer als die Anzahl der installierten Filter ist, schlägt die Aktion mit dem Fehler \fBENOENT\fP fehl. .IP \fIDaten\fP ist entweder ein Zeiger auf ein Feld \fIstruct sock_filter\fP, das groß genug ist, ein BPF\-Programm zu speichern, oder NULL, falls das Programm nicht gespeichert werden soll. .IP Im Erfolgsfall ist der Rückgabewert die Anzahl der Befehle in dem BPF\-Programm. Falls \fIDaten\fP NULL war, dann kann dieser Rückgabewert benutzt werden, um in einem folgenden Aufruf die korrekte Größe des Feldes \fIstruct sock_filter\fP zu übergeben. .IP Diese Aktion schlägt mit dem Fehler \fBEACCES\fP fehl, falls der Aufrufende nicht die Capability \fBCAP_SYS_ADMIN\fP hat oder falls der Aufrufende in einem strikten oder Filter\-Seccomp\-Modus ist. Falls der durch \fIAdresse\fP referenzierte Filter kein klassischer BPF\-Filter ist, schlägt die Aktion mit dem Fehler \fBEMEDIUMTYPE\fP fehl. .IP Diese Aktion ist verfügbar, falls der Kernel mit den Optionen \fBCONFIG_SECCOMP_FILTER\fP und \fBCONFIG_CHECKPOINT_RESTORE\fP konfiguriert wurde. .TP \fBPTRACE_DETACH\fP .\" startet den gestoppten, verfolgten Prozess wie für \fBPTRACE_CONT\fP, löst ihn aber zuerst vom Prozess ab. Unter Linux kann ein verfolgter Prozess auf diese Art abgelöst werden, ohne Rücksicht darauf zu nehmen, welche Methode zum Starten der Verfolgung benutzt wurde. (\fIAdresse\fP wird ignoriert.) .TP \fBPTRACE_GET_THREAD_AREA\fP (seit Linux 2.6.0) Diese Aktion führt eine ähnliche Aufgabe wie \fBget_thread_area\fP(2) durch. Sie liest den TLS\-Eintrag in dem GDT, dessen Index in \fIaddr\fP gegeben ist und legt eine Kopie des Eintrags in das durch \fIDaten\fP verwiesende \fIstruct user_desc\fP. (Im Gegensatz wird mit \fBget_thread_area\fP(2) die \fIentry_number\fP des \fIstruct user_desc\fP ignoriert.) .TP \fBPTRACE_SET_THREAD_AREA\fP (seit Linux 2.6.0) Diese Aktion führt eine ähnliche Aufgabe wie \fBset_thread_area\fP(2) durch. Sie setzt den TLS\-Eintrag in dem GDT, dessen Index in \fIAdresse\fP gegeben ist, und weist ihm die in dem durch \fIDaten\fP verwiesenen \fIstruct user_desc\fP zu. (Im Gegensatz zu \fBset_thread_area\fP(2) wird die \fIentry_number\fP des \fIstruct user_desc\fP ignoriert; mit anderen Worten, diese Ptrace\-Aktion kann nicht zur Bereitstellung eines freien TLS\-Eintrags verwandt werden.) .TP \fBPTRACE_GET_SYSCALL_INFO\fP (seit Linux 5.3) .\" commit 201766a20e30f982ccfe36bebfad9602c3ff574a Ermittelt Informationen über den Systemaufruf, der den Stopp ausgelöst hat. Die Information wird in den Puffer gelegt, auf den das Argument \fIdata\fP zeigt, das ein Zeiger auf einen Puffer vom Typ \fIstruct ptrace_syscall_info\fP sein sollte. Das Argument \fIaddr\fP enthält die Größe des Puffers, auf den das Argument \fIdata\fP zeigt (d.h. \fIsizeof(struct ptrace_syscall_info)\fP). Der Rückgabewert enthält die Anzahl von Bytes, die zum Schreiben durch den Kernel verfügbar sind. Falls die Größe der durch den Kernel zu schreibenden Bytes die durch das Argument \fIaddr\fP angegebene Größe überschreiten sollte, wird die Ausgabe abgeschnitten. .IP Die Struktur \fIptrace_syscall_info\fP enthält die folgenden Felder: .IP .in +4n .EX struct ptrace_syscall_info { __u8 op; /* Typ des Systemaufruf\-Stopps */ __u32 arch; /* AUDIT_ARCH_*\-Wert; siehe seccomp(2) */ __u64 instruction_pointer; /* CPU\-Anweisungszeiger */ __u64 stack_pointer; /* CPU\-Stack\-Zeiger */ union { struct { /* op == PTRACE_SYSCALL_INFO_ENTRY */ __u64 nr; /* Systemaufrufnummer */ __u64 args[6]; /* Systemaufrufargumente */ } entry; struct { /* op == PTRACE_SYSCALL_INFO_EXIT */ __s64 rval; /* Systemaufruf\-Rückgabewert */ __u8 is_error; /* Systemaufruf\-Fehlerschalter; logisch: enthält rval einen Fehlerwert (\-ERRCODE) oder einen nichtfehler\-Rückgabewert? */ } exit; struct { /* op == PTRACE_SYSCALL_INFO_SECCOMP */ __u64 nr; /* Systemaufrufnummer */ __u64 args[6]; /* Systemaufrufargumente */ __u32 ret_data; /* SECCOMP_RET_DATA\-Anteil vom SECCOMP_RET_TRACE\- Rückgabewert */ } seccomp; }; }; .EE .in .IP Die Felder \fIop\fP, \fIarch\fP, \fIinstruction_pointer\fP und \fIstack_pointer\fP sind für alle Arten von Ptrace\-Systemaufrufstopps definiert. Der Rest der Struktur ist eine Union; Sie sollten nur solche Felder lesen, die für Ihre Art von Systemaufrufstopp durch das Feld \fIop\fP definiert sind. .IP Das Feld \fIop\fP enthält einen der folgenden Werte (definiert in \fI\fP), der anzeigt, welcher Stopp\-Typ aufgetreten und welcher Teil der Union gefüllt ist: .RS .TP \fBPTRACE_SYSCALL_INFO_ENTRY\fP Die Komponente \fIentry\fP der Union enthält Informationen mit Bezug zu einem Systemaufruf\-Eintrags\-Stopp. .TP \fBPTRACE_SYSCALL_INFO_EXIT\fP Die Komponente \fIexit\fP der Union enthält Informationen mit Bezug zu einem Systemaufruf\-Exit\-Stopp. .TP \fBPTRACE_SYSCALL_INFO_SECCOMP\fP Die Komponente \fIseccomp\fP der Union enthält Informationen mit Bezug zu einem \fBPTRACE_EVENT_SECCOMP\fP\-Stopp .TP \fBPTRACE_SYSCALL_INFO_NONE\fP Keine Komponente der Union enthält relevante Informationen. .RE .IP .\" Falls der Systemaufrufeintritt oder \-ausstieg beendet wird, werden die von \fBPTRACE_GET_SYSCALL_INFO\fP zurückgelieferten Daten auf den Typ \fBPTRACE_SYSCALL_INFO_NONE\fP eingeschränkt, außer die Option \fBPTRACE_O_TRACESYSGOOD\fP wurde gesetzt, bevor die Beendigung des Systemaufrufs aufgetreten ist. .SS "Tod unter Ptrace" Wenn ein Prozess (der möglicherweise aus mehreren Threads besteht) ein tötendes Signal erhält (eines, dessen Zuordnung auf \fBSIG_DFL\fP gesetzt ist und dessen Standardaktion das Töten des Prozesses ist) werden alle Threads beendet. Verfolgte Prozesse melden ihren Tod an ihre(n) Verfolger. Die Benachrichtigung über dieses Ereignis wird über \fBwaitpid\fP(2) zugestellt. .P Beachten Sie, dass das killende Signal zuerst einen Signallieferstopp (auf nur einen verfolgten Prozess) verursachen wird und nur nachdem es durch den Verfolger eingespeist wurde (oder nachdem es an einen nicht verfolgten Thread versandt wurde), wird der Tod von dem Signal auf \fIalle\fP verfolgten Prozesse innerhalb eines Prozesses mit mehreren Threads ausgehen. (Der Begriff »Signallieferstopp« wird nachfolgend erklärt.) .P \fBSIGKILL\fP erzeugt keinen »Signallieferstopp«. Daher kann der Verfolger es nicht unterdrücken. \fBSIGKILL\fP killt sogar innerhalb von Systemaufrufen (der Systemaufrufbeendigungsstopp wird nicht vorrangig vor dem Tod durch \fBSIGKILL\fP erzeugt). Der reine Effekt besteht darin, dass \fBSIGKILL\fP den Prozess (all seine Threads) immer killt, sogar dann, wenn einige Threads des Prozesses verfolgt werden. .P Wenn der verfolgte Prozess \fB_exit\fP(2) aufruft, meldet er seinem Verfolger seinen Tod. Andere Threads werden nicht beeinflusst. .P Wenn irgendein Thread \fBexit_group\fP(2) ausführt, meldet jeder verfolgte Prozess in dessen Gruppe seinen Tod an den Verfolger. .P Falls die Option \fBPTRACE_O_TRACEEXIT\fP aktiv ist, wird \fBPTRACE_EVENT_EXIT\fP vor dem tatsächlichen Tod auftreten. Dies wird angewandt, um mittels \fBexit\fP(2), \fBexit_group\fP(2) und Todessignalen (ausgenommen \fBSIGKILL\fP, abhängig von der Kernel\-Version, siehe FEHLER unten) zu beenden und wenn Threads bei \fBexecve\fP(2) in einem Prozess mit mehreren Threads zerrissen werden. .P Der Verfolger kann nicht abschätzen, ob der von Ptrace gestoppte Prozess existiert. Es gibt mehrere Szenarien, in denen der verfolgte Prozess sterben kann, während er gestoppt ist (wie \fBSIGKILL\fP). Daher muss der Verfolger vorbereitet werden, bei allen Ptrace\-Aktionen einen \fBESRCH\fP\-Fehler zu handhaben. Leider wird der gleiche Fehler zurückgegeben, falls der verfolgte Prozess existiert, aber nicht von Ptrace gestoppt wurde (für Befehle, die einen gestoppten, verfolgten Prozess erfordern) oder falls er nicht durch den Prozess verfolgt wird, der den Ptrace\-Aufruf abschickte. Der Verfolger muss den Überblick über den »laufend«\-/»gestoppt«\-Status des verfolgten Prozesses behalten und \fBESRCH\fP nur dann als »verfolgter Prozess starb unerwartet« interpretieren, falls er weiß, dass der verfolgte Prozess beobachtet wurde, um in einen Ptrace\-Stopp einzutreten. Beachten Sie, dass es keine Garantie gibt, dass \fIwaitpid(WNOHANG)\fP zuverlässig den Todesstatus des verfolgten Prozesses meldet, falls eine Ptrace\-Aktion \fBESRCH\fP zurückgibt. \fIwaitpid(WNOHANG)\fP könnte stattdessen 0 zurückgeben. In anderen Worten kann es sein, dass der verfolgte Prozess »noch nicht vollständig tot« ist, aber