macos - 如何在 dtruss 输出中查看完整字符串？-6ren

macos - 如何在 dtruss 输出中查看完整字符串？

转载作者：太空宇宙更新时间：2023-11-03 13:10:30

26

4

我正在使用 dtruss在 MacOS X 10.8.5 上尝试查看正在运行的应用程序和它与之通信的 SSL 服务器之间的对话。不像strace在 Linux 上，我没有在输出中看到完整的数据字符串，就像我希望在程序中找到的那样 send和 recv在文件描述符上。

我怎样才能得到 dtruss向我显示应用程序通过 SSL 服务器发送和接收的数据？

在任何人告诉我将连接代理到我控制的 SSL 服务器之前，是的，我知道这个技巧，而且没有这个特定的应用程序太聪明而不会上当。

最佳答案

dtruss 既是为 DTrace 编写的脚本的优雅示例，也是 DTrace 可以实现的功能的演示。然而，虽然它与 truss 或 strace 的相似性在相对贫瘠的 OS X 上受到了极大的欢迎，但我怀疑 dtruss 从来没有打算成为一个完全替代任何一个。

无论如何，您的问题有点模棱两可:我不确定您是担心看到的字符串被截断还是根本看不到 sendto()< 的任何字符串 或 recvfrom()(DTrace 揭示的底层接口(interface))。我会同时解决这两个问题。

首先，DTrace在内核中收集数据；用户态缓冲区在记录并传输回消费者之前使用 D 语言的 copyin() 或 copyinstr() 获得——通常是 dtrace( 1)命令。 DTrace 要求其内核缓冲区大小在编译时已知，因此对字符串的其他不可预测的长度施加了限制。默认情况下，此限制为 256 个字节；如果您看到截断，那么您可以通过添加来更改限制，例如，

#pragma D option strsize=512

低于 dtruss 的现有 pragma。

其次，dtruss 被硬编码以了解各种系统调用的格式要求。您在其输出中看不到 sendto() 或 recvfrom() 的任何缓冲区解释，因为它们未在源代码中明确处理。没有什么可以阻止您找到适合添加它们的地方，但您可以改为编写自己的脚本:

bash-3.2# cat sr.d
#pragma D option rawbytes

syscall::sendto:entry,
syscall::recvfrom:entry
/pid == $target/
{
    self->bufp = arg1;
    self->size = arg2;
}

syscall::sendto:return,
syscall::recvfrom:return
/pid == $target && self->bufp && self->size/
{
    printf("%s():\n", probefunc);
    tracemem(copyin(self->bufp, self->size), 64);
    printf("\n");
    self->bufp = self->size = NULL;
}
bash-3.2# dtrace -qs ./sr.d -p 16988
sendto():

             0  1  2  3  4  5  6  7  8  9  a  b  c  d  e  f  0123456789abcdef
         0: 68 65 6c 6c 6f 00 00 00 00 00 00 00 00 00 00 00  hello...........
        10: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
        20: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
        30: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

^C

bash-3.2#

请注意，对于字符串，我们必须对 tracemem() 使用 DTrace 的数据记录缓冲区提供硬性限制。如果很少接近极限，那么这会产生令人恼火的结果，即输出可能会非常大，而且大部分都是冗余的。如果您知道您正在寻找字符串，那么您可以简单地使用 copyinstr() 代替；如果您有比我的 OS X 10.6.8 更现代的 DTrace 实现，那么您可能会发现您可以编写

tracemem(copyin(self->bufp, self->size), 64, self->size);

其中第二个参数仍然是记录字节数的硬限制，但显示字节数受可选的第三个参数限制。

最后，请注意用户空间地址是在进入系统调用时记录的，但仅在退出时使用。这是一个常见的习惯用法，它允许系统调用在必要时插入数据错误 --- DTrace 本身不会这样做，如果被要求跟踪非常驻地址，则会在运行时产生错误。

关于macos - 如何在 dtruss 输出中查看完整字符串？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/19883966/

