linux系统调用追踪及调试

已于 2022-09-09 15:27:20 修改
阅读量1.8k 收藏 2
点赞数
分类专栏: linux 编译&工具 文章标签: linux 内核
于 2020-08-03 18:14:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37797953/article/details/107769953
版权

目录

一 自定义创建syscall debug系统调用

1 添加系统调用号

2 申明一个系统调用

3 实现系统调用

4 内核使用核系统调用

5 内核和用户使用

二 使用strace工具

本文介绍调试系统调用的两种方法

一 自定义创建syscall debug系统调用

自定义的debug系统调用需要自己申请一个系统调用接口,用一个flag的标志来控制打印。

平台aarch64

1 添加系统调用号

diff --git a/include/uapi/asm-generic/unistd.h b/include/uapi/asm-generic/unistd.h
index d901272..ea4d459 100644
--- a/include/uapi/asm-generic/unistd.h
+++ b/include/uapi/asm-generic/unistd.h
@@ -740,9 +740,13 @@ __SC_COMP(__NR_io_pgetevents, sys_io_pgetevents, compat_sys_io_pgetevents)
 __SYSCALL(__NR_rseq, sys_rseq)
 #define __NR_kexec_file_load 294
 __SYSCALL(__NR_kexec_file_load,     sys_kexec_file_load)
+#define __NR_debug_syscall 295
+__SYSCALL(__NR_debug_syscall, sys_debug_syscall)
+
 
 #undef __NR_syscalls
-#define __NR_syscalls 295
+/* #define __NR_syscalls 296 */
+#define __NR_syscalls 300

该实验是在linux5.0中进行的,平台ARM64,默认只有295个系统调用。当添加一个系统调用需要人为修改系统调用个数。

x86的修改

diff --git a/arch/x86/entry/syscalls/syscall_64.tbl b/arch/x86/entry/syscalls/syscall_64.tbl
index 18b5500ea8bf..f142ffc74dec 100644
--- a/arch/x86/entry/syscalls/syscall_64.tbl
+++ b/arch/x86/entry/syscalls/syscall_64.tbl
@@ -370,7 +370,7 @@
 446    common  landlock_restrict_self  sys_landlock_restrict_self
 447    common  memfd_secret            sys_memfd_secret
 448    common  process_mrelease        sys_process_mrelease
-
+449 common  debug_syscall              sys_debug_syscall
 #
 # Due to a historical design error, certain syscalls are numbered differently
 # in x32 as compared to native x86_64.  These syscalls have numbers 512-547.

2 申明一个系统调用

diff --git a/include/linux/syscalls.h b/include/linux/syscalls.h
index 257cccb..d0954ed 100644
--- a/include/linux/syscalls.h
+++ b/include/linux/syscalls.h
@@ -1315,4 +1315,6 @@ static inline unsigned int ksys_personality(unsigned int personality)
 	return old;
 }
 
+asmlinkage long sys_debug_syscall(int enable);
+
 #endif

3 实现系统调用

diff --git a/kernel/sys.c b/kernel/sys.c
index f7eb62e..f5c39bb 100644
--- a/kernel/sys.c
+++ b/kernel/sys.c
@@ -2583,6 +2583,20 @@ SYSCALL_DEFINE1(sysinfo, struct sysinfo __user *, info)
 	return 0;
 }
 
+int syscall_debug_enable;
+EXPORT_SYMBOL(syscall_debug_enable);
+
+SYSCALL_DEFINE1(debug_syscall, int, enable)
+{
+	if (enable)
+		syscall_debug_enable = 1;
+	else
+		syscall_debug_enable = 0;
+
+	return 0;
+}
+
+
 #ifdef CONFIG_COMPAT
 struct compat_sysinfo {
 	s32 uptime;

创建的系统调用函数为debug_syscall,作用是控制一个全局变量。其中的参数enable来自用户层。

4 内核使用核系统调用

diff --git a/include/linux/kernel.h b/include/linux/kernel.h
index 8f0e68e..c4f1a58 100644
--- a/include/linux/kernel.h
+++ b/include/linux/kernel.h
@@ -1033,4 +1033,25 @@ static inline void ftrace_dump(enum ftrace_dump_mode oops_dump_mode) { }
 	 /* OTHER_WRITABLE?  Generally considered a bad idea. */		\
 	 BUILD_BUG_ON_ZERO((perms) & 2) +					\
 	 (perms))
+
+#define syscall_debug(...)				\
+({										\
+	 extern int syscall_debug_enable;	\
+	 if (syscall_debug_enable)			\
+		pr_notice(__VA_ARGS__);			\
+})
+
+#define syscall_debug_enable()			\
+({										\
+	 extern int syscall_debug_enable;	\
+	 syscall_debug_enable = 1			\
+})
+
+#define syscall_debug_disable()			\
+({										\
+	 extern int syscall_debug_enable;	\
+	 syscall_debug_enable = 0			\
+})
+
+
 #endif