bereits Ptrace\-Aktionen ablehnt. .P Der Verfolger kann nicht abschätzen, ob der verfolgte Prozess \fIimmer\fP sein Leben durch Melden von \fIWIFEXITED(status)\fP oder \fIWIFSIGNALED(status)\fP aushaucht. Es gibt Fälle, in denen dies nicht geschieht. Falls ein Thread, der nicht führender Thread der Thread\-Gruppe ist, zum Beispiel ein \fBexecve\fP(2) ausführt, verschwindet er; seine PID wird nie wieder gesehen und alle nachfolgenden Ptrace\-Stopps werden unter der PID des führenden Threads der Thread\-Gruppe gemeldet. .SS Gestoppt\-Status Ein verfolgter Prozess kann zwei Status haben: laufend oder gestoppt. Für die Zwecke von Ptrace wird ein durch einen Systemaufruf (wie \fBread\fP(2), \fBpause\fP(2), etc.) blockierter verfolgter Prozess dennoch als laufend betrachtet, sogar, wenn der verfolgte Prozess für lange Zeit blockiert ist. Der Status des verfolgten Prozesses nach \fBPTRACE_LISTEN\fP ist eine Grauzone: Er ist nicht in einem Ptrace\-Stopp (Ptrace\-Befehle funktionieren nicht bei ihm und er wird \fBwaitpid\fP(2)\-Benachrichtigungen übermitteln), aber er kann auch als »gestoppt« angesehen werden, da er keine Anweisungen ausführt (ist nicht eingeplant) und falls er vor \fBPTRACE_LISTEN\fP in einem Gruppenstopp war, wird er nicht auf Signale antworten, bis er \fBSIGCONT\fP empfängt. .P Es gibt viele Arten von Status, wenn ein verfolgter Prozess gestoppt wurde und in Ptrace\-Diskussionen werden sie oft durcheinandergebracht. Daher ist es wichtig, präzise Begriffe zu verwenden. .P In dieser Handbuchseite wird jeder Gestoppt\-Status, in dem der verfolgte Prozess bereit ist, Ptrace\-Befehle vom Verfolger zu akzeptieren, \fIPtrace\-Stopp\fP genannt. Ptrace\-Stopps können weiter in \fISignallieferstopp\fP, \fIGruppenstopp\fP, \fIPTRACE_EVENT stops\fP und so fort unterteilt werden. Diese gestoppten Status werden nachfolgend im Detail beschrieben. .P Wenn der laufende, verfolgte Prozess in Ptrace\-Stopp eintritt, benachrichtigt er seinen Verfolger mittels \fBwaitpid\fP(2) (oder einem anderen der »wait«\-Systemaufrufe). Meistens geht diese Handbuchseite davon aus, dass der Verfolger wartet mit: .P .in +4n .EX PID = waitpid(PID_ODER_Minus1, &status, __WALL); .EE .in .P .\" Denys Vlasenko: .\" Do we require __WALL usage, or will just using 0 be ok? (With 0, .\" I am not 100% sure there aren't ugly corner cases.) Are the .\" rules different if user wants to use waitid? Will waitid require .\" WEXITED? .\" Mit Ptrace\-Stopp angehaltene, verfolgte Prozesse werden als Rückgaben mit \fIPID\fP größer als 0 und »\fIWIFSTOPPED(status)\fP true« gemeldet. .P Der Schalter \fB__WALL\fP enthält nicht die Schalter \fBWSTOPPED\fP und \fBWEXITED\fP, impliziert aber ihre Funktionalität. .P Es wird nicht empfohlen, den Schalter \fBWCONTINUED\fP zu setzen, wenn \fBwaitpid\fP(2) aufgerufen wird: Der Status »continued« gilt pro Prozess und ihn zu verbrauchen, kann den echten Elternprozess des verfolgten Prozesses verwirren. .P Die Benutzung des Schalters \fBWNOHANG\fP könnte \fBwaitpid\fP(2) veranlassen, 0 zurückzugeben (»noch keine Warteergebnisse verfügbar«), sogar dann, wenn der Verfolger weiß, dass dort eine Benachrichtigung sein soll. Beispiel: .P .in +4n .EX errno = 0; ptrace(PTRACE_CONT, pid, 0L, 0L); if (errno == ESRCH) { /* verfolgter Prozess ist tot */ r = waitpid(tracee, &status, __WALL | WNOHANG); /* r kann hier immer noch 0 sein! */ } .EE .in .\" FIXME . .\" waitid usage? WNOWAIT? .\" describe how wait notifications queue (or not queue) .P Die folgenden Arten von Ptrace\-Stopps existieren: Signallieferstopps, Gruppenstopps, \fBPTRACE_EVENT\fP\-Stopps und Systemaufrufstopps. Sie alle werden von \fBwaitpid\fP(2) mit »\fIWIFSTOPPED(status)\fP true« gemeldet. Sie könnten durch Untersuchen des Wertes \fIstatus>>8\fP unterschieden werden und, falls es eine Unklarheit im Wert gibt, durch Abfragen von \fBPTRACE_GETSIGINFO\fP. (Hinweis: Das Makro \fIWSTOPSIG(status)\fP kann nicht für diese Untersuchung verwandt werden, da es den Wert \fI(status>>8)\ &\ 0xff\fP zurückgibt.) .SS Signallieferstopp Wenn ein Prozess (möglicherweise mit mehreren Threads) ein Signal außer \fBSIGKILL\fP empfängt, wählt der Kernel einen beliebigen Thread aus, der das Signal handhabt. (Falls das Signal mit \fBtgkill\fP(2) erzeugt wurde, kann der Ziel\-Thread explizit durch den Aufrufenden ausgewählt werden.) Falls der ausgewählte Thread verfolgt wird, tritt er in einen Signallieferstopp ein. An diesem Punkt wird das Signal noch nicht an den Prozess zugestellt und kann durch den Verfolger unterdrückt werden. Falls der Verfolger das Signal nicht unterdrückt, übergibt er das Signal bei der nächsten Ptrace\-Neustartaktion an den verfolgten Prozess. Dieser zweite Schritt der Signalzustellung wird in dieser Handbuchseite \fISignaleinspeisung\fP genannt. Beachten Sie, dass, falls das Signal blockiert ist, der Signallieferstopp nicht auftritt, bis die Blockade des Signals aufgehoben wurde, mit der üblichen Ausnahme, dass \fBSIGSTOP\fP nicht blockiert werden kann. .P Der Signallieferstopp wird vom Verfolger als \fBwaitpid\fP(2) beobachtet und kehrt mit »\fIWIFSTOPPED(status)\fP true« mit dem Signal zurück, das von \fIWSTOPSIG(status)\fP zurückgegeben wurde. Falls das Signal \fBSIGTRAP\fP ist, könnte dies eine andere Art eines Ptrace\-Stopps sein; Einzelheiten finden Sie in den Abschnitten »Systemaufrufstopps« und »execve« unterhalb. Falls \fIWSTOPSIG(status)\fP ein stoppendes Signal zurückgibt, könnte dies ein Gruppenstopp sein; siehe unten. .SS "Signaleinspeisung und \-unterdrückung" Nachdem der Signallieferstopp durch den Verfolger beobachtet wurde, sollte der Verfolger den verfolgten Prozess mit dem Aufruf .P .in +4n .EX ptrace(PTRACE_restart, PID, 0, Signal) .EE .in .P neu starten, wobei \fBPTRACE_restart\fP einer der neu startenden Ptrace\-Aktion ist. Falls \fISignal\fP 0 ist, wird das Signal nicht zugestellt. Andernfalls wird das Signal \fISignal\fP zugestellt. Diese Aktion wird in dieser Handbuchseite \fISignaleinspeisung\fP genannt, um sie vom Signallieferstopp zu unterscheiden. .P Der \fISignal\fPwert kann sich vom Wert \fIWSTOPSIG(status)\fP unterschieden: Der Verfolger kann veranlassen, dass ein anderes Signal eingespeist wird. .P Beachten Sie, dass ein unterdrücktes Signal immer noch Systemaufrufe verursacht, um vorzeitig zurückzukehren. In diesem Fall werden Systemaufrufe neu gestartet: Der Verfolger wird den verfolgten Prozess beobachten, um den unterbrochenen Systemaufruf neu auszuführen (oder den Systemaufruf \fBrestart_syscall\fP(2) für wenige Systemaufrufe, die unterschiedliche Mechanismen zum erneuten Starten verwenden), falls der Verfolger \fBPTRACE_SYSCALL\fP benutzt. Sogar Systemaufrufe (wie \fBpoll\fP(2)), die nach einem Signal nicht mehr neu startbar sind, werden nach dem Unterdrücken des Signals neu gestartet werden. Es existieren jedoch einige Kernelfehler, die zum Fehlschlagen einiger Systemaufrufe mit \fBEINTR\fP führen, sogar, wenn kein beobachtbares Signal in den verfolgten Prozess eingespeist wurde. .P Es wird nicht garantiert, dass beim Neustarten von Ptrace\-Befehlen, die in anderen Ptrace\-Stopps als Signallieferstopps angestoßen wurden,ein Signal eingespeist wird, nicht einmal, wenn \fISignal\fP nicht Null ist. Es wird kein Fehler gemeldet; ein \fISignal\fP ungleich Null könnte einfach ignoriert werden. Ptrace\-Benutzer sollten nicht versuchen, auf diese Art »ein neues Signal zu erzeugen«: Benutzen Sie stattdessen \fBtgkill\fP(2). .P Die Tatsache, dass Signaleinspeisungsaktionen beim erneuten Starten des verfolgten Prozesses nach Ptrace\-Stopps, die keine Signallieferstopps sind, ignoriert werden können, ist ein Grund für Verwirrung bei Ptrace\-Benutzern. Ein typisches Szenario ist, dass der Verfolger Gruppenstopps beobachtet, sie fälschlicherweise für Signallieferstopps hält und den verfolgen Prozess mit .P .in +4n .EX ptrace(PTRACE_restart, PID, 0, Stoppsignal) .EE .in .P neu startet mit der Absicht \fIStoppsignal\fP einzuspeisen, \fIStoppsignal\fP aber ignoriert wird und der verfolgte Prozess weiter läuft. .P Das Signal \fBSIGCONT\fP hat einen Seiteneffekt, dass es einen Prozess im Gruppenstopp (alle Threads davon) aufweckt. Dieser Seiteneffekt tritt vor dem Signallieferstopp auf. Der Verfolger kann diesen Seiteneffekt nicht unterdrücken (er kann nur Signaleinspeisung unterdrücken, was nur dazu führt, dass die \fBSIGCONT\fP\-Handhabung nicht im verfolgten Prozess ausgeführt wird, falls eine solche Handhabung installiert ist). Tatsächlich könnte dem Aufwecken aus den Gruppenstopp ein Signallieferstopp für \fIandere\fP Signale als \fBSIGCONT\fP folgen, falls sie ausstehen, wenn \fBSIGCONT\fP gesandt wurde. In anderen Worten könnte es sein, dass \fBSIGCONT\fP nicht das erste durch den Verfolger beobachtete Signal ist, nachdem es gesandt wurde. .P Stoppen von Signalen führt dazu, das ein Prozess (alle Threads davon) in einen Gruppenstopp eintritt. Dieser Seiteneffekt tritt nach der Signaleinspeisung auf und kann daher durch den Verfolger unterdrückt werden. .P .