監視嵌入式系統內進程間通信的技術原理介紹
加入技術交流群
本文引用地址:http://www.104case.com/article/154010.htm
被監視進程的 trace 標志被激活后,它的每一次系統調用都會被內核檢查。我們程序也隨之被內核用信號通知。使用參數 PTRACE_GETREGS 的 ptrace() 將獲得截獲的系統調用的參數。最重要的參數是系統調用號。它保存在了 u_in.orig_eax 中。通過系統調用號,我們可以確定發生的是那一個系統調用。系統調用號可以在 Linux 的源代碼中查找。它的定義在 Linux-source-2.6.xx/arch/x86/kernel/syscall_table_32.S 中。它的部分代碼如下所示:
| .long sys_fstatfs /* 100 */ .long sys_ioperm .long sys_socketcall .long sys_syslog |
在這里,我們最關心的是 sendto 系統調用。在 Linux 的內核中, sendto 的真實入口是 socketcall 系統調用。它是 bind , sendto 等socket相關系統調用的入口。在這個系統調用中,通過一個 call number 來區分出 bind , sendto 等不同的子系統調用。在我們的程序中,這個 call number 保存在 u_in.ebx 中。 從上面的 syscall_table_32.S 示例代碼就可以看出, socketcall 的系統調用號是102(從100向下數兩行)。而 call number 則在 net.h 有定義,我們關心的 sendto 的 call number 被定義為 SYS_SENDTO ,其絕對值為11。有了這兩個重要的數據,我們的程序據此判斷當前發生的系統調用是否為 sendto 。這一點表現為代碼:
| if (u_in.orig_eax == 102 u_in.ebx == SYS_SENDTO) |
被監視進程進入系統調用和退出系統調用時,都會觸發 wait() 返回,使我們的程序有機會運行。因此,我們需要使用 syscall_entry 來記錄當前時刻是被監視進程進入系統調用,還是退出系統調用。這是一個開關量,非常容易理解。 最后,每次處理完,都需要再次調用參數為 PTRACE_SYSCALL 的 ptrace ,準備監視下一次的系統調用。
上面的程序雖然很簡單,但已經可以完整的表現出利用 ptrace 截獲被監視進程的 sendto 系統調用的過程。值得補充一點的是,利用 ptrace 也可以獲得 sendto 向外發送的數據。
sendto 系統調用的定義是:
| #include sys/types.h> #include sys/socket.h> size_t sendto(int s, const void *msg, size_t len, int flags, const struct sockaddr *to, socket len_t tolen); |
sendto 包含了六個參數,特別是 msg 參數指出了發送的數據內容。參數 to 指出了發送的目標。利用 PTRACE_PEEKDATA 參數的 ptrace ,監視程序將可以獲得 sendto 的全部的六個參數。這樣監視程序就完全獲得了被監視進程要向外發送的數據和發送目標。具體的實現細節在此不再展開論述。請參考 man ptrace 說明手冊。監視系統的體系和應用
利用上面討論的技術,我們開發了可以運行在 mips 目標板上的監視程序,名為 ipcmsg 。它是一個命令行程序。在我們的應用環境中,它的使用方法是:
| root@host:~$ ipcmsg -p pid -l xxx.xxx.xxx.xxx -b 6000 |
pid 是被監視進程的 pid ,可以通過 ps 命令獲得。 -l 參數后面指定 PC 主機的 IP 地址。 -b 參數指明了接收的端口號。
最初進行監視時, ipcmsg 是沒有 IP 地址和端口號參數的。所有信息是輸出到串口控制臺中。這既影響了運行的效率(大量的在串口上的輸出會影響目標板的運行速度),也不利于信息的處理。由于我們的目標板具備以太網接口,我們很容易的想到將 ipcmsg 截獲的數據包轉發到 PC 主機上。使用 PC 主機更便于對進程間通信的數據包進行分析。在 PC 主機上,我們使用 wireshark 這個非常流行的開源的網絡報文分析軟件接收來自目標板的信息。整個監視系統的架構如下圖所示:
圖1 架構
評論