Python: 将任意Bytecode注入运行中的Python进程

python scott 237℃ 0评论

在调试 Python 程序的时候,一般我们只能通过以下几种方式进行调试:

  1. 程序中已经有的日志
  2. 在代码中插入 import pdb; pdb.set_trace()

但是以上的方法也有不方便的地方, 比如对于已经在运行中的程序, 就不可能停止程序后加入 调试代码和增加新的日志.

从 JAVA 的
BTrace( https://kenai.com/projects/btrace
) 项目得到灵感,尝试对正在运行的 Python进程插入代码,在程序运行到指定的函数后,自动连接远程主机进行调试

首先介绍三个开源的项目, 本实验需要用到这三个项目

  1. Pyasitehttps://github.com/lmacken/pyrasite
    Tools for injecting code into running Python processes
  2. Byteplayhttps://github.com/serprex/byteplay
    一个字节码维护项目,类似 java的asm/cglib
  3. Rpdb-Shellhttps://github.com/alex8224/Rpdb-Shell

待注入的代码, 用官方的 tornado hello demo做例子

1
2
3
4
5
6
7
8
9
10
11
12
13
import tornado.ioloop
import tornado.web
import os
class MainHandler(tornado.web.RequestHandler):
    def get(self):     
        self.write("Hello, world>")    
application = tornado.web.Application([
    (r"/>", MainHandler),
])
if __name__ == "__main__>":
    application.listen(8888)
    print(os.getpid())
    tornado.ioloop.IOLoop.instance().start()

注入以下代码( testinject.py)到 get中

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
import sys
import dis
import inspect
from byteplay import *
def wearedcode(fcode):
    c = Code.from_code(fcode)
    if c.code[1] == (LOAD_CONST, 'injected'):
        return fcode
    c.code[1:1] = [
                    (LOAD_CONST, injected'), (STORE_FAST, 'name'),
                    (LOAD_FAST, '
name'),
                    (PRINT_ITEM, None), (PRINT_NEWLINE, None),
                    (LOAD_CONST, -1), (LOAD_CONST, None),
                    (IMPORT_NAME, '
rpdb'), (STORE_FAST, 'rpdb'),
                    (LOAD_FAST, '
rpdb'), (LOAD_ATTR, 'trace_to_remote'),
                    (LOAD_CONST, '
10.86.11.116'), (CALL_FUNCTION, 1),
                     (POP_TOP, None)
                  ]
    return c.to_code()
def trace(frame, event, arg):
    if event != '
call':
        return
    co = frame.f_code
    func_name = co.co_name
    if func_name == "write>":
        return
    if func_name == "get>":
        import tornado.web
        args = inspect.getargvalues(frame)
        if '
self' in args.locals:
            if isinstance(args.locals['
self'], tornado.web.RequestHandler):
                getmethod = args.locals['
self'].get
                code = getmethod.__func__.__code__
                getmethod.__func__.__code__ = wearedcode(code)
        return
sys.settrace(trace)

环境

  1. ubuntu 14.04 64bit LTS
  2. Python 2.7.6

步骤

  1. 在机器上安装上面需要用到的三个项目
  2. python server.py
  3. 192.168.1.1执行 nc -l 4444
  4. pyrasite $(ps aux |grep server.py |grep -v grep|awk ‘{print $2}’) testinject.py
  5. 执行 curl http://localhost:8000
    两次, 在第二次请求时替换的 bytecode才会生效

结果

在执行上面的步骤后, 在执行第二次 curl http://127.0.0.1:8000
后, 应该能够看到控制台输入 injected 的字样,并且 nc -l 4444 监听的终端会出现 (pdb)>的字样, 这样就能够对正在运行中的程序进行调试了.

原理

**Pyasite**可以注入代码到运行中的 Python 进程,它利用了 Python 的 PyRun_SimpleString这个API插入代码, 至于进程注入应该是使用了 ptrace

Byteplay是一个可以维护 Python bytecode的工具, 这部分跟 cglib/asm类似

**Pyasite**只能把代码注入到进程中并运行,不能定位到具体的函数并注入 bytecode, 在 testinject.py中结合 Byteplay 完成了函数定位和替换 get 函数字节码的功能.

函数的定位用到了 sys.settrace 这个API,他提供了以下事件,在合适的时机调用用户提供的函数, 具体可以参考 https://docs.python.org/2/library/sys.html#sys.settrace
的解释

理论上可以插入任意字节码到程序中的任意位置, 实现对现有进程中代码的任意修改.

原文:http://segmentfault.com/a/1190000002783940

转载请注明:osetc.com » Python: 将任意Bytecode注入运行中的Python进程

喜欢 (0)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址