[英]Jprobe doesn't monitor all `do_execve` calls
我知道過去一直對此有疑問,但是我沒有找到解決方案。
我正在編寫下一個內核模塊以跟蹤do_exec調用。 AFAIK每個新的過程映像(而非創建映像)都應像這樣加載,因此我認為可以使用jprobe跟蹤所有執行。
不幸的是,此jprobe的唯一輸出是:
execve called /usr/lib/systemd/systemd-cgroups-agent by kworker/u8:3
我的模塊代碼如下:
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/fs.h>
static long jdo_execve(struct filename *filename,
const char __user *const __user __argv,
const char __user *const __user __envp)
{
const char *name = filename->name;
printk("execve called %s by %s\n", name, current->comm);
jprobe_return();
return 0;
}
static struct jprobe execve_jprobe = {
.entry = jdo_execve,
.kp = {
.symbol_name = "do_execve",
},
};
static int __init jprobe_init(void)
{
int ret;
ret = register_jprobe(&execve_jprobe);
if (ret < 0) {
printk(KERN_INFO "register_jprobe failed, returned %d\n", ret);
return -1;
}
return 0;
}
static void __exit jprobe_exit(void)
{
unregister_jprobe(&execve_jprobe);
printk(KERN_INFO "jprobe at %p unregistered\n", write_jprobe.kp.addr);
}
module_init(jprobe_init)
module_exit(jprobe_exit)
MODULE_LICENSE("GPL");
我正在使用CentOS 7,內核版本3.10.0-514.el7.x86_64
任何幫助表示贊賞!
手頭的代碼是:
SYSCALL_DEFINE3(execve,
const char __user *, filename,
const char __user *const __user *, argv,
const char __user *const __user *, envp)
{
return do_execve(getname(filename), argv, envp);
}
和:
int do_execve(struct filename *filename,
const char __user *const __user *__argv,
const char __user *const __user *__envp)
{
struct user_arg_ptr argv = { .ptr.native = __argv };
struct user_arg_ptr envp = { .ptr.native = __envp };
return do_execve_common(filename, argv, envp);
}
鑒於該函數有多短,第一個明顯的懷疑是它已在execve入口點內聯。 拆卸證實了懷疑:
0xffffffff811e6e20 <sys_execve>: nopl 0x0(%rax,%rax,1) [FTRACE NOP]
0xffffffff811e6e25 <sys_execve+0x5>: push %rbp
0xffffffff811e6e26 <sys_execve+0x6>: mov %rsp,%rbp
0xffffffff811e6e29 <sys_execve+0x9>: push %r12
0xffffffff811e6e2b <sys_execve+0xb>: mov %rdx,%r12
0xffffffff811e6e2e <sys_execve+0xe>: push %rbx
0xffffffff811e6e2f <sys_execve+0xf>: mov %rsi,%rbx
0xffffffff811e6e32 <sys_execve+0x12>: callq 0xffffffff811ef380 <getname>
0xffffffff811e6e37 <sys_execve+0x17>: mov %r12,%r8
0xffffffff811e6e3a <sys_execve+0x1a>: mov %rbx,%rdx
0xffffffff811e6e3d <sys_execve+0x1d>: xor %ecx,%ecx
0xffffffff811e6e3f <sys_execve+0x1f>: xor %esi,%esi
0xffffffff811e6e41 <sys_execve+0x21>: mov %rax,%rdi
0xffffffff811e6e44 <sys_execve+0x24>: callq 0xffffffff811e6520 <do_execve_common>
0xffffffff811e6e49 <sys_execve+0x29>: pop %rbx
0xffffffff811e6e4a <sys_execve+0x2a>: pop %r12
0xffffffff811e6e4c <sys_execve+0x2c>: cltq
0xffffffff811e6e4e <sys_execve+0x2e>: pop %rbp
0xffffffff811e6e4f <sys_execve+0x2f>: retq
因此,您看不到對do_execve的大多數“調用”,因為在您感興趣的代碼路徑中沒有。
調試此問題的另一種方法是嘗試在堆棧中更深或更深的地方進行探查。
我不得不問,為什么您一般都在使用jprobes或內核。 到目前為止,您似乎是一個初學者,因此暫時不應該使用它。 特別是,您不太可能能夠編寫遵循所有規則並能夠解釋其原因的內核代碼(包括jprobes)。 創建代碼很容易,但在缺乏足夠的測試的情況下,這些代碼似乎可以正常工作,但是卻被破壞了。
Linux 中的 do_execve() 和 execve() 有什么區別?
[英]What is the difference between do_execve() and execve() in Linux?
無法跟蹤使用ptrace和seccomp調用execve的子進程的系統調用
[英]Can't trace a subprocess's syscalls which calls execve using ptrace and seccomp
為什么 macOS 上 C 中的 execve 命令不允許“哪個”命令起作用?
[英]Why doesn't the execve command in C on macOS allow the 'which' command to work?
為什么使用execve創建遠程shell不會覆蓋文件描述符和套接字?
[英]Why creating a remote shell using execve doesn't overwrite file descriptors and socket?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.