上述实现的系统调用,我们在内核中用来做打印开关使用,见 syscall_debug 实现,可以像prink一样使用这个接口

5 内核和用户使用

介绍内核和用户两种使用方法

内核里使用:要打印的地方使用syscall_debug_enable函数,然后任性打印,完事后使用syscall_debug_disable函数

应用层使用:

明确系统调用号

#define __NR_debug_syscall 295

使用接口syscall

       #include <unistd.h>
       #include <sys/syscall.h>   /* For SYS_xxx definitions */

       long syscall(long number, ...);

比如开启打印

syscall(__NR_debug_syscall, 1);

关闭打印

syscall(__NR_debug_syscall, 0);

注意内核里直接使用syscall_debug代替printk

手动添加的方法可以追踪目标系统调用。往往一个函数陷入内核会触发多个系统调用,添加上述调试代码可以避免这个问题。

二 使用strace工具

平台aarch64

下载源码GitHub - strace/strace: strace is a diagnostic, debugging and instructional userspace utility for Linux

解压进入目录

执行

./bootstrap

sudo ./configure --prefix=/xxx/strace/output-aarch64/ --host=aarch64-linux CC=/xxx/bin/aarch64-linux-gnu-gcc LD=/xxx/bin/aarch64-linux-gnu-ld --enable-mpers=no

sudo make LDFLAGS+='-static -pthread'    静态编译,如果不需要静态编译直接make

make install

生成如下tree output-aarch64/
output-aarch64/
├── bin
│   ├── strace
│   ├── strace-graph
│   └── strace-log-merge
└── share
    └── man
        └── man1
            ├── strace.1
            └── strace-log-merge.1

4 directories, 5 files

将strace工具放根文件系统就可以使用了

来追一下

 ./strace /mnt/my_fork
execve("/mnt/my_fork", ["/mnt/my_fork"], 0x7fff6c5680 /* 8 vars */) = 0
brk(NULL)                               = 0x28151000
faccessat(AT_FDCWD, "/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
openat(AT_FDCWD, "/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
openat(AT_FDCWD, "/lib/tls/aarch64/libc.so.6", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
newfstatat(AT_FDCWD, "/lib/tls/aarch64", 0x7febd1b840, 0) = -1 ENOENT (No such file or directory)
openat(AT_FDCWD, "/lib/tls/libc.so.6", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
newfstatat(AT_FDCWD, "/lib/tls", 0x7febd1b840, 0) = -1 ENOENT (No such file or directory)
openat(AT_FDCWD, "/lib/aarch64/libc.so.6", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
newfstatat(AT_FDCWD, "/lib/aarch64", 0x7febd1b840, 0) = -1 ENOENT (No such file or directory)
openat(AT_FDCWD, "/lib/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0\267\0\1\0\0\0h\370\1\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=15355504, ...}) = 0
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f923e7000
mmap(NULL, 1360488, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7f92273000
mprotect(0x7f923a6000, 65536, PROT_NONE) = 0
mmap(0x7f923b6000, 24576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x133000) = 0x7f923b6000
mmap(0x7f923bc000, 12904, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7f923bc000
close(3)                                = 0
mprotect(0x7f923b6000, 16384, PROT_READ) = 0
mprotect(0x410000, 4096, PROT_READ)     = 0
mprotect(0x7f923eb000, 4096, PROT_READ) = 0
clone(child_stack=NULL, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0x7f923e7c20) = 1254
fstat(1, {st_mode=S_IFCHR|0600, st_rdev=makedev(0x5, 0x1), ...}) = 0
=====child=====
ioctl(1, TCGETS, {B38400 opost isig icanon echo ...}) = 0
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=1254, si_uid=0, si_status=0, si_utime=0, si_stime=0} ---
brk(NULL)                               = 0x28151000
brk(0x28173000)                         = 0x28173000
write(1, "=====parent=====\n", 17=====parent=====
)      = 17
nanosleep({tv_sec=1, tv_nsec=0}, 0x7febd1c680) = 0
exit_group(0)                           = ?
+++ exited with 0 +++

