我的书签
添加书签
移除书签跟踪系统调用
本节将介绍一种非常先进的技术,它使用syscall包,并允许你监视在Go程序中执行的系统调用。
本节不包含在我的《
Go系统编程》书籍中,Packt出版社,2017年
Go程序名为traceSyscall.go,并分为五部分。traceSyscall.go第一部分代码如下:
package mainimport ("bufio""fmt""os""os/exec""strings""syscall")var maxSyscalls = 0const SYSCALLFILE = "SYSCALLS"
你将很快学习SYSCALLFILE变量的作用。
traceSyscall.go第二部分代码如下:
func main() {var SYSTEMCALLS []stringf, err := os.Open(SYSCALLFILE)defer f.Close()if err != nil {fmt.Println(err)return}scanner := bufio.NewScanner(f)for scanner.Scan() {line := scanner.Text()line = strings.Replace(line, " ", "", -1)line = strings.Replace(line, "SYS_", "", -1)temp := strings.ToLower(strings.Split(line, "=")[0])SYSTEMCALLS = append(SYSTEMCALLS, temp)maxSyscalls++}
请注意,SYSCALLS文件的信息取自syscall包的文档,它将每个系统调用与一个数字相关联,该数字是系统调用的内部Go表示形式。该文件主要用于打印被跟踪程序所使用的系统调用的名称。
SYSCALLS文件的格式如下:
SYS_READ = 0SYS_WRITE = 1SYS_OPEN = 2SYS_CLOSE = 3SYS_STAT = 4
在读取文本文件后,程序创建名为SYSTEMCALLS的切片来存储信息。
traceSyscall.go第三部分代码如下:
COUNTER := make([]int, maxSyscalls)var regs syscall.PtraceRegscmd := exec.Command(os.Args[1], os.Args[2:]...)cmd.Stdin = os.Stdincmd.Stdout = os.Stdoutcmd.Stderr = os.Stderrcmd.SysProcAttr = &syscall.SysProcAttr{Ptrace: true}err = cmd.Start()err = cmd.Wait()if err != nil {fmt.Println("Wait:", err)}pid := cmd.Process.Pidfmt.Println("Process ID:", pid)
COUNTER切片存储在被跟踪的程序中每个系统调用的次数。
traceSyscall.go的第四部分代码如下:
before := trueforCount := 0for {if before {err := syscall.PtraceGetRegs(pid, ®s)if err != nil {break}if regs.Orig_rax > uint64(maxSyscalls) {fmt.Println("Unknown:", regs.Orig_rax)return}COUNTER[regs.Orig_rax]++forCount++}err = syscall.PtraceSyscall(pid, 0)if err != nil {fmt.Println("PtraceSyscall:", err)return}_, err = syscall.Wait4(pid, nil, 0, nil)if err != nil {fmt.Println("Wait4:", err)return}before = !before}
syscall.PtraceSyscall()函数的作用是:告诉Go继续执行正在被跟踪的程序,但是当程序进入或退出系统调用时停止执行,这正是我们想要的!由于每个系统调用在被调用之前和完成其工作之后都会被跟踪,因此我们使用before变量来计算每个系统调用仅一次。
traceSyscall.go的最后一部分代码如下:
for i, x := range COUNTER {if x != 0 {fmt.Println(SYSTEMCALLS[i], "->", x)}}fmt.Println("Total System Calls:", forCount)}
在这一部分中,我们打印切片COUNTER的内容。切片SYSTEMCALLS用于在知道系统调用的Go数字表示时,来查找系统调用的名称。
在macOS High Sierra机器上执行traceSyscall.go会创建如下的输出:
$ go run traceSyscall.go# command-line-arguments./traceSyscall.go:36:11: undefined: syscall.PtraceRegs./traceSyscall.go:57:11: undefined: syscall.PtraceGetRegs./traceSyscall.go:70:9: undefined: syscall.PtraceSyscall
同样,traceSyscall.go程序不能在macOS和Mac OS X上运行。
在Debian Linux机器上执行程序会创建如下的输出:
$ go run traceSyscall.go ls /tmp/Wait: stop signal: trace/breakpoint trapProcess ID: 5657go-build084836422 test.go upload_progress_cacheread -> 11write -> 1open -> 37close -> 27stat -> 1fstat -> 25mmap -> 39mprotect -> 16munmap -> 4brk -> 3rt_sigaction -> 2rt_sigprocmask -> 1ioctl -> 2access -> 9execve -> 1getdents -> 2getrlimit -> 1statfs -> 2arch_prctl -> 1futex -> 1set_tid_address -> 1openat -> 1set_robust_list -> 1Total System Calls: 189
在程序结束时,traceSyscall.go打印程序中调用每个系统调用的次数!traceSyscall.go的正确性通过strace -c程序的输出进行验证。
$ strace -c ls /tmptest.go upload_progress_cache% time seconds usecs/call calls errors syscall------ ----------- ----------- --------- --------- ----------------0.00 0.000000 0 11 read0.00 0.000000 0 1 write0.00 0.000000 0 37 13 open0.00 0.000000 0 27 close0.00 0.000000 0 1 stat0.00 0.000000 0 25 fstat0.00 0.000000 0 39 mmap0.00 0.000000 0 16 mprotect0.00 0.000000 0 4 munmap0.00 0.000000 0 3 brk0.00 0.000000 0 2 rt_sigaction0.00 0.000000 0 1 rt_sigprocmask0.00 0.000000 0 2 ioctl0.00 0.000000 0 9 9 access0.00 0.000000 0 1 execve0.00 0.000000 0 2 getdents0.00 0.000000 0 1 getrlimit0.00 0.000000 0 2 2 statfs0.00 0.000000 0 1 arch_prctl0.00 0.000000 0 1 futex0.00 0.000000 0 1 set_tid_address0.00 0.000000 0 1 openat0.00 0.000000 0 1 set_robust_list------ ----------- ----------- --------- --------- -------------100.00 0.000000 189 24 total