26

4

0

文章推荐： node.js - WebSocket 安全本地主机连接

文章推荐： python - 如果我用re.findall 怎么注册才能不分开点

文章推荐： python - 解析 penn 语法树以提取其语法规则

文章推荐： c# - Fluent NHibernate Join 映射到 Joined 表

JAVA技术实现上传下载文件到FTP服务器(完整)
具体详细介绍请看下文：在使用文件进行交互数据的应用来说，使用FTP服务器是一个很好的选择。本文使用Apache Jakarta Commons Net（commons-net-3.3.jar）
jetty HttpParser 完整
我在日志文件中收到这些警告: WARN 2013-01-15 00:08:15,550 org.eclipse.jetty.http.HttpParser- HttpParser Full for
javascript - 在浏览器中查看源代码时显示的源代码是否始终准确/完整？
我在使用特定网页时遇到问题。当我按下链接时，我收到应用程序错误(不是 http 错误等，而是应用程序级别错误)。但是我打开了开发人员工具和网络控制台，我看到没有请求发送到服务器。所以我双击并选择查
c - 此汇编函数调用是否安全/完整？
我没有组装经验，但这是我一直在做的。如果在通过程序集中的指针传递参数和调用函数时缺少任何基本方面，我希望输入。例如，我想知道是否应该还原ecx，edx，esi，edi，。我读到它们是通用寄存器，但我
c - 此汇编函数调用是否安全/完整？
我没有组装经验，但这是我一直在做的。如果在通过程序集中的指针传递参数和调用函数时缺少任何基本方面，我希望输入。例如，我想知道是否应该还原ecx，edx，esi，edi，。我读到它们是通用寄存器，但我
ios - 完整 UIScrollView 的快照
我正在尝试创建完整 uiscrollview 的快照，所有内容大小，我已经搜索了很多，并且我在 SO 上找到了一些东西，如下所示: Getting a screenshot of a UIScroll
java - 修改其副本时保持原始 Vector 完整
我想复制一个包含以下结构的Vector，对我来说重要的是在修改复制的 vector 时保持原始Vector完整: public class objet_poid_n { public int
python - 按分隔符分割时保持引用 block 完整
给定一个示例字符串 s = '嗨，我的名字是 Humpty-Dumpty，来自“爱丽丝，爱丽丝镜中奇遇记”'，我想将其分成以下 block : # To Do: something like {l =
bash - 寻找库来连接相对/完整 url。
已关闭。此问题旨在寻求有关书籍、工具、软件库等的建议。不符合Stack Overflow guidelines .它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以
python - 完整 Linux 文件路径的正则表达式
我正在尝试创建一个正则表达式来查找文本中的 Linux 文件路径，但是正则表达式对我来说非常陌生。我有下面的代码片段，它将识别下面文件结构的开头。 .*(/bin/|/home/).* 完成正则表达式
php - 如何在不下载(完整)的情况下确定图像的大小？
我正在寻找远程托管的 JPG 的尺寸、宽度和高度。我已经了解了如何通过下载完整图像来执行此操作。但是，如果我可以通过仅下载足以获取此信息的方式来做到这一点，那将是理想的。典型的图像大小为 200K
Python:如何获取我所在函数的*完整*名称
有没有办法让下面的代码: import traceback def log(message): print "%s: %s" %(traceback.extract_stack()[0:-1]
c# - 完整 Windows 桌面的实时视频处理
关闭。这个问题需要更多focused .它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题 editing this post . 关闭 3 年前。 Improve this qu
git - 仅显示修订中更改的(完整)文件名
git show 显示了修订版中所做的所有更改。但是，它会打印出所有更改——而不仅仅是文件名。 git show --stat 只显示文件名，但它把它们截断了!有没有办法获得已更改文件名的完整列表？
language-agnostic - 面向*完整*初学者的奖励代码项目
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。想要改善这个问题吗？更新问题，以便将其作为on-topi
get_absolute_url 中的 Django 完整 url
当我在模板中调用我的模型 get_absolute_url 方法时，我想要一个绝对/完整的 url。在我的入门模型中，我有以下内容: def get_absolute_url(self): r
jquery - animate 的回调函数(完整)在开始时执行？
我正在使用 jQuery 1.5.1 这是我的代码: $('.cellcontent').animate({ left: '-=190'}, { easing: alert('start
javascript - 完整 d3 图表的故障/消失
我正在使用下面的方法删除条形图并使用新数据更新条形图，但这样做时出现了一个小故障/完整的图表消失 1 秒，直到加载新数据。但是是否可以通过仅增加/减少柱形而不实际消失图表来实现相同的目的。 d3.se
generics - 完整、高效的 NumericLiteral 模块实现
基于 this question 中的讨论，任何人都可以提供代码或代码链接，显示 NumericLiteralX 模块的完整实现(例如 this one )？我对 NumericLiteralX 模块
java - 检索正确(完整)的 html
我的目标是检索网站的 html，并将其转换为可读的String。我下面的代码可以工作，但我遇到了一个技术问题:当我尝试检索 http://time.gov/HTML5 的 html 时，我在 andr

首页

博学

6Ren·AI

商城

macos - 如何在 dtruss 输出中查看完整字符串？