=========================================================================

编译方法也可以使用参考的方法

vi build_static_example.sh

修改BUILDFLAG="--prefix=/xxx/strace/output-aarch64/ --host=aarch64-linux CC=/xxx/bin/aarch64-linux-gnu-gcc LD=/xxx/bin/aarch64-linux-gnu-ld --enable-mpers=no"

修改CC=“/xxx/bin/aarch64-linux-gnu-gcc”

在CFLAGS中添加 -pthread

sudo执行脚本

LuckY_chh
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux之strace命令跟踪进程的系统调用
码莎拉蒂
06-04 4965
1 系统调用 操作系统的进程空间分为用户空间和内核空间,操作系统内核直接运行在硬件上,提供设备管理、内存管理、任务调度等功能,我们用户空间不能直接调用,所以就有了系统调用(运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务),系统调用提供用户程序与操作系统之间的接口。用户空间通过API请求内核空间的服务来完成其功能——内核提供给用户空间的这些API, 就是系统调用Linux内核目前有...
apue 第4章 文件和目录
编码之路
09-07 1943
函数stat,fstat,fstatat, lstat#include <sys/stat.h>int stat(const char *restrict pathname, struct stat *restrict buf); int fstat(int fd, struct stat *buf); int lstat(const char *restrict pathname, struct
Linux应用调试之使用strace命令跟踪系统调用
cumtchw
08-16 922
Linux应用调试之使用strace命令跟踪系统调用
Linux中使用strace跟踪系统调用
cumo3681的博客
06-14 261
成为系统管理员就是要了解维护机器背后的情况。 当服务运行或执行命令时,真正发生了什么? strace是一种可帮助系统管理员掌握程序与程序在其下的操作系统之间的交互方式的工具。 要了解有关strace的更多信息,我们与Alex Juarez联系,后者将在SCaLE 14x上发表演讲 : 您的系统调用和您:使用strace的简要探索 。 亚历克斯(Alex)是Rackspace的首席工程师...
linux strace 跟踪进程中的系统调用
qq_22885233的博客
03-28 404
strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通过系统调用访问硬件设备。strace可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间。 每一行都是一条系统调用,等号左边是系统调用的函数名及其参数,右边是该调用的返回值。 strace 显示这些调用的参数并返回符号形式的值。strace 从内核接收信息,而且不需要以任何特殊的方式来构建内核
调试系统调用
weixin_34025151的博客
04-05 102
这篇是网易云课堂《Linux内核分析》这门课的作业 这周的作业是用GDB调试系统调用。我断点倒是能打上,但是单步执行的时候总是乱跳,而且变量值也查不到,都是optimized out。查了下好像是因为编译优化的问题。目前我也没有什么好办法。不管了先把实验截图和流程图发上来。 转载于:https://www.cnblogs.com/nmyh/p/4393962.html...
Oracle 进程追踪调试Linux系统
01-09
说明:本文为Linux下Oracle进程追踪调试指导手册, 标签:strace、进程追踪、进程调试、Oracle进程追踪调试 温馨提示:如果您发现本文哪里写的有问题或者有更好的写法请留言或私信我进行修改优化 正文开始 大纲 –...
L4 Linux系统调用1
08-03
通过`strace`工具,可以追踪这些命令执行时所调用系统调用,这对于理解和调试程序非常有用。 【系统调用处理程序和服务例程】 当系统调用发生时,CPU会保存用户态的上下文,包括寄存器内容,并跳转到内核中的...
trinity:Linux系统调用模糊器
03-11
3. **动态跟踪**:Trinity利用动态追踪技术(如ptrace或FUSE)监控系统调用的执行过程,以检测异常行为。 4. **崩溃恢复**:当模糊测试导致目标程序崩溃时,Trinity有能力记录崩溃现场,便于后续分析和调试。 5. *...
Linux追踪函数调用,打印栈帧
01-09
也是是Pop出来的对象没有Push回去,情况很难复现,所以在Pop里的打印日志,跟踪是谁调用了它,我想在GDB调试里可以追踪调用的栈帧,那也一定有方法实现。首先上网搜索了一下,并没有结果!还好代码量不是很多,只能...
