execve系统调用_在 Linux 上用 strace 来理解系统调用

使用 strace 跟踪用户进程和 Linux 内核之间的交互。
-- Gaurav Kamathe（作者）

系统调用(system call)是程序从内核请求服务的一种编程方式，而 strace 是一个功能强大的工具，可让你跟踪用户进程与 Linux 内核之间的交互。

要了解操作系统的工作原理，首先需要了解系统调用的工作原理。操作系统的主要功能之一是为用户程序提供抽象机制。

操作系统可以大致分为两种模式：

• 内核模式：操作系统内核使用的一种强大的特权模式
• 用户模式：大多数用户应用程序运行的地方 用户大多使用命令行实用程序和图形用户界面（GUI）来执行日常任务。系统调用在后台静默运行，与内核交互以完成工作。

系统调用与函数调用非常相似，这意味着它们都接受并处理参数然后返回值。唯一的区别是系统调用进入内核，而函数调用不进入。从用户空间切换到内核空间是使用特殊的 trap 机制完成的。

通过使用系统库（在 Linux 系统上又称为 glibc），大部分系统调用对用户隐藏了。尽管系统调用本质上是通用的，但是发出系统调用的机制在很大程度上取决于机器（架构）。

本文通过使用一些常规命令并使用 strace 分析每个命令进行的系统调用来探索一些实际示例。这些示例使用 Red Hat Enterprise Linux，但是这些命令运行在其他 Linux 发行版上应该也是相同的：

[root@sandbox ~]# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.7 (Maipo)
[root@sandbox ~]#
[root@sandbox ~]# uname -r
3.10.0-1062.el7.x86_64
[root@sandbox ~]#

首先，确保在系统上安装了必需的工具。你可以使用下面的 rpm 命令来验证是否安装了 strace。如果安装了，则可以使用 -V 选项检查 strace 实用程序的版本号：

[root@sandbox ~]# rpm -qa | grep -i strace
strace-4.12-9.el7.x86_64
[root@sandbox ~]#
[root@sandbox ~]# strace -V
strace -- version 4.12
[root@sandbox ~]#

如果没有安装，运行命令安装：

yum install strace

出于本示例的目的，在 /tmp 中创建一个测试目录，并使用 touch 命令创建两个文件：

[root@sandbox ~]# cd /tmp/
[root@sandbox tmp]#
[root@sandbox tmp]# mkdir testdir
[root@sandbox tmp]#
[root@sandbox tmp]# touch testdir/file1
[root@sandbox tmp]# touch testdir/file2
[root@sandbox tmp]#

（我使用 /tmp 目录是因为每个人都可以访问它，但是你可以根据需要选择另一个目录。）

在 testdir 目录下使用 ls 命令验证该文件已经创建：

[root@sandbox tmp]# ls testdir/
file1  file2
[root@sandbox tmp]#

你可能每天都在使用 ls 命令，而没有意识到系统调用在其下面发挥的作用。抽象地来说，该命令的工作方式如下：

命令行工具 -> 从系统库（glibc）调用函数 -> 调用系统调用

ls 命令内部从 Linux 上的系统库（即 glibc）调用函数。这些库去调用完成大部分工作的系统调用。

如果你想知道从 glibc 库中调用了哪些函数，请使用 ltrace 命令，然后跟上常规的 ls testdir/命令：

ltrace ls testdir/

如果没有安装 ltrace，键入如下命令安装：

yum install ltrace

大量的输出会被堆到屏幕上；不必担心，只需继续就行。ltrace 命令输出中与该示例有关的一些重要库函数包括：

opendir("testdir/")                                  = { 3 }
readdir({ 3 })                                       = { 101879119, "."