Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
213 lines (180 sloc) 5.65 KB

#跟踪系统调用

本节将介绍一种非常先进的技术,它使用syscall包,并允许你监视在Go程序中执行的系统调用。

本节不包含在我的《Go系统编程》书籍中,Packt出版社,2017年

Go程序名为traceSyscall.go,并分为五部分。traceSyscall.go第一部分代码如下:

package main

import (
	"bufio"
	"fmt"
	"os"
	"os/exec"
	"strings"
	"syscall"
)

var maxSyscalls = 0

const SYSCALLFILE = "SYSCALLS"

你将很快学习SYSCALLFILE变量的作用。

traceSyscall.go第二部分代码如下:

func main() {
	var SYSTEMCALLS []string
	f, err := os.Open(SYSCALLFILE)
	defer f.Close()
	if err != nil {
		fmt.Println(err)
		return
	}
    
	scanner := bufio.NewScanner(f)
	for scanner.Scan() {
		line := scanner.Text()
		line = strings.Replace(line, " ", "", -1)
		line = strings.Replace(line, "SYS_", "", -1)
		temp := strings.ToLower(strings.Split(line, "=")[0])
		SYSTEMCALLS = append(SYSTEMCALLS, temp)
		maxSyscalls++
	}

请注意,SYSCALLS文件的信息取自syscall包的文档,它将每个系统调用与一个数字相关联,该数字是系统调用的内部Go表示形式。该文件主要用于打印被跟踪程序所使用的系统调用的名称。

SYSCALLS文件的格式如下:

SYS_READ = 0
SYS_WRITE = 1
SYS_OPEN = 2
SYS_CLOSE = 3
SYS_STAT = 4

在读取文本文件后,程序创建名为SYSTEMCALLS的切片来存储信息。

traceSyscall.go第三部分代码如下:

	COUNTER := make([]int, maxSyscalls)
	var regs syscall.PtraceRegs
	cmd := exec.Command(os.Args[1], os.Args[2:]...)
	cmd.Stdin = os.Stdin
	cmd.Stdout = os.Stdout
	cmd.Stderr = os.Stderr
	cmd.SysProcAttr = &syscall.SysProcAttr{Ptrace: true}
	err = cmd.Start()
	err = cmd.Wait()
	if err != nil {
		fmt.Println("Wait:", err)
	}
	pid := cmd.Process.Pid
	fmt.Println("Process ID:", pid)

COUNTER切片存储在被跟踪的程序中每个系统调用的次数。

traceSyscall.go的第四部分代码如下:

	before := true
	forCount := 0
	for {
		if before {
			err := syscall.PtraceGetRegs(pid, &regs)
			if err != nil {
				break
			}
			if regs.Orig_rax > uint64(maxSyscalls) {
				fmt.Println("Unknown:", regs.Orig_rax)
				return
			}
			COUNTER[regs.Orig_rax]++
			forCount++
		}
		err = syscall.PtraceSyscall(pid, 0)
		if err != nil {
			fmt.Println("PtraceSyscall:", err)
			return
		}
		_, err = syscall.Wait4(pid, nil, 0, nil)
		if err != nil {
			fmt.Println("Wait4:", err)
			return
		}
		before = !before
	}

syscall.PtraceSyscall()函数的作用是:告诉Go继续执行正在被跟踪的程序,但是当程序进入或退出系统调用时停止执行,这正是我们想要的!由于每个系统调用在被调用之前和完成其工作之后都会被跟踪,因此我们使用before变量来计算每个系统调用仅一次。

traceSyscall.go的最后一部分代码如下:

	for i, x := range COUNTER {
		if x != 0 {
			fmt.Println(SYSTEMCALLS[i], "->", x)
		}
	}
	fmt.Println("Total System Calls:", forCount)
}

在这一部分中,我们打印切片COUNTER的内容。切片SYSTEMCALLS用于在知道系统调用的Go数字表示时,来查找系统调用的名称。

macOS High Sierra机器上执行traceSyscall.go会创建如下的输出:

$ go run traceSyscall.go
# command-line-arguments
./traceSyscall.go:36:11: undefined: syscall.PtraceRegs
./traceSyscall.go:57:11: undefined: syscall.PtraceGetRegs
./traceSyscall.go:70:9: undefined: syscall.PtraceSyscall

同样,traceSyscall.go程序不能在macOSMac OS X上运行。

Debian Linux机器上执行程序会创建如下的输出:

$ go run traceSyscall.go ls /tmp/
Wait: stop signal: trace/breakpoint trap
Process ID: 5657
go-build084836422 test.go upload_progress_cache
read -> 11
write -> 1
open -> 37
close -> 27
stat -> 1
fstat -> 25
mmap -> 39
mprotect -> 16
munmap -> 4
brk -> 3
rt_sigaction -> 2
rt_sigprocmask -> 1
ioctl -> 2
access -> 9
execve -> 1
getdents -> 2
getrlimit -> 1
statfs -> 2
arch_prctl -> 1
futex -> 1
set_tid_address -> 1
openat -> 1
set_robust_list -> 1
Total System Calls: 189

在程序结束时,traceSyscall.go打印程序中调用每个系统调用的次数!traceSyscall.go的正确性通过strace -c程序的输出进行验证。

$ strace -c ls /tmp
test.go upload_progress_cache
% time seconds usecs/call calls errors syscall
------ ----------- ----------- --------- --------- ----------------
0.00  0.000000          0    11         read
0.00  0.000000          0     1         write
0.00  0.000000          0    37      13 open
0.00  0.000000          0    27         close
0.00  0.000000          0     1         stat
0.00  0.000000          0    25         fstat
0.00  0.000000          0    39         mmap
0.00  0.000000          0    16         mprotect
0.00  0.000000          0     4         munmap
0.00  0.000000          0     3         brk
0.00  0.000000          0     2         rt_sigaction
0.00  0.000000          0     1         rt_sigprocmask
0.00  0.000000          0     2         ioctl
0.00  0.000000          0     9       9 access
0.00  0.000000          0     1         execve
0.00  0.000000          0     2         getdents
0.00  0.000000          0     1         getrlimit
0.00  0.000000          0     2       2 statfs
0.00  0.000000          0     1         arch_prctl
0.00  0.000000          0     1         futex
0.00  0.000000          0     1         set_tid_address
0.00  0.000000          0     1         openat
0.00  0.000000          0     1         set_robust_list
------ ----------- ----------- --------- --------- -------------
100.00 0.000000              189        24 total
You can’t perform that action at this time.