bpftrace中获取do_sys_openat2系统调用文件名的正确方法

在使用bpftrace进行内核跟踪时，获取系统调用参数中的字符串是一个常见需求。本文将以do_sys_openat2系统调用为例，详细介绍如何正确获取其文件名参数。

问题背景

在Linux内核中，do_sys_openat2函数负责处理openat2系统调用，其函数签名如下：

static long do_sys_openat2(int dfd, const char __user *filename,
           struct open_how *how)

其中第二个参数filename是一个指向用户空间字符串的指针。当我们尝试使用bpftrace的str()函数直接获取这个参数时，会发现输出为空字符串。

原因分析

出现这种情况的根本原因是内核空间和用户空间的地址隔离。do_sys_openat2函数的filename参数带有__user标记，表明这是一个用户空间地址。而bpftrace默认情况下在内核空间执行，直接使用str(arg1)会尝试从内核空间读取该地址的内容，这显然是不正确的。

解决方案

bpftrace提供了uptr()函数专门用于处理用户空间指针。正确的做法是将用户空间指针先通过uptr()转换，再传递给str()函数。完整的bpftrace命令如下：

sudo bpftrace -e 'kprobe:do_sys_openat2 /pid==目标PID/ {printf("openat: %s \n", str(uptr(arg1)));}'

技术细节

1. uptr()函数：这是bpftrace提供的一个内置函数，用于明确告诉内核这是一个用户空间指针，需要使用正确的访问方法（如copy_from_user）来读取数据。

2. 参数位置：在kprobe探针中，arg1对应函数的第二个参数（第一个参数是arg0）。对于do_sys_openat2来说，arg0是dfd（文件描述符），arg1才是filename指针。

3. 安全性考虑：直接访问用户空间指针在内核中是一个敏感操作，可能引发安全问题。bpftrace的uptr()内部已经处理了这些安全性问题。

实际应用

这种技术不仅可以用于do_sys_openat2，还可以应用于所有带有用户空间指针参数的内核函数。例如：

• 跟踪文件操作时获取路径名
• 监控进程执行时获取可执行文件路径
• 分析网络通信时获取用户空间缓冲区内容

总结

在bpftrace中处理内核函数的用户空间指针时，必须使用uptr()函数进行显式转换。这是内核编程中的一个重要概念，理解这一点对于编写正确、安全的bpftrace脚本至关重要。记住这个原则，可以避免很多类似的指针访问问题。