\" In the Linux 2.4 sources, in arch/i386/kernel/signal.c::do_signal(), .\" there is: .\" .\" /* The debugger continued. Ignore SIGSTOP. */ .\" if (signr == SIGSTOP) .\" continue; In Linux 2.4 und älter kann das Signal \fBSIGSTOP\fP nicht eingespeist werden. .P \fBPTRACE_GETSIGINFO\fP kann benutzt werden, um eine \fIsiginfo_t\fP\-Struktur zu erhalten, die dem gesandten Signal entspricht. \fBPTRACE_SETSIGINFO\fP kann benutzt werden, um es zu verändern. Falls \fBPTRACE_SETSIGINFO\fP benutzt wurde, um \fIsiginfo_t\fP zu verändern, müssen das Feld \fIsi_signo\fP und der Parameter \fISignal\fP im Befehl zum Neustart übereinstimmen, andernfalls ist das Ergebnis undefiniert. .SS Gruppenstopp Wenn ein Prozess (der möglicherweise aus mehreren Threads besteht) ein Stoppsignal empfängt, werden alle Threads gestoppt. Falls einige Threads verfolgt werden, treten sie in eine Thread\-Gruppe ein. Beachten Sie, dass das Stoppsignal zuerst einen Signallieferstopp verursachen wird (nur auf den verfolgten Prozess) und nur, nachdem es durch den Verfolger eingespeist wurde (oder nachdem es an einen Thread geschickt wurde, der nicht verfolgt wird), wird der Gruppenstopp auf \fIalle\fP verfolgten Prozesse innerhalb eines Prozesses aus mehreren Threads eingeleitet. Wie üblich meldet jeder verfolgte Prozess seinen Gruppenstopp separat an den entsprechenden Verfolger. .P Der Gruppenstopp wird vom Verfolger als \fBwaitpid\fP(2) beobachtet und kehrt mit »\fIWIFSTOPPED(status)\fP true« mit dem Stoppsignal zurück, das über \fIWSTOPSIG(status)\fP verfügbar ist. Dasselbe Ergebnis wird von einigen anderen Klassen von Ptrace\-Stopps zurückgegeben, daher ist die empfohlene Vorgehensweise, folgenden Aufruf zu tätigen: .P .in +4n .EX ptrace(PTRACE_GETSIGINFO, PID, 0, &siginfo) .EE .in .P Der Aufruf kann vermieden werden, falls das Signal nicht \fBSIGSTOP\fP, \fBSIGTSTP\fP, \fBSIGTTIN\fP oder \fBSIGTTOU\fP ist. Nur diese vier Signale sind Stoppsignale. Falls der Verfolger etwas anderes sieht, kann es kein Gruppenstopp sein. Andernfalls benötigt der Verfolger den Aufruf \fBPTRACE_GETSIGINFO\fP. Falls \fBPTRACE_GETSIGINFO\fP mit \fBEINVAL\fP fehlschlägt, ist es definitiv ein Gruppenstopp. (Andere Fehlerkodes wie \fBESRCH\fP (»kein derartiger Prozess«) sind möglich, falls ein \fBSIGKILL\fP den verfolgten Prozess gekillt hat. .P Falls ein verfolgter Prozess mittels \fBPTRACE_SEIZE\fP angehängt wurde, wird ein Gruppenstopp durch \fBPTRACE_EVENT_STOP\fP angezeigt: \fIStatus>>16 == PTRACE_EVENT_STOP\fP. Dies ermöglicht, einen Gruppenstopp festzustellen, ohne dass ein zusätzlicher \fBPTRACE_GETSIGINFO\fP\-Aufruf erforderlich ist. .P Ab Linux 2.6.38 wird der verfolgte Prozess, nachdem der Verfolger den Ptrace\-Stopp des verfolgten Prozesses sieht und bis er neu startet oder ihn killt, nicht laufen und keine Benachrichtigungen an den Verfolger senden (außer dem Tod durch \fBSIGKILL\fP), nicht einmal, wenn der Verfolger in einen anderen \fBwaitpid\fP(2)\-Aufruf gelangt. .P Das im vorhergehenden Absatz beschriebene Verhalten verursacht ein Problem bei transparenter Behandlung von Stoppsignalen. Falls der Verfolger den verfolgten Prozess nach einem Gruppenstopp neu startet, wird das Stoppsignal effektiv ignoriert – der verfolgte Prozess bleibt nicht gestoppt, er läuft. Falls der Verfolger den verfolgten Prozess neu startet, bevor er in das nächste \fBwaitpid\fP(2) eintritt, werden zukünftige \fBSIGCONT\fP\-Signale nicht an den Verfolger gemeldet. Dies würde dazu führen, dass die \fBSIGCONT\fP\-Signale keine Auswirkungen auf den verfolgten Prozess haben. .P Seit Linux 3.4 gibt es eine Methode, die dieses Problem bewältigt: Statt \fBPTRACE_CONT\fP kann ein \fBPTRACE_LISTEN\fP\-Befehl zum Neustart eines verfolgten Prozesses auf eine Weise benutzt werden, die ihn nicht ausführt, aber auf ein neues Ereignis wartet, das er über \fBwaitpid\fP(2) melden kann, wenn er zum Beispiel mit \fBSIGCONT\fP neu gestartet wird. .SS PTRACE_EVENT\-Stopps Falls der Verfolger \fBPTRACE_O_TRACE_*\fP\-Optionen setzt, wird der verfolgte Prozess in \fBPTRACE_EVENT\fP\-Stopps genannte Stopps gelangen. .P \fBPTRACE_EVENT\fP\-Stopps werden durch den Verfolger als \fBwaitpid\fP(2) beobachtet, kehren mit \fIWIFSTOPPED(status)\fP zurück und \fIWSTOPSIG(status)\fP gibt \fBSIGTRAP\fP zurück (oder für \fBPTRACE_EVENT_STOP\fP: gibt das Stopp\-Signal zurück, falls der verfolgte Prozess in einem Gruppen\-Stopp ist). Es wird ein zusätzliches Bit in das höhere Bit des Status (Datentyp Word) gesetzt: Der Wert \fIstatus>>8\fP wird wie folgt sein: .P .in +4n .EX ((PTRACE_EVENT_foo<<8) | SIGTRAP). .EE .in .P Es gibt die folgenden Ereignisse: .TP \fBPTRACE_EVENT_VFORK\fP stoppt vor dem Zurückkehren von \fBvfork\fP(2) oder \fBclone\fP(2) mit dem Schalter \fBCLONE_VFORK\fP. Wenn der verfolgte Prozess nach diesem Stopp fortgeführt wird, wird er auf das Beenden/Ausführen des Kindprozesses warten, bevor er mit seiner Ausführung fortfährt (in anderen Worten, das übliche Verhalten auf \fBvfork\fP(2)). .TP \fBPTRACE_EVENT_FORK\fP stoppt vor dem Zurückkehren von \fBfork\fP(2) oder \fBclone\fP(2) mit dem auf \fBSIGCHLD\fP gesetzten Beendigungssignal. .TP \fBPTRACE_EVENT_CLONE\fP stoppt vor dem Zurückkehren von \fBclone\fP(2). .TP \fBPTRACE_EVENT_VFORK_DONE\fP stoppt vor dem Zurückkehren von \fBvfork\fP(2) oder \fBclone\fP(2) mit dem Schalter \fBCLONE_VFORK\fP, aber nachdem die Blockade dieses verfolgten Prozesses durch Beenden oder Ausführung aufgehoben wurde. .P Für alle vier oben beschriebenen Stopps tritt der Stopp im Elternprozess auf (d.h. im verfolgenden Prozess), nicht im neu erstellten Thread. \fBPTRACE_GETEVENTMSG\fP kann benutzt werden, um die Kennung des neuen Threads zu erhalten. .TP \fBPTRACE_EVENT_EXEC\fP stoppt vor dem Zurückkehren von \fBexecve\fP(2). Ab Linux 3.0, gibt \fBPTRACE_GETEVENTMSG\fP die vorherige Thread\-Kennung zurück. .TP \fBPTRACE_EVENT_EXIT\fP stoppt vor dem Beenden (einschließlich des Todes aus \fBexit_group\fP(2)), dem Signaltod oder endet, verursacht durch \fBexecve\fP(2), in einem Prozess aus mehreren Threads. \fBPTRACE_GETEVENTMSG\fP gibt den Exit\-Status zurück. Register können untersucht werden (solange nicht »wirklich« beendet wird). Der verfolgte Prozess ist immer noch lebendig; er benötigt zum Fertigstellen des Beendens \fBPTRACE_CONT\fP oder \fBPTRACE_DETACH\fP. .TP \fBPTRACE_EVENT_STOP\fP Stopp, der durch einen \fBPTRACE_INTERRUPT\fP\-Befehl, einen Gruppenstopp oder ein »ptrace\-stop« zu Beginn veranlasst wurde, wenn ein neuer Kindprozess angehängt wird (nur beim Anhängen mittels \fBPTRACE_SEIZE\fP). .TP \fBPTRACE_EVENT_SECCOMP\fP Stopp, der durch eine \fBseccomp\fP(2)\-Regel durch den Eintritt des verfolgten Prozesses in einen Systemaufruf ausgelöst wird, wenn \fBPTRACE_O_TRACESECCOMP\fP vom Verfolger gesetzt wird. Die Seccomp\-Ereignisdaten (von dem Anteil \fBSECCOMP_RET_DATA\fP der Filterregel) können durch \fBPTRACE_GETEVENTMSG\fP ermittelt werden. Die Semantik dieses Stopps werden in einem separaten Abschnitt weiter unten beschrieben. .P \fBPTRACE_GETSIGINFO\fP auf \fBPTRACE_EVENT\fP\-Stopps gibt \fBSIGTRAP\fP in \fIsi_signo\fP zurück, wobei \fIsi_code\fP auf \fI(event<<8)\ |\ SIGTRAP\fP gesetzt ist. .SS Systemaufrufstopps Falls der verfolgte Prozess durch \fBPTRACE_SYSCALL\fP oder \fBPTRACE_SYSEMU\fP neu gestartet wurde, gerät der verfolgte Prozess in einen Systemaufrufeintrittsstopp kurz vor dem Eintritt in irgendeinen Systemaufruf (der nicht ausgeführt wird, falls der Neustart \fBPTRACE_SYSEMU\fP verwandte, unabhängig von allen Änderungen, die zu diesem Zeitpunkt an den Registern vorgenommen wurden oder wie der verfolgte Prozess nach diesem Stopp neu gestartet wird). Unabhängig davon, welche Methode den Systemaufrufeintrittsstopp verursachte, falls der Verfolger den verfolgten Prozess mit \fBPTRACE_SYSCALL\fP neu startet, gerät der