將任意Bytecode注入運行中的Python進程

標籤：

在調試 Python 程式的時候，一般我們只能通過以下幾種方式進行調試:


1. 程式中已經有的日誌
2. 在代碼中插入 import pdb; pdb.set_trace()


但是以上的方法也有不方便的地方，　比如對於已經在運行中的程式，　就不可能停止程式後加入 調試代碼和增加新的日誌．


從 JAVA 的 BTrace（https://kenai.com/projects/btrace） 項目得到靈感，嘗試對正在啟動並執行 Python 進程插入代碼，在程式運行到指定的函數後，自動連接遠程主機進行調試


首先介紹三個開源的項目，　本實驗需要用到這三個項目

1. Pyasite https://github.com/lmacken/pyrasite Tools for injecting code into running Python processes
2. Byteplay https://github.com/serprex/byteplay 一個位元組碼維護項目，類似 java的asm/cglib
3. Rpdb-Shell https://github.com/alex8224/Rpdb-Shell


待注入的代碼, 用官方的　``tornado hello demo`` 做例子

import tornado.ioloopimport tornado.webimport osclass MainHandler(tornado.web.RequestHandler):    def get(self):                self.write("Hello, world")        application = tornado.web.Application([    (r"/", MainHandler),])if __name__ == "__main__":    application.listen(8888)    print(os.getpid())    tornado.ioloop.IOLoop.instance().start()

注入以下代碼(``testinject.py``)到 **get** 中

import sysimport disimport inspectfrom byteplay import *def wearedcode(fcode):    c = Code.from_code(fcode)    if c.code[1] == (LOAD_CONST, ‘injected‘):        return fcode    c.code[1:1] = [                    (LOAD_CONST, injected‘), (STORE_FAST, ‘name‘),                    (LOAD_FAST, ‘name‘),                     (PRINT_ITEM, None), (PRINT_NEWLINE, None),                    (LOAD_CONST, -1), (LOAD_CONST, None),                     (IMPORT_NAME, ‘rpdb‘), (STORE_FAST, ‘rpdb‘),                     (LOAD_FAST, ‘rpdb‘), (LOAD_ATTR, ‘trace_to_remote‘),                     (LOAD_CONST, ‘10.86.11.116‘), (CALL_FUNCTION, 1),                     (POP_TOP, None)                  ]     return c.to_code()def trace(frame, event, arg):    if event != ‘call‘:        return    co = frame.f_code    func_name = co.co_name    if func_name == "write":        return    if func_name == "get":        import tornado.web        args = inspect.getargvalues(frame)        if ‘self‘ in args.locals:            if isinstance(args.locals[‘self‘], tornado.web.RequestHandler):                getmethod = args.locals[‘self‘].get                code = getmethod.__func__.__code__                getmethod.__func__.__code__ = wearedcode(code)        returnsys.settrace(trace)

##環境


1. ubuntu 14.04 64bit LTS
2. Python 2.7.6


##步驟


1. 在機器上安裝上面需要用到的三個項目
2. python server.py
4. 在 ``192.168.1.1`` 執行 ``nc -l 4444``
3. pyrasite $(ps aux |grep server.py |grep -v grep|awk ‘{print $2}‘) testinject.py
4. 執行 curl http://localhost:8000 兩次，　在第二次請求時替換的 ``bytecode`` 才會生效


##結果


在執行上面的步驟後，　在執行第二次 curl http://127.0.0.1:8000 後，　應該能夠看到控制台輸入 injected 的字樣，並且 nc -l 4444 監聽的終端會出現 ``(pdb)>`` 的字樣，　這樣就能夠對正在運行中的程式進行調試了．


##原理


``**Pyasite**`` 可以注入代碼到運行中的 Python 進程，它利用了 Python 的 ``PyRun_SimpleString`` 這個API插入代碼，　至於進程注入應該是使用了 ``ptrace``
``Byteplay`` 是一個可以維護 Python bytecode的工具，　這部分跟 cglib/asm類似


``**Pyasite**`` 只能把代碼注入到進程中並運行，不能定位到具體的函數並注入 bytecode, 在 ``testinject.py`` 中結合 Byteplay 完成了函數定位和替換 get 函數位元組碼的功能．


函數的定位用到了 sys.settrace 這個API,他提供了以下事件，在合適的時機調用使用者提供的函數, 具體可以參考 https://docs.python.org/2/library/sys.html#sys.settrace　的解釋


理論上可以插入任意位元組碼到程式中的任意位置，　實現對現有進程中代碼的任意修改．

將任意Bytecode注入運行中的Python進程