c - 在不修改内核的情况下拦截系统调用的最小开销方式-6ren

c - 在不修改内核的情况下拦截系统调用的最小开销方式

转载作者：IT王子更新时间：2023-10-29 01:10:20

31

4

我知道拦截系统调用的方法如下。

使用ptrace ，但这似乎有很高的开销。据我所知，像 strace 这样的工具也在内部使用 ptrace。
使用内核模块来更改系统调用表，但据我所知，这种方法在后来的 linux 内核中不再可行。
使用 LD_PRELOAD。但是，如果您直接进行系统调用而没有为该系统调用使用一些包装库函数，这将不起作用。

所以你看上面提到的所有方法都有缺陷。所以我的问题是在不修改内核且开销最小的情况下拦截系统调用的方法是什么。

最佳答案

如果不能修改内核，就必须修改应用程序。您需要以某种方式拦截 int/syscall/sysenter 指令，方法是在此处设置一个断点(如果您可以在应用程序中处理它们在 Linux 中；您可以在 Windows 中使用 SEH/VEH)或以更具侵入性的方式 Hook 指令(将其更改为 jmp 到将保存系统调用号和参数的代码，执行原始的 int/syscall/sysenter 和 jmp 返回)。

编辑:哦，我忘了补充一点，找到这些说明可能是一个挑战。您可能无法在编译的二进制文件中正确识别它们。你可能会错过一些(特别是那些在运行时创建的)并且你可以为 int/syscall/sysenter 采取一些其他指令(如果你的代码分析并不完美)。 OTOH，在运行时找到它们(通过在执行/模拟它们之前分析单个指令(或它们的 block ))将导致性能下降。

在任何情况下，性能问题很可能与进行的系统调用次数和记录/跟踪信息量直接相关。如果你减少它(即只选择有趣的系统调用和参数)和/或只收集关于最近 10000 次系统调用的信息并将数据保存在内存中并只将它保存到一个文件中(最后的应用程序)，您将获得更好的性能。

关于c - 在不修改内核的情况下拦截系统调用的最小开销方式，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/11291632/

31

4

0

文章推荐： php - 如何使用 PHPExcel 打开 Excel 文件进行读写？

文章推荐： string - 戈朗 : find string in file and show line number

文章推荐： PHP readfile 与 file_get_contents

文章推荐： linux - 在 Linux 上安装 Freeglut

java - 在具有多个条件的 If 情况下，我们能否获得条件失败的确切位置？
我是 Java 新手，这是我的代码， if( a.name == b.name && a.displayname == b.displayname && a.linknam
javascript - 在下面的 JavaScript 情况下，如何避免重复自己的情况？
在下面的场景中，我有一个 bool 值。根据结果，我调用完全相同的函数，唯一的区别是参数的数量。 var myBoolean = ... if (myBoolean) { retrieve
c++ - 异常(exception)情况下，我想在没有任何堆栈展开的情况下进行调试
我是一名研究 C++ 的 C 开发人员: 我是否正确理解如果我抛出异常然后堆栈将展开直到找到第一个异常处理程序？是否可以在不展开的情况下在任何 throw 上打开调试器(即不离开声明它的范围或任何更高
c++ - 在什么情况/情况下 dynamic_cast<> 会失败？
在修复庞大代码库中的错误时，我观察到一个奇怪的情况，其中引用的动态类型从原始 Derived 类型更改为 Base 类型!我提供了最少的代码来解释问题: struct Base { // some
c# for 循环在 switch/case 情况下 - 如何？
我正在尝试用 C# 扩展给定的代码，但由于缺乏编程经验，我有点陷入困境。使用 Visual Studio 社区，我尝试通过控制台读出 CPU 核心温度。该代码使用开关/外壳来查找传感器的特定名称(即
javascript - 在 AJAX 情况下，如何在目标页面评估 JavaScript？
这可能是一个哲学问题。假设您正在向页面发出 AJAX 请求(这是使用 Prototype): new Ajax.Request('target.asp', { method:"post", pa
html - 在 Usemap/area 情况下，光标未更改为指针
我有以下 HTML 代码，我无法在所有浏览器中正常工作: 我试图在移动到
swift - 在这种 Firebase 情况下，如何在函数之间传递数据？ swift + Xcode
我对 Swift 很陌生。我如何从 addPin 函数中检索注释并能够在我的 addLocation 操作 (buttonPressed) 中使用它。我正在尝试使用压力触摸在 map 上添加图钉，在两
ios - 在 iPad DetailView 情况下，viewDidUnload 未被调用
我设置了一个详细 View ，我是否有几个 Nib 文件根据在 Root View Controller 的表中选择的项目来加载。我发现，对于 Nibs 的类，永远不会调用 viewDidUnloa
javascript - 在这种 javascript 情况下，除了 eval 之外还有其他选择吗？
我需要动态访问 json 文件并使用以下代码。在本例中，“bpicsel”和“temp”是变量。最终结果类似于“data[0].extit1” var title="data["+bpicsel+"]
c# - 在 HTTPS 情况下，服务器证书未使用 HTTP.SYS 正确配置
我需要使用第三方 WCF 服务。我已经在我的证书存储中配置了所需的证书，但是在调用 WCF 服务时出现以下异常。向 https://XXXX.com/AHSharedServices/Custome
postgresql - 即使在 ON CONFLICT DO NOTHING 情况下，postgres INSERT 触发器也会触发
在几个 SO 答案(1、2)中，建议如果存在冲突则不应触发 INSERT 触发器，ON CONFLICT DO NOTHING 在触发语句中。也许我理解错了，但在我的实验中似乎并非如此。这是我的 S
java - 在 Hibernate3 中的 saveOrUpdateAll 情况下，具有相同标识符值的不同对象已与 session 关联
如果进行修改，则会给出org.hibernate.NonUniqueObjectException。在我的 BidderBO 类(class)中 @Override @Transactional(pr
javascript - 为什么 React App 的 redux 情况下 IndexOf(Object) 可以工作？
我使用 indexOf() 方法来精细地查找数组中的对象。直到此刻我查了一些资料，发现代码应该无法正常工作。我在reducer中尝试了上面的代码，它成功了 let tmp = state.find
mysql - 在指定了 ORDER BY 和 LIMIT 并且实际上只需要连接少量行的 JOIN 情况下，MySQL 的行为如何？
假设我有以下表格: CREATE TABLE Game ( GameID INT UNSIGNED NOT NULL, GameType TINYINT UNSIGNED NOT NU
ios - 在使用 swift ios 的某些 URL 情况下，Alamofire 进度状态显示 0.0
代码: Alamofire.request(URL(string: imageUrl)!).downloadProgress(closure: { (progress) in

首页

博学

6Ren·AI

商城

c - 在不修改内核的情况下拦截系统调用的最小开销方式