verfolgte Prozess in einen Systemaufrufbeendigungsstopp, wenn der Systemaufruf beendet ist oder falls er durch ein Signal unterbrochen wurde. (Sprich, der Signallieferstopp tritt nie zwischen Systemaufrufeintrittsstopp und Systemaufrufbeendigungsstopp auf; er findet \fInach\fP dem Systemaufrufbeendigungsstopp statt.) Falls der verfolgte Prozess mittels irgendeiner anderen Methode fortgesetzt wird (einschließlich \fBPTRACE_SYSEMU\fP), erfolgt kein Systemaufrufbeendigungsstop. Beachten Sie, dass alle Erwähnungen von \fBPTRACE_SYSEMU\fP genauso auf \fBPTRACE_SYSEMU_SINGLESTEP\fP zutreffen. .P Selbst falls der verfolgte Prozess mittels \fBPTRACE_SYSCALL\fP fortgesetzt wird, wird nicht garantiert, dass der nächste Stopp ein Systemaufrufbeendigungsstopp sein wird. Andere Möglichkeiten sind, dass der verfolgte Prozess in einem \fBPTRACE_EVENT\fP\-Stopp (einschließlich Seccomp\-Stopp) stoppen könnte, endet (falls er in \fB_exit\fP(2) oder \fBexit_group\fP(2) eintritt), durch \fBSIGKILL\fP gekillt wird oder leise stirbt (falls er die Thread\-Gruppe anführt, kommt das \fBexecve\fP(2) in einem anderen Thread vor und der Thread wird nicht vom selben Verfolger verfolgt; diese Situation wird später besprochen). .P Systemaufrufeintrittsstopp und Systemaufrufbeendigungsstopp werden vom Verfolger als \fBwaitpid\fP(2) beobachtet, kehren mit »\fIWIFSTOPPED(status)\fP true« zurück und \fIWSTOPSIG(status)\fP gibt \fBSIGTRAP\fP zurück. Falls die Option \fBPTRACE_O_TRACESYSGOOD\fP durch den Verfolger gesetzt wurde, wird \fIWSTOPSIG(status)\fP den Wert \fI(SIGTRAP\ |\ 0x80)\fP zurückgeben. .P Systemaufrufstopps können von Signallieferstopps mit \fBSIGTRAP\fP durch Abfrage von \fBPTRACE_GETSIGINFO\fP für die folgenden Fälle unterschieden werden: .TP \fIsi_code\fP <= 0 \fBSIGTRAP\fP wurde mit einem Ergebnis einer Anwendungsraumaktion, zum Beispiel einem Systemaufruf ((\fBtgkill\fP(2), \fBkill\fP(2), \fBsigqueue\fP(3), etc.), Ablauf eines POSIX\-Timers, Statusänderung einer POSIX\-Nachrichtenwarteschlange oder Vervollständigung einer asynchronen E/A\-Aktion geliefert. .TP \fIsi_code\fP == SI_KERNEL (0x80) \fBSIGTRAP\fP wurde vom Kernel gesandt. .TP \fIsi_code\fP == SIGTRAP or \fIsi_code\fP == (SIGTRAP|0x80) Dies ist ein Systemaufrufstopp. .P Systemaufrufstopps kommen jedoch sehr oft vor (zweimal pro Systemaufruf) und das Ausführen von \fBPTRACE_GETSIGINFO\fP für jeden Systemaufrufstopp könnte etwas aufwendig sein. .P Einige Architekturen erlauben, die Fälle durch Untersuchen der Register zu unterscheiden. Zum Beispiel auf x86, \fIrax\fP == \-\fBENOSYS\fP im Systemaufrufeintrittsstopp. Da \fBSIGTRAP\fP (wie jedes andere Signal) immer \fInach\fP dem Systemaufrufbeendigungsstopp auftritt und \fIrax\fP an diesem Punkt fast nie \fBENOSYS\fP enthält, sieht das \fBSIGTRAP\fP aus wie ein »Systemaufrufstopp, der kein Systemaufrufeintrittsstopp ist«; in anderen Worten, er sieht aus wie ein »herrenloser Systemaufrufbeendigungsstopp« und kann auf diese Art erkannt werden. Aber eine solche Erkennung ist fragil und wird am besten vermieden. .P Die Benutzung der Option \fBPTRACE_O_TRACESYSGOOD\fP ist die empfohlene Methode, um Systemaufrufstopps von anderen Arten der Ptrace\-Stopps zu unterscheiden, da sie zuverlässig ist und sich keine Leistungseinbuße zuzieht. .P Systemaufrufeintrittsstopp und Systemaufrufbeendigungsstopp sind für den Verfolger nicht voneinander zu unterscheiden. Der Verfolger muss den Überblick über die Abfolge der Ptrace\-Stopps behalten, um nicht den Systemaufrufeintrittsstopp fälschlicherweise als Systemaufrufbeendigungsstopp oder umgekehrt zu interpretieren. Im Allgemeinen folgt diesem Systemaufrufeintrittsstopp immer ein Systemaufrufbeendigungsstopp, \fBPTRACE_EVENT\fP\-Stopp oder der Tod des verfolgten Prozesses; dazwischen können keine anderen Arten von Ptrace\-Stopps auftreten. Beachten Sie allerdings, dass Seccomp\-Stopps (siehe unten) Systemaufrufbeendigungsstopps ohne vorhergehende Systemaufrufeintrittsstopps hervorrufen können. Falls Seccomp verwandt wird, muss Sorgfalt eingesetzt werden, um solche Stopps nicht als Systemaufrufeintrittsstopps misszuinterpretieren. .P Falls der Verfolger nach dem Systemaufrufeintrittsstopp einen anderen Befehl zum Neustarten als \fBPTRACE_SYSCALL\fP verwendet, wird der Systemaufrufbeendigungsstopp nicht erzeugt. .P .\" \fBPTRACE_GETSIGINFO\fP auf Systemaufrufstopps gibt \fBSIGTRAP\fP in \fIsi_signo\fP zurück, wobei \fIsi_code\fP auf \fBSIGTRAP\fP oder \fI(SIGTRAP|0x80)\fP gesetzt ist. .SS "PTRACE_EVENT_SECCOMP\-Stopps (Linux 3.5 bis 4.7)" Das Verhalten des \fBPTRACE_EVENT_SECCOMP\fP\-Stopps und seiner Wechselwirkung mit anderen Arten von Ptrace\-Stopps hat sich zwischen Kernel\-Versionen geändert. Hier wird das Verhalten von seiner Einführung bis Linux 4.7 (einschließlich) beschrieben. Das Verhalten in neueren Kernelversionen wird im nächsten Abschnitt beschrieben. .P Ein \fBPTRACE_EVENT_SECCOMP\fP\-Stopp erfolgt, wann immer eine \fBSECCOMP_RET_TRACE\fP\-Regel ausgelöst wird. Dies ist von der Methode, die zum Neustart des Systemaufrufes verwandt wurde, unabhängig. Insbesondere läuft Seccomp immer noch, selbst falls der verfolgte Prozess mittels \fBPTRACE_SYSEMU\fP neu gestartet wurde und dieser Systemaufruf wird bedingungslos übersprungen. .P .\" Neustarts aus diesem Stopp verhalten sich so, als ob der Stopp direkt vor dem in Frage stehenden Systemaufruf stattgefunden hätte. Insbesondere werden sowohl \fBPTRACE_SYSCALL\fP als auch \fBPTRACE_SYSEMU\fP normalerweise einen folgenden Systemaufrufeintrittsstopp auslösen. Falls allerdings nach dem \fBPTRACE_EVENT_SECCOMP\fP die Systemaufrufnummer negativ ist, werden sowohl der Systemaufrufeintrittsstopp als auch der Systemaufruf selbst übersprungen. Das bedeutet, dass falls die Systemaufrufnummer nach dem \fBPTRACE_EVENT_SECCOMP\fP negativ ist und der verfolgte Prozess mittels \fBPTRACE_SYSCALL\fP neu gestartet wird, der nächste beobachtete Stopp ein Systemaufrufbeendigungsstopp statt des vielleicht erwarteten Systemaufrufeintrittsstopps sein wird. .SS "PTRACE_EVENT_SECCOMP\-Stopps (seit Linux 4.8)" .\" commit 93e35efb8de45393cf61ed07f7b407629bf698ea Beginnend mit Linux 4.8 wurde der Stopp \fBPTRACE_EVENT_SECCOMP\fP neu geordnet, so dass er zwischen Systemaufrufeintrittsstopp und Systemaufrufbeendigungsstopp auftritt. Beachten Sie, dass Seccomp nicht länger ausgeführt wird (und kein \fBPTRACE_EVENT_SECCOMP\fP berichtet wird) falls der Systemaufruf aufgrund \fBPTRACE_SYSEMU\fP übersprungen wird. .P Funktional arbeitet ein \fBPTRACE_EVENT_SECCOMP\fP\-Stopp vergleichbar mit einem Systemaufrufeintrittsstopp (d.h. Fortsetzungen mittels \fBPTRACE_SYSCALL\fP werden einen Systemaufrufbeendigungsstopp auslösen, die Systemaufrufnummer könnte sich ändern und alle anderen veränderten Register sind im gleich auszuführenden Systemaufruf ebenfalls sichtbar). Beachten Sie, dass es einen vorhergehenden Systemaufrufeintrittsstopp gegeben haben kann, aber nicht muss. .P .\" Nach einem Stopp \fBPTRACE_EVENT_SECCOMP\fP wird Seccomp mit einer Regel \fBSECCOMP_RET_TRACE\fP, die identisch zu einer \fBSECCOMP_RET_ALLOW\fP funktioniert, erneut ausgeführt. Insbesondere bedeutet dies, dass falls Register nicht während des Stopps \fBPTRACE_EVENT_SECCOMP\fP verändert wurden, der Systemaufruf dann erlaubt wird. .SS PTRACE_SINGLESTEP\-Stopps .\" .\" FIXME . .\" document stops occurring with PTRACE_SINGLESTEP .