首页
/ bpftrace中获取do_sys_openat2系统调用文件名的正确方法

bpftrace中获取do_sys_openat2系统调用文件名的正确方法

2025-05-25 06:23:10作者:邵娇湘

在使用bpftrace进行内核跟踪时,获取系统调用参数中的字符串是一个常见需求。本文将以do_sys_openat2系统调用为例,详细介绍如何正确获取其文件名参数。

问题背景

在Linux内核中,do_sys_openat2函数负责处理openat2系统调用,其函数签名如下:

static long do_sys_openat2(int dfd, const char __user *filename,
           struct open_how *how)

其中第二个参数filename是一个指向用户空间字符串的指针。当我们尝试使用bpftrace的str()函数直接获取这个参数时,会发现输出为空字符串。

原因分析

出现这种情况的根本原因是内核空间和用户空间的地址隔离。do_sys_openat2函数的filename参数带有__user标记,表明这是一个用户空间地址。而bpftrace默认情况下在内核空间执行,直接使用str(arg1)会尝试从内核空间读取该地址的内容,这显然是不正确的。

解决方案

bpftrace提供了uptr()函数专门用于处理用户空间指针。正确的做法是将用户空间指针先通过uptr()转换,再传递给str()函数。完整的bpftrace命令如下:

sudo bpftrace -e 'kprobe:do_sys_openat2 /pid==目标PID/ {printf("openat: %s \n", str(uptr(arg1)));}'

技术细节

  1. uptr()函数:这是bpftrace提供的一个内置函数,用于明确告诉内核这是一个用户空间指针,需要使用正确的访问方法(如copy_from_user)来读取数据。

  2. 参数位置:在kprobe探针中,arg1对应函数的第二个参数(第一个参数是arg0)。对于do_sys_openat2来说,arg0是dfd(文件描述符),arg1才是filename指针。

  3. 安全性考虑:直接访问用户空间指针在内核中是一个敏感操作,可能引发安全问题。bpftrace的uptr()内部已经处理了这些安全性问题。

实际应用

这种技术不仅可以用于do_sys_openat2,还可以应用于所有带有用户空间指针参数的内核函数。例如:

  • 跟踪文件操作时获取路径名
  • 监控进程执行时获取可执行文件路径
  • 分析网络通信时获取用户空间缓冲区内容

总结

在bpftrace中处理内核函数的用户空间指针时,必须使用uptr()函数进行显式转换。这是内核编程中的一个重要概念,理解这一点对于编写正确、安全的bpftrace脚本至关重要。记住这个原则,可以避免很多类似的指针访问问题。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
861
511
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
596
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K