Linux调试Bv8.35.rar
02-05
以上只是Linux调试的一些基本概念,实际使用中还需要深入理解Linux内核结构、系统调用接口、驱动程序工作原理等专业知识。对于Linux开发者而言,掌握这样的调试工具和技巧是提高工作效率和解决复杂问题的关键。
Linux 函数调用跟踪
SHELLCODE_8BIT的博客
02-02 212
LD_DEBUG
Linux_strace_追踪进程使用到的系统调用
guoqignrus的博客
08-20 234
前言 strace是个功能强大的Linux调试分析诊断工具,可用于跟踪程序执行时进程系统调用(system call)和所接收的信号,尤其是针对源码不可读或源码无法再编译的程序。在Linux系统中,用户进程不能直接访问计算机硬件设备。当进程需要访问硬件设备(如读取磁盘文件或接收网络数据等)时,必须由用户态模式切换至内核态模式,通过系统调用访问硬件设备。strace可跟踪进程产生的系统调用,包括参数、返回值和执行所消耗的时间。若strace没有任何输出,并不代表此时进程发生阻塞;也可能程序进...
Linux: 系统调用追踪原理简析
JiMoKuangXiangQu的专栏
02-09 909
linux,ptrace,strace,系统调用追踪
Linux 系统调用追踪命令 strace
择一事终一生
08-27 1949
strace是个功能强大的Linux调试分析诊断工具,可用于跟踪程序执行时进程系统调用(system call)和所接收的信号,尤其是针对源码不可读或源码无法再编译的程序。在Linux系统中,用户进程不能直接访问计算机硬件设备。当进程需要访问硬件设备(如读取磁盘文件或接收网络数据等)时,必须由用户态模式切换至内核态模式,通过系统调用访问硬件设备。strace可跟踪进程产生的系统调用,包括参数、返回值和执行所消耗的时间。若strace没有任何输出,并不代表此时进程发生阻塞;也可能程序进程正在执行某些不需要与系
万字解析Linux内核调试之动态追踪
youzhangjing_的博客
03-30 686
动态追踪技术,是通过探针机制来采集内核或者应用程序的运行信息,从而可以不用修改内核或应用程序的代码,就获得调试信息,对问题进行分析、定位。通常在排查和调试异常问题时,我们首先想到的是使用 GDB 在程序运行路径上设置断点,然后结合命令进行分析定位;或者,在程序源码中增加一系列的日志,从日志输出中寻找线索。不过,断点往往会中断程序的正常运行;而增加新的日志,往往需要重新编译和部署。在面对偶现问题以及对时延要求严格的场景下,GDB 和增加日志的方式就不能满足需求了。
Syscall系统调用Linux内核跟踪
shengyin714959的博客
05-24 389
也就是说,所有系统调用都从用户空间中汇聚到0x80中断点,同时保存具体的系统调用号。当0x80中断处理程序运行时,将根据系统调用号对不同的系统调用分别处理,即调用不同的内核函数进行处理。实际上,真正调用的是系统函数syscall(SYS_read),即sys_read()函数。fget_light() :根据 fd 指定的索引,从当前进程描述符中取出相应的 file 对象(见图3)。##name是系统调用号,##指的是两次宏展开.即用实际的系统调用名字代替”name”,然后再把__NR。
【嵌入式开发 Linux 常用命令系列 10 -- linux 必用 跟踪系统调用和信号 命令 strace 详细介绍 】
最新发布
CodingCos的博客
08-16 220
strace是一种在Linux环境下帮助程序员诊断、调试和理解程序运行的工具。通过追踪程序执行过程中的系统调用和信号传递,strace提供了一个"在运行时查看"程序的方式。strace [ 选项 ] 命令-c: 统计每一系统调用的所执行的时间,次数和出错的次数等;-d: 输出strace关于标准错误的调试信息;-f: 跟踪由fork调用所产生的子进程;如果提供,则所有进程的跟踪结果输出到相应的中,pid是各进程的进程号;-F: 尝试跟踪vfork调用。在-f时,vfork调用有些特殊;-i。
linux 跟踪命令执行过程,strace命令_Linux strace 命令用法详解:跟踪系统调用和信号...
weixin_30280259的博客
05-03 711
strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通 过系统调用访问硬件设备。strace可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间。strace命令是一个集诊断、调试、统计与一体的工具,我们可以使用strace对应用的系统...
linux 函数调用追踪函数
04-13
的实现方式是什么?...另外,编译器的调试选项可以在编译时生成用于调试目的的符号表,通过符号表可以实现函数调用追踪。但是,具体实现方式还需要根据不同的操作系统和编译器进行相应的配置和调试
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值