\" [Einzelheiten dieser Arten von Stopps sind noch nicht dokumentiert.] .SS "Benachrichtigende und neustartende Ptrace\-Befehle" Die meisten Ptrace\-Befehle (alle außer \fBPTRACE_ATTACH\fP, \fBPTRACE_SEIZE\fP, \fBPTRACE_TRACEME\fP, \fBPTRACE_INTERRUPT\fP und \fBPTRACE_KILL\fP) erfordern, dass der verfolgte Prozess in einem Ptrace\-Stopp ist, andernfalls scheitern sie mit \fBESRCH\fP. .P Wenn der verfolgte Prozess im Ptrace\-Stopp ist, kann der Verfolger Daten des verfolgten Prozesses mittels benachrichtigenden Befehlen lesen und schreiben. Diese Befehle belassen den verfolgten Prozess im Status Ptrace\-gestoppt: .P .in +4n .EX ptrace(PTRACE_PEEKTEXT/PEEKDATA/PEEKUSER, PID, Adresse, 0); ptrace(PTRACE_POKETEXT/POKEDATA/POKEUSER, PID, Adresse, long_val); ptrace(PTRACE_GETREGS/GETFPREGS, PID, 0, &struct); ptrace(PTRACE_SETREGS/SETFPREGS, PID, 0, &struct); ptrace(PTRACE_GETREGSET, PID, NT_foo, &iov); ptrace(PTRACE_SETREGSET, PID, NT_foo, &iov); ptrace(PTRACE_GETSIGINFO, PID, 0, &siginfo); ptrace(PTRACE_SETSIGINFO, PID, 0, &siginfo); ptrace(PTRACE_GETEVENTMSG, PID, 0, &long_var); ptrace(PTRACE_SETOPTIONS, PID, 0, PTRACE_O_flags); .EE .in .P Beachten Sie, dass einige Fehler nicht gemeldet wurden. Das Setzen des Informationssignals (\fIsiginfo\fP) hat zum Beispiel in einigen Ptrace\-Stopps möglicherweise keine Auswirkungen, der Aufruf kann jedoch erfolgreich sein (0 zurückgeben und \fIerrno\fP nicht setzen); Abfragen von \fBPTRACE_GETEVENTMSG\fP könnte erfolgreich sein und einen zufälligen Wert zurückgeben, falls der aktuelle Ptrace\-Stopp nicht dokumentiert ist, um eine aussagekräftige Ereignisnachricht zurückzugeben. .P Der Aufruf .P .in +4n .EX ptrace(PTRACE_SETOPTIONS, PID, 0, PTRACE_O_flags); .EE .in .P beeinflusst einen verfolgten Prozess. Die aktuellen Schalter des verfolgten Prozesses werden ersetzt. Schalter werden geerbt durch neu erzeugte Prozesse und »automatisch angehängt« über aktive \fBPTRACE_O_TRACEFORK\fP\-, \fBPTRACE_O_TRACEVFORK\fP\- oder \fBPTRACE_O_TRACECLONE\fP\-Optionen. .P Eine weitere Gruppe von Befehlen lässt die per Ptrace gestoppten, verfolgten Prozesse laufen. Sie haben die Form: .P .in +4n .EX ptrace(Befehl, PID, 0, Signal); .EE .in .P wobei \fIBefehl\fP \fBPTRACE_CONT\fP, \fBPTRACE_LISTEN\fP, \fBPTRACE_DETACH\fP, \fBPTRACE_SYSCALL\fP, \fBPTRACE_SINGLESTEP\fP, \fBPTRACE_SYSEMU\fP oder \fBPTRACE_SYSEMU_SINGLESTEP\fP ist. Falls der verfolgte Prozess sich im Signallieferstopp befindet, ist \fISignal\fP das Signal, das eingespeist wird (falls es ungleich Null ist). Andernfalls kann \fISignal\fP ignoriert werden. (Wenn ein verfolgter Prozess von einem anderen Ptrace\-Stopp als dem Signallieferstopp neu gestartet wird, ist die empfohlene Vorgehensweise, 0 in \fISignal\fP zu übergeben.) .SS "Anhängen und Loslösen" Ein Thread kann an den Verfolger angehängt werden mit dem Aufruf .P .in +4n .EX ptrace(PTRACE_ATTACH, PID, 0, 0); .EE .in .P oder .P .in +4n .EX ptrace(PTRACE_SEIZE, PID, 0, PTRACE_O_flags); .EE .in .P .\" .\" FIXME Describe how to attach to a thread which is already group-stopped. \fBPTRACE_ATTACH\fP sendet außerdem \fBSIGSTOP\fP an diesen Thread. Falls der Verfolger möchte, dass dieser \fBSIGSTOP\fP keine Auswirkungen hat, muss er ihn unterdrücken. Beachten Sie, dass der Verfolger, falls während des Anhängens gleichzeitig weitere Signale an diesen Thread gesandt werden, den Eintritt in den Signallieferstopp mit anderen Signalen zuerst sieht! Die übliche Vorgehensweise ist, diese Signale neu einzuspeisen, bis \fBSIGSTOP\fP gesehen wird und dann die Einspeisung von \fBSIGSTOP\fP zu unterdrücken. Der Entwurfsfehler ist hierbei, dass sich ein Ptrace\-Anhängen und ein gleichzeitig gesandtes \fBSIGSTOP\fP einen Wettlauf liefern und das gleichzeitige \fBSIGSTOP\fP verloren gegangen sein kann. .P Da Anhängen \fBSIGSTOP\fP sendet und der Verfolger es üblicherweise unterdrückt, könnte dies zu einer herrenlosen \fBEINTR\fP\-Rückgabe vom aktuell ausgeführten Systemaufruf in diesem verfolgten Prozess führen, wie er im Abschnitt »Signaleinspeisung und \-unterdrückung« beschrieben wird. .P Seit Linux 3.4 kann \fBPTRACE_SEIZE\fP anstelle von \fBPTRACE_ATTACH\fP benutzt werden. \fBPTRACE_SEIZE\fP stoppt nicht den angehängten Prozess. Falls Sie ihn nach dem Anhängen (oder zu einem anderen Zeitpunkt) stoppen wollen ohne irgendwelche Signale zu senden, verwenden Sie den Befehl \fBPTRACE_INTERRUPT\fP. .P Die Aktion .P .in +4n .EX ptrace(PTRACE_TRACEME, 0, 0, 0); .EE .in .P verwandelt den aufrufenden Thread in einen verfolgten Prozess. Der Thread fährt mit der Ausführung fort (gerät nicht in den Ptrace\-Stopp). Eine übliche Vorgehensweise besteht darin, \fBPTRACE_TRACEME\fP mit .P .in +4n .EX raise(SIGSTOP); .EE .in .P zu folgen und dem Elternprozess (der nun der Verfolger ist) zu ermöglichen, den Signallieferstopp zu beobachten. .P Falls die Optionen \fBPTRACE_O_TRACEFORK\fP, \fBPTRACE_O_TRACEVFORK\fP oder \fBPTRACE_O_TRACECLONE\fP in Kraft sind, werden Kindprozesse mit \fBvfork\fP(2), beziehungsweise \fBclone\fP(2) mit dem Schalter \fBCLONE_VFORK\fP, \fBfork\fP(2) oder \fBclone\fP(2) mit auf \fBSIGCHLD\fP gesetztem Beendigungssignal und anderen Arten von \fBclone\fP(2) automatisch an den gleichen Verfolger angehängt, der ihren Elternprozess verfolgte. \fBSIGSTOP\fP wird an die Kindprozesse gesandt, was sie veranlasst, in einen Signallieferstopp zu gelangen, nachdem sie den Systemaufruf beenden, der sie erzeugt hat. .P Loslösen des verfolgten Prozesses wird erreicht durch: .P .in +4n .EX ptrace(PTRACE_DETACH, PID, 0, Signal); .EE .in .P \fBPTRACE_DETACH\fP ist eine Neustartaktion; daher erfordert sie, dass der verfolgte Prozess in einem Ptrace\-Stopp ist. Falls der verfolgte Prozess in einem Signallieferstopp ist, kann ein Signal eingespeist werden. Andernfalls wird der Parameter \fISignal\fP stillschweigend ignoriert. .P .\" FIXME Describe how to detach from a group-stopped tracee so that it .\" doesn't run, but continues to wait for SIGCONT. Falls der verfolgte Prozess läuft, wenn der Verfolger ihn loslösen möchte, besteht die übliche Lösung darin, \fBSIGSTOP\fP zu senden (mittels \fBtgkill\fP(2), um sicherzustellen, dass es an den korrekten Thread geht), darauf zu warten, dass der verfolgte Prozess in einen Signallieferstopp für \fBSIGSTOP\fP stoppt und ihn dann loszulösen (\fBSIGSTOP\fP\-Einspeisung wird unterdrückt). Ein Entwurfsfehler besteht darin, dass sich dies mit gleichzeitigen \fBSIGSTOP\fPs Ressourcenwettläufe liefern kann. Eine weitere Komplikation besteht darin, dass der verfolgte Prozess in andere Ptrace\-Stopps geraten kann und neu gestartet werden muss und nochmals gewartet werden muss, bis \fBSIGSTOP\fP gesehen wird. Noch eine weitere Komplikation besteht darin, dass nicht sicher ist, ob der verfolgte Prozess nicht bereits mit Ptrace gestoppt wurde, da keine Signallieferung stattfindet, obwohl es noch nicht einmal \fBSIGSTOP\fP ist. .P Falls der Verfolger stirbt, werden alle verfolgten Prozesse automatisch losgelöst und neu gestartet, es sei denn, sie sind im Gruppenstopp. Die Handhabung des Neustarts aus dem Gruppenstopp ist derzeit fehlerhaft, aber das »wie\-geplant«\-Verhalten ist, den verfolgten Prozess gestoppt zu lassen und auf \fBSIGCONT\fP zu warten. Falls der verfolgte Prozess neu vom Signallieferstopp gestartet wurde, wird das ausstehende Signal einspeist. .SS "execve(2) unter Ptrace" .\" clone(2) CLONE_THREAD says: .\" If any of the threads in a thread group performs an execve(2), .\" then all threads other than the thread group leader are terminated, .\" and the new program is executed in the thread group leader. .\" .\" In Linux 3.1 sources, see fs/exec.c::de_thread() Wenn ein Thread in einem Prozess mit mehreren Threads \fBexecve\fP(2) aufruft, zerstört der Kernel alle anderen Threads im Prozess und setzt die Thread\-Kennung des ausführenden Threads auf die Gruppenkennung (Prozesskennung) zurück. (Oder anders ausgedrückt, wenn ein Prozess mit mehreren Threads ein \fBexecve\fP(2) bei Vervollständigung des Aufrufs ausführt, scheint es durch das \fBexecve\fP(2) im führenden Thread der Prozessgruppe aufzutreten, unabhängig davon, welcher Thread das \fBexecve\fP(2) aufrief.) Dieses Zurücksetzen der Thread\-Kennung sieht für Verfolger sehr verwirrend aus: .IP \[bu] 3 Alle anderen Threads stoppen im \fBPTRACE_EVENT_EXIT\fP\-Stopp, falls die Option \fBPTRACE_O_TRACEEXIT\fP eingeschaltet wurde. Dann melden alle anderen Threads außer dem führenden Thread der Gruppe den Tod, als ob sie über \fB_exit\fP(2) mit dem Exit\-Code 0 beendet worden wären. .IP \[bu] Der ausführende, verfolgte Prozess ändert seine Thread\-Kennung, während er in dem \fBexecve\fP(2) ist. (Denken Sie daran, unter Ptrace ist die von \fBwaitpid\fP(2) zurückgegebene oder in Ptrace\-Aufrufe gespeiste »PID«, die Thread\-Kennung des verfolgten Prozesses.) Sprich, die Thread\-Kennung des verfolgten Prozesses wird zurückgesetzt, so dass sie ihrer Prozesskennung entspricht, die dieselbe ist, wie die Thread\-Kennung des führenden Threads der Thread\-Gruppe. .IP \[bu] Dann kommt es zu einem \fBPTRACE_EVENT_EXEC\fP\-Stopp, falls die Option \fBPTRACE_O_TRACEEXEC\fP eingeschaltet wurde. .IP \[bu] Falls der führende Thread der Gruppe seinen \fBPTRACE_EVENT_EXEC\fP\-Stopp mittlerweile gemeldet hat, scheint es für den Verfolger, als ob der tote führende Thread »aus dem Nichts wieder auftaucht«. (Hinweis: Der führende Thread der Gruppe meldet den Tod nicht über \fIWIFEXITED(status)\fP bis es mindestens einen lebenden anderen Thread gibt. Dies eliminiert die Möglichkeit, dass der Verfolger ihn sterben und dann erneut erscheinen sieht.) Falls der führende Thread der Gruppe immer noch lebt, könnte dies für den Verfolger so aussehen, als ob der führende Thread der Gruppe von einem anderen Systemaufruf als dem beigetretenen zurückkehrt oder sogar »von einem Systemaufruf zurückkehrt, obwohl er in keinem Systemaufruf war«. Falls der führende Thread der Gruppe nicht verfolgt wurde (oder von einem anderen Verfolger verfolgt wurde), dann wird es während \fBexecve\fP(2) so aussehen, als ob er ein verfolgter Prozess des Verfolgers des ausführenden verfolgten Prozesses geworden wäre. .P All die Auswirkungen oberhalb sind Artefakte des Thread\-Kennungswechsels im verfolgten Prozess. .P Die Option \fBPTRACE_O_TRACEEXEC\fP ist das empfohlene Werkzeug für den Umgang mit dieser Situation. Zuerst aktiviert es \fBPTRACE_EVENT_EXEC\fP\-Stopp, der vor der Rückkehr von \fBexecve\fP(2) auftritt. In diesem Stopp kann der Verfolger \fBPTRACE_GETEVENTMSG\fP verwenden, um die vorherige Thread\-Kennung des verfolgten Prozesses zu erhalten. (Diese Funktion wurde in Lunux 3.0 eingeführt.) Als zweites deaktiviert die Option \fBPTRACE_O_TRACEEXEC\fP die alte \fBSIGTRAP\fP\-Erzeugung auf \fBexecve\fP(2). .P Wenn der Verfolger die \fBPTRACE_EVENT_EXEC\fP\-Stoppbenachrichtigung empfängt, ist garantiert, dass außer diesem verfolgten Prozess und dem führenden Thread der Gruppe keine anderen Threads des Prozesses lebendig sind. .P Beim Empfang der \fBPTRACE_EVENT_EXEC\fP\-Stoppbenachrichtigung sollte der Verfolger all seine internen Datenstrukturen aufräumen, die Threads dieses Prozesses beschreiben und nur eine Datenstruktur behalten, – eine, die den einzelnen, laufenden, verfolgten Prozess beschreibt mit .P .in +4n .EX Thread\-Kennung == Thread\-Gruppenkennung == Prozesskennung. .EE .in .P Beispiel: Zwei Threads rufen zur gleichen Zeit \fBexecve\fP(2) auf: .P .nf *** wir bekommen einen Systemaufrufeintrittsstopp in Thread 1: ** PID1 execve("/bin/foo", "foo" *** wir liefern PTRACE_SYSCALL für Thread 1 ** *** wir bekommen einen Systemaufrufeintrittsstopp in Thread 2: ** PID2 execve("/bin/bar", "bar" *** wir liefern PTRACE_SYSCALL für Thread 2 ** *** wir bekommen PTRACE_EVENT_EXEC für PID0, wir liefern PTRACE_SYSCALL ** *** wir bekommen Systemaufrufbeendigungsstopp für PID0: ** PID0 <… execve wieder aufgenommen> ) = 0 .fi .P Falls die Option \fBPTRACE_O_TRACEEXEC\fP für den ausführenden, verfolgten Prozess \fInicht\fP in Kraft ist und falls der verfolgte Prozess \fBPTRACE_ATTACH\fPed statt \fBPTRACE_SEIZE\fPd war, sendet der Kernel ein zusätzliches \fBSIGTRAP\fP an den verfolgten Prozess, nachdem \fBexecve\fP(2) zurückgekehrt ist. Dies ist ein gewöhnliches Signal (ähnlich einem, das durch \fIkill \-TRAP\fP erzeugt werden kann), keine Spezialart eines Ptrace\-Stopps. Unter Einsatz von \fBPTRACE_GETSIGINFO\fP für dieses Signal gibt \fIsi_code\fP auf 0 gesetzt (\fISI_USER\fP) zurück. Dieses Signal kann durch die Signalmaske blockiert sein und könnte daher (viel) später gesandt werden. .P Üblicherweise würde der Verfolger dem Anwender dieses zusätzliche \fBSIGTRAP\fP\-Signal nach Execve nicht zeigen wollen und seinen Versand an den verfolgten Prozess unterdrücken (falls \fBSIGTRAP\fP auf \fBSIGTRAP\fP gesetzt ist, killt es das Signal). Es ist jedoch nicht einfach zu bestimmen, \fIwelches\fP \fBSIGTRAP\fP zu unterdrücken ist. Die empfohlene Herangehensweise ist, die Option \fBPTRACE_O_TRACEEXEC\fP zu setzen oder \fBPTRACE_SEIZE\fP zu verwenden und damit dieses zusätzliche \fBSIGTRAP\fP zu unterdrücken. .SS "Echter Elternprozess" Die Ptrace\-Programmierschnittstelle (miss)braucht die Standard\-UNIX\-Eltern\-/Kindprozess\-Signalgebung über \fBwaitpid\fP(2). Diese wird benutzt, um den echten Elternprozess zum Stopp des Empfangs mehrerer Arten von \fBwaitpid\fP(2)\-Benachrichtigungen zu veranlassen, wenn der Kindprozess durch einen anderen Prozess verfolgt wird. .P Viele dieser Fehler wurden behoben, aber ab Linux 2.6.38 existieren etliche immer noch; siehe FEHLER oberhalb. .P Ab Linux 2.6.38 wird davon ausgegangen, dass folgendes korrekt funktioniert: .IP \[bu] 3 Beenden/Sterben durch Signal wird zuerst an den Verfolger gemeldet, dann, wenn der Verfolger das \fBwaitpid\fP(2)\-Ergebnis verbraucht, an den echten Elternprozess (an den echten Elternprozess nur, wenn der ganze Prozess aus mehreren Threads existiert). Falls der Verfolger und der echte Elternprozess derselbe Prozess sind, wird der Bericht nur einmal gesandt. .SH RÜCKGABEWERT Bei Erfolg geben die \fBPTRACE_PEEK*\fP\-Aktionen die angeforderten Daten zurück (aber siehe die ANMERKUNGEN), die Aktion \fBPTRACE_SECCOMP_GET_FILTER\fP liefert die Anzahl der Anweisungen in dem BPF\-Programm zurück, die Aktion \fBPTRACE_GET_SYSCALL_INFO\fP liefert die Anzahl der Byte zurück, die zum Schreiben durch den Kernel verfügbar sind und andere Aktionen geben Null zurück. .P Bei einem Fehler geben alle Aktionen \-1 zurück und \fIerrno\fP wird gesetzt, um den Fehler anzuzeigen. Da der Wert, der von einer erfolgreichen Aktion \fBPTRACE_PEEK*\fP zurückgegeben wurde, \-1 sein könnte, muss der Aufrufende vor dem Aufruf \fIerrno\fP leeren und es dann hinterher untersuchen, um festzustellen, ob ein Fehler aufgetreten ist oder nicht. .SH FEHLER .TP \fBEBUSY\fP (nur i386) Es ist beim Reservieren oder der Freigabe eines Debug\-Registers ein Fehler aufgetreten. .TP \fBEFAULT\fP Es gab einen Versuch in einem ungültigen Bereich im Speicher des Verfolgers oder des verfolgten Prozesses zu lesen oder zu schreiben, wahrscheinlich, weil der Bereich nicht abgebildet war oder kein Zugriff möglich war. Unglücklicherweise geben unter Linux mehrere Variationen dieser Ausnahmebehandlung mehr oder weniger willkürlich \fBEIO\fP oder \fBEFAULT\fP zurück. .TP \fBEINVAL\fP Es wurde versucht, eine ungültige Option zu setzen. .TP \fBEIO\fP \fIAkt\fP ist ungültig, es wurde versucht, in einem ungültigen Bereich im Speicher des Verfolgers oder des verfolgten Prozesses zu lesen oder zu schreiben, es gab eine Verletzung der Ausrichtung an der »word«\-Größe oder es wurde während der Neustart\-Aktion ein ungültiges Signal angegeben. .TP \fBEPERM\fP Der angegebene Prozess kann nicht verfolgt werden. Dies könnte daher rühren, dass der Verfolger über unzureichende Privilegien verfügt (die Capability \fBCAP_SYS_PTRACE\fP wird benötigt); unprivilegierte Prozesse können keine Prozesse verfolgen, denen sie keine Signale senden können oder die SUID\-/SGID\-Programme ausführen, was naheliegend ist. Alternativ könnte der Prozess bereits verfolgt werden oder (Linux vor 2.6.26) \fBinit\fP(1) (PID 1) sein. .TP \fBESRCH\fP Der angegebene Prozess existiert nicht, wird derzeit nicht vom Aufrufenden verfolgt oder ist nicht gestoppt (bei Aktionen, die einen gestoppten verfolgten Prozess erfordern). .SH STANDARDS Keine. .SH GESCHICHTE SVr4, 4.3BSD. .P .\" See commit 00cd5c37afd5f431ac186dd131705048c0a11fdb In Linux\-Versionen vor 2.6.26 kann \fBinit\fP(1) den Prozess mit der Prozessnummer 1 nicht verfolgen. .SH ANMERKUNGEN Obwohl Argumente für \fBptrace\fP() gemäß dem angegebenen Prototypen interpretiert werden, deklariert Glibc derzeit \fBptrace\fP() als eine variable Funktion mit nur dem festen Argument \fIAkt\fP. Es wird empfohlen, immer vier Argumente anzugeben, sogar dann, wenn die angeforderte Aktion sie nicht verwendet. Setzen Sie unbenutzte/ignorierte Argumente auf \fI0L\fP oder \fI(void\ *)\ 0\fP. .P Der Elternprozess des verfolgten Prozesses wird weiterhin der Verfolger sein, selbst wenn der Verfolger \fBexecve\fP(2) aufruft. .P .\" See http://lkml.org/lkml/2008/5/8/375 Das Layout des Speicherinhalts und des BENUTZERbereichs sind ziemlich betriebsystem\- und architekturspezifisch. Der mitgelieferte Versatz und die zurückgegebenen Daten passen möglicherweise nicht ganz zu der Definition von \fIstruct user\fP. .P Die Größe eines »word« wird durch die Betriebsystemvariante festgelegt (z.B. ist es für ein 32\-Bit\-Linux 32 Bit). .P .\" .\""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" .\" Diese Seite dokumentiert die Möglichkeit, wie der \fBptrace\fP()\-Aufruf derzeit in Linux arbeitet. Sein Verhalten unterscheidet sich auf anderen unixoiden Betriebssystemen deutlich. Auf jeden Fall ist die Benutzung von \fBptrace\fP() in hohem Grad abhängig vom Betriebssystem und der Architektur. .SS Ptrace\-Zugriffsmodusüberprüfung Verschiedene Teile des Kernel\-Benutzerraum\-APIs (nicht nur \fBptrace\fP()\-Aktionen) benötigen sogenannte »Ptrace\-Zugriffsmodusüberprüfungen«, deren Ergebnis bestimmt, ob eine Aktion erlaubt (oder, in wenigen Fällen, einer »Lese«\-Aktion bereinigte Daten zurückliefern) wird. Diese Überprüfungen werden in Fällen durchgeführt, in denen ein Prozess vertrauliche Informationen über einen anderen Prozess einsehen könnte oder in einigen Fällen den Zustand eines anderen Prozesse verändern könnte. Die Überprüfungen basieren auf Faktoren wie den Berechtigungsnachweisen und den Capabilitys der zwei Prozesse, ob der Speicherinhalt des »Zielprozesses« ausgegeben werden kann und dem Ergebnis der Überprüfungen, die durch jedes aktivierte Linux\-Sicherheitsmodul (LSM) – zum Beispiel SELinux, Yama oder Smack – und durch das Commoncap\-LSM (das immer ausgeführt wird), ausgeführt wird. .P .\" commit 006ebb40d3d65338bd74abb03b945f8d60e362bd Vor Linux 2.6.27 waren alle Zugriffsprüfungen von einem einzigen Typ. Seit Linux 2.6.27 werden zwei Zugriffsmodi unterschieden: .TP \fBPTRACE_MODE_READ\fP Für »Lese«\-Aktionen oder andere Aktionen, die weniger gefährlich sind, wie \fBget_robust_list\fP(2); \fBkcmp\fP(2); Lesen aus \fI/proc/\fPPID\fI/auxv\fP, \fI/proc/\fPPID\fI/environ\fP oder \fI/proc/\fPPID\fI/stat\fP; oder \fBreadlink\fP(2) einer \fI/proc/\fPPID\fI/ns/*\fP\-Datei. .TP \fBPTRACE_MODE_ATTACH\fP .\" .\" Regarding the above description of the distinction between .\" PTRACE_MODE_READ and PTRACE_MODE_ATTACH, Stephen Smalley notes: .\" .\" That was the intent when the distinction was introduced, but it doesn't .\" appear to have been properly maintained, e.g. there is now a common .\" helper lock_trace() that is used for .\" /proc/pid/{stack,syscall,personality} but checks PTRACE_MODE_ATTACH, and .\" PTRACE_MODE_ATTACH is also used in timerslack_ns_write/show(). Likely .\" should review and make them consistent. There was also some debate .\" about proper handling of /proc/pid/fd. Arguably that one might belong .\" back in the _ATTACH camp. .\" Für »Schreibe«\-Aktionen oder andere Aktionen, die gefährlicher sind, wie Ptrace\-Anhängungen (\fBPTRACE_ATTACH\fP) an einen anderen Prozess oder Aufrufe von \fBprocess_vm_writev\fP(2). (\fBPTRACE_MODE_ATTACH\fP war tatsächlich die Vorgabe vor Linux 2.6.27.) .P .\" commit caaee6234d05a58c5b4d05e7bf766131b810a657 Seit Linux 4.5 sind die obigen Zugriffsmodusprüfungen mittels ODER mit einem der folgenden Modifikatoren verknüpft: .TP \fBPTRACE_MODE_FSCREDS\fP Die Dateisystem\-UID und \-GID (siehe \fBcredentials\fP(7)) oder die effektiven Capabilitys für LSM\-Prüfungen des Aufrufenden verwenden. .TP \fBPTRACE_MODE_REALCREDS\fP Die reale UID und GID oder die erlaubten Capabilitys für LSM\-Prüfungen des Aufrufenden verwenden. Dies war vor Linux 4.5 die Vorgabe. .P Da die Kombination eines der Berechtigungsnachweise\-Modifikatoren mit einem der vorgenannten Zugriffsmodi typisch ist, sind ein paar Makros in den Kernelquellen für die Kombinationen definiert. .TP \fBPTRACE_MODE_READ_FSCREDS\fP Definiert als \fBPTRACE_MODE_READ | PTRACE_MODE_FSCREDS\fP. .TP \fBPTRACE_MODE_READ_REALCREDS\fP Definiert als \fBPTRACE_MODE_READ | PTRACE_MODE_REALCREDS\fP. .TP \fBPTRACE_MODE_ATTACH_FSCREDS\fP Definiert als \fBPTRACE_MODE_ATTACH | PTRACE_MODE_FSCREDS\fP. .TP \fBPTRACE_MODE_ATTACH_REALCREDS\fP Definiert als \fBPTRACE_MODE_ATTACH | PTRACE_MODE_REALCREDS\fP. .P Ein weiterer Modifikator kann mit den Zugriffsmodus mittels ODER verknüpft werden: .TP \fBPTRACE_MODE_NOAUDIT\fP (seit Linux 3.3) .\" commit 69f594a38967f4540ce7a29b3fd214e68a8330bd .\" Just for /proc/pid/stat Diese Zugriffsmodusprüfung nicht auditieren. Dieser Modifikator wird für Ptrace\-Zugriffsmodusprüfungen eingesetzt (wie z.B. Prüfungen beim Lesen von \fI/proc/\fPPID\fI/stat\fP), die lediglich die Ausgabe filtern oder bereinigen, statt dem Aufrufenden einen Fehler zurückzuliefern. In diesen Fällen ist der Zugriff auf die Datei keine Sicherheitsverletzung und es gibt keinen Grund, einen Sicherheitsauditdatensatz zu erstellen. Dieser Modifikator unterdrückt die Erstellung eines solchen Auditdatensatzes für diese Zugriffsprüfung. .P Beachten Sie, dass alle in diesem Unterabschnitt beschriebenen Konstanten \fBPTRACE_MODE_*\fP kernelintern und nicht im Anwendungsraum sichtbar sind. Die Konstantennamen werden hier benannt, um den verschiedenen Arten von Ptrace\-Zugriffsmodusprüfungen, die für verschiedene Systemaufrufe und Zugriff auf verschiedene Pseudodateien (z.B. unter \fI/proc\fP) durchgeführt werden, einen Namen zu geben. Diese Namen werden in anderen Handbuchseiten benutzt, um eine einfache Abkürzung für die Benennung der verschiedenen Kernelprüfungen bereitzustellen. .P Der für Ptrace\-Zugriffsmodusprüfungen eingesetzte Algorithmus bestimmt, ob dem aufrufenden Prozess erlaubt wird, die entsprechende Aktion auf dem Zielprozess durchzuführen. (Im Falle des Öffnens von \fI/proc/\fP[PID]\-Dateien ist der »aufrufende Prozess« derjenige, der die Datei öffnet, und der Prozess mit der entsprechenden PID der »Zielprozess«). Der Algorithmus geht wie folgt: .IP (1) 5 Falls der aufrufende Thread und der Ziel\-Thread in der gleichen Thread\-Gruppe sind, wird der Zugriff immer erlaubt. .IP (2) Falls der Zugriffsmodus \fBPTRACE_MODE_FSCREDS\fP festlegt, dann wird für die Prüfung im nächsten Schritt die Dateisystem\-UID und \-GID des Aufrufenden verwandt. (Wie in \fBcredentials\fP(7) vermerkt, haben die Dateisystem\-UID und \-GID fast immer die gleichen Werte wie die entsprechenden effektiven Kennungen.) .IP Andernfalls legt der Zugriffsmodus \fBPTRACE_MODE_REALCREDS\fP fest, so dass die reale UID und GID für die Prüfungen im nächsten Schritt verwandt werden. (Die meisten APIs, die die UIDs und GIDs des Aufrufenden prüfen, verwenden effektive Kennungen. Aus historischen Gründen verwendet die Prüfung \fBPTRACE_MODE_REALCREDS\fP stattdessen die realen Kennungen.) .IP (3) Zugriff verweigern, falls \fIkeines\fP der Folgenden wahr ist: .RS .IP \[bu] 3 Die reale, effektive und saved\-set\-Benutzerkennungen des Zieles passen auf die der Benutzerkennung des Aufrufenden \fIund\fP die reale, effektive und saved\-set\-Gruppenkennung des Zieles passen auf die der Gruppenkennung des Aufrufenden. .IP \[bu] Der Aufrufende verfügt über die Capability \fBCAP_SYS_PTRACE\fP in dem Benutzernamensraum des Ziels. .RE .IP (4) Verweigert den Zugriff, falls das Attribut »dumpable« einen anderen Wert als 1 (\fBSUID_DUMP_USER\fP, siehe die Diskussion von \fBPR_SET_DUMPABLE\fP in \fBprctl\fP(2)) hat und der Aufrufende nicht über die Capability \fBCAP_SYS_PTRACE\fP in dem Benutzernamensraum des Zielprozesses verfügt. .IP (5) .\" (in cap_ptrace_access_check()): Die Schnittstelle \fIsecurity_ptrace_access_check\fP() wird aufgerufen, um zu erkennen, ob Ptrace\-Zugriff erlaubt ist. Das Ergebnis hängt von dem/den LSM(en) ab. Die Implementierung dieser Schnittstelle im LSM Commoncap führt die folgenden Schritte durch: .RS .IP (5.1) 7 Falls der Zugriffsmodus \fBPTRACE_MODE_FSCREDS\fP enthält, dann wird die \fIeffektive\fP Capability\-Menge des Aufrufenden in der nachfolgenden Prüfung verwandt, andernfalls (der Zugriffsmodus legt \fBPTRACE_MODE_REALCREDS\fP fest) wird die \fIerlaubte\fP Capability\-Menge des Aufrufenden verwandt. .IP (5.2) Zugriff verweigern, falls \fIkeines\fP der Folgenden wahr ist: .RS .IP \[bu] 3 Der aufrufende und der Zielprozess sind im gleichen Benutzernamensraum und die Capabilitys des Aufrufenden sind eine Obermenge der \fIerlaubten\fP Capabilitys des Zielprozesses. .IP \[bu] Der Aufrufende verfügt über die Capability \fBCAP_SYS_PTRACE\fP in dem Benutzernamensraum des Zielprozesses. .RE .IP Beachten Sie, dass das LSM Commoncap nicht zwischen \fBPTRACE_MODE_READ\fP und \fBPTRACE_MODE_ATTACH\fP unterscheidet. .RE .IP (6) .\" .\""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" .\" Falls der Zugriff in den vorhergehenden Schritten nicht verweigert wurde, dann wird er erlaubt. .SS /proc/sys/kernel/yama/ptrace_scope .\" commit 2d514487faf188938a4ee4fb3464eeecfbdcf8eb Auf Systemen, auf denen das Yama Linux Security Module (LSM) installiert (d.h. der Kernel mit \fBCONFIG_SECURITY_YAMA\fP konfiguriert worden) ist, kann die Datei \fI/proc/sys/kernel/yama/ptrace_scope\fP (verfügbar seit Linux 3.4) zum Einschränken der Nachverfolgung von Prozessen mit \fBptrace\fP() verwandt werden (und damit auch die Möglichkeit, Werkzeuge wie \fBstrace\fP(1) und \fBgdb\fP(1) zu verwenden). Das Ziel einer solchen Einschränkung besteht darin, Angriffseskalationen zu vermeiden, bei denen ein kompromittierter Prozess sich mittels Ptrace\-attach an andere sensitive Prozesse (z.B. einem GPG\-Agenten oder einer SSH\-Sitzung), die dem Benutzer gehören, anhängen könnte, um zusätzliche Berechtigungsnachweise zu erlangen, die im Speicher existieren, und damit den Umfang des Angriffs zu erhöhen. .P Genauer gesagt begrenzt die Yama LSM zwei Arten von Aktionen: .IP \[bu] 3 Jede Aktion, die eine Ptrace\-Zugriffsmodusprüfung \fBPTRACE_MODE_ATTACH\fP durchführt – beispielsweise \fBptrace\fP() \fBPTRACE_ATTACH\fP. (Siehe die obige Diskussion »Ptrace\-Zugriffsmodusüberprüfung«). .IP \[bu] \fBptrace\fP() \fBPTRACE_TRACEME\fP. .P Ein Prozess, der über die Capability \fBCAP_SYS_PTRACE\fP verfügt, kann die Datei \fI/proc/sys/kernel/yama/ptrace_scope\fP mit einem der folgenden Werte aktualisieren: .TP 0 (»klassische Ptrace\-Berechtigungen«) Keine zusätzlichen Beschränkungen bei Aktionen, die \fBPTRACE_MODE_ATTACH\fP\-Überprüfungen durchführen (die über die von Commoncap und anderen LSMs hinausgehen). .IP \fBPTRACE_TRACEME\fP wird unverändert verwandt. .TP 1 (»eingeschränkter Ptrace«) [Vorgabewert] Wenn eine Aktion durchgeführt wird, die eine \fBPTRACE_MODE_ATTACH\fP\-Überprüfung benötigt, muss der aufrufende Prozess entweder über die Capability \fBCAP_SYS_PTRACE\fP in dem Benutzernamensraum des Zielprozesses verfügen oder er muss eine vorbestimmte Beziehung zum Zielprozess haben. Standardmäßig ist die vorbestimmte Beziehung, dass der Zielprozess ein Nachkomme des Aufrufenden sein muss. .IP .\" commit 90bb766440f2147486a2acc3e793d7b8348b0c22 Ein Zielprozess kann die \fBprctl\fP(2)\-Aktion \fBPR_SET_PTRACER\fP einsetzen, um eine zusätzliche PID zu erklären, der es erlaubt ist, \fBPTRACE_MODE_ATTACH\fP\-Aktionen auf dem Ziel durchzuführen. Siehe die Kernelquelldatei \fIDocumentation/admin\-guide/LSM/Yama.rst\fP (oder \fIDocumentation/security/Yama.txt\fP vor Linux 4.13) für weitere Details. .IP \fBPTRACE_TRACEME\fP wird unverändert verwandt. .TP 2 (»nur Admin\-Anhängung«) Nur Prozesse mit der Capability \fBCAP_SYS_PTRACE\fP im Benutzernamensraum des Zielprozesses dürfen \fBPTRACE_MODE_ATTACH\fP\-Aktionen durchführen oder Kinder, die \fBPTRACE_TRACEME\fP einsetzen, verfolgen. .TP 3 (»keine Anhängung«) Kein Prozess darf \fBPTRACE_MODE_ATTACH\fP\-Aktionen durchführen oder Kindprozesse verfolgen, die \fBPTRACE_TRACEME\fP einsetzen. .IP Sobald dieser Wert in die Datei geschrieben wurde, kann er nicht mehr geändert werden. .P .\" .\""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" .\" Beachten Sie im Hinblick auf die Werte 1 und 2, dass die Erstellung eines neuen Benutzernamensraums effektiv den durch Yama bereitgestellten Schutz entfernt. Dies rührt daher, dass der Prozess in dem Elternbenutzerraum, dessen effektive UID auf die UID des Erstellers des Kindnamensraums passt, über alle Capabilitys (einschließlich \fBCAP_SYS_PTRACE\fP) verfügt, wenn er Aktionen innerhalb des Kindnamensraums (und weiter entfernter Nachkommen dieses Namensraums) durchführt. Wenn ein Prozess versucht, einen Benutzernamensraum zu verwenden, um sich in eine Sandbox zu bringen, wird er konsequenterweise den durch das Yama LSM bereitgestellten Schutz schwächen. .SS "Unterschiede C\-Bibliothek/Kernel" Auf der Systemaufrufebene haben die Aktionen \fBPTRACE_PEEKTEXT\fP, \fBPTRACE_PEEKDATA\fP und \fBPTRACE_PEEKUSER\fP eine unterschiedliche Programmierschnittstelle: Sie speichern das Ergebnis an der durch den Parameter \fIDaten\fP angegebenen Adresse und der Rückgabewert ist ein Fehlercode. Die Glibc\-Wrapper\-Funktion stellt die oben in BESCHREIBUNG angegebene Programmierschnittstelle bereit. Ihr Ergebnis wird über den Rückgabewert der Funktion zurückgegeben. .SH FEHLER Auf Rechnern mit 2.6 Linux\-Headern ist \fBPTRACE_SETOPTIONS\fP mit einem anderen Wert deklariert, als auf einem für 2.4. Dies führt dazu, dass Anwendungen, die mit 2.6\-Linux\-Headern kompiliert wurden, bei der Ausführung auf 2.4er Kerneln scheitern. Dies kann durch Neudefinieren von \fBPTRACE_SETOPTIONS\fP zu \fBPTRACE_OLDSETOPTIONS\fP umgangen werden, wenn dies definiert ist. .P Gruppenstoppbenachrichtigungen werden an der Verfolger gesandt, aber nicht an den echten Elternprozess. Zuletzt auf 2.6.38.6 bestätigt. .P .\" Note from Denys Vlasenko: .\" Here "exits" means any kind of death - _exit, exit_group, .\" signal death. Signal death and exit_group cases are trivial, .\" though: since signal death and exit_group kill all other threads .\" too, "until all other threads exit" thing happens rather soon .\" in these cases. Therefore, only _exit presents observably .\" puzzling behavior to ptrace users: thread leader _exit's, .\" but WIFEXITED isn't reported! We are trying to explain here .\" why it is so. .\" FIXME . need to test/verify this scenario Falls ein führender Thread einer Gruppe verfolgt und durch den Aufruf von \fB_exit\fP(2) beendet wird, wird es für ihn zu einem \fBPTRACE_EVENT_EXIT\fP\-Stopp kommen (falls angefordert), aber die nachfolgende \fBWIFEXITED\fP\-Benachrichtigung wird nicht gesandt, bis alle anderen Threads beendet sind. Wie oben erklärt, wird der Tod des führenden Prozesses der Gruppe gemeldet, falls einer der anderen Threads \fBexecve\fP(2) aufruft. Falls der ausgeführte Thread nicht durch den Verfolger verfolgt wird, wird der Verfolger niemals erfahren, dass \fBexecve\fP(2) auftrat. Eine mögliche Notlösung ist ein \fBPTRACE_DETACH\fP für den führenden Thread der Gruppe, anstatt ihn in diesem Fall neu zu starten. Zuletzt auf 2.6.38.6 bestätigt. .P Ein \fBSIGKILL\fP\-Signal kann immer noch einen \fBPTRACE_EVENT_EXIT\fP\-Stopp vor dem tatsächlichen Signaltod verursachen. Dies könnte in Zukunft geändert werden; \fBSIGKILL\fP ist dazu gedacht, Aufgaben immer sofort zu killen, sogar unter Ptrace. Zuletzt auf Linux 3.13 bestätigt. .P Einige Systemaufrufe kehren mit \fBEINTR\fP zurück, falls ein Signal an den verfolgten Prozess gesandt, die Auslieferung aber durch den Verfolger unterdrückt wurde. (Dies ist eine ganz typische Aktion: Sie wird normalerweise von Fehlersuchprogrammen bei jedem Anhängen durchgeführt, um kein fingiertes \fBSIGSTOP\fP einzuleiten.) Ab Linux 3.2.9 werden die folgenden Systemaufrufe beeinflusst (diese Liste ist wahrscheinlich nicht vollständig): \fBepoll_wait\fP(2) und \fBread\fP(2) von einem \fBinotify\fP(7)\-Dateideskriptor. Das übliche Anzeichen für diesen Fehler ist, falls Sie einen ruhenden Prozess mit dem Befehl .P .in +4n .EX strace \-p .EE .in .P anhängen, dass Sie statt der erwarteten einzeiligen Ausgabe, wie .P .in +4n .EX restart_syscall(<… resuming interrupted call …>_ .EE .in .P oder .P .in +4n .EX select(6, [5], NULL, [5], NULL_ .EE .in .P ('_' kennzeichnet die Cursor\-Position) mehr als eine Zeile beobachten können, zum Beispiel: .P .in +4n .EX clock_gettime(CLOCK_MONOTONIC, {15370, 690928118}) = 0 epoll_wait(4,_ .EE .in .P Was hier nicht sichtbar ist, ist, dass der Prozess in \fBepoll_wait\fP(2) blockiert wurde, bevor \fBstrace\fP(1) an ihn angehängt hat. Das Anhängen verursachte ein \fBepoll_wait\fP(2), um zum Anwendungsraum mit dem Fehler \fBEINTR\fP zurückzukehren. In diesem besonderen Fall reagiert das Programm auf \fBEINTR\fP, indem die aktuelle Zeit geprüft und dann \fBepoll_wait\fP(2) erneut ausgeführt wird. (Programme, die keine derartigen »verirrten« \fBEINTR\fP\-Fehler erwarten, können sich bei einem \fBstrace\fP(1)\-Anhängen in unbeabsichtigter Weise verhalten.) .P Entgegen den normalen Regeln kann der Glibc\-Wrapper für \fBptrace\fP() \fIerrno\fP auf Null setzen. .SH "SIEHE AUCH" \fBgdb\fP(1), \fBltrace\fP(1), \fBstrace\fP(1), \fBclone\fP(2), \fBexecve\fP(2), \fBfork\fP(2), \fBgettid\fP(2), \fBprctl\fP(2), \fBseccomp\fP(2), \fBsigaction\fP(2), \fBtgkill\fP(2), \fBvfork\fP(2), \fBwaitpid\fP(2), \fBexec\fP(3), \fBcapabilities\fP(7), \fBsignal\fP(7) .PP .SH ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Patrick Rother , Chris Leick , Mario Blättermann und Helge Kreutzmann erstellt. .PP Diese Übersetzung ist Freie Dokumentation; lesen Sie die .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .UE oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. .PP Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die .MT debian-l10n-german@lists.debian.org Mailingliste der Übersetzer .ME .