当前位置：首页 > news >正文

Linux土遁术之监测监测进程打开文件

news 文章来源：https://blog.csdn.net/tugouxp/article/details/132612832 2025/5/10 19:19:24

分析问题过程中，追踪进程打开的文件可以在许多不同情况下有用，体现在以下几个方面：

故障排除和调试：当程序出现问题、崩溃或异常行为时，追踪进程打开的文件可以帮助您找出问题的根本原因。这有助于快速定位错误，尤其是在访问文件时发生的错误。

性能分析和优化：了解进程打开了哪些文件可以帮助您分析程序的性能问题。如果程序频繁打开和关闭文件，可能会导致性能下降。通过追踪文件操作，您可以识别性能瓶颈，从而采取相应的优化措施。

权限和安全审计：在安全方面，追踪进程打开的文件可以帮助您监控和审计系统上的文件访问。这有助于检测异常活动、追踪潜在的安全漏洞以及识别潜在的威胁。您可以确保只有授权的进程可以访问特定的文件。

授权和访问控制：如果您想要确保某些文件只能由特定的进程或用户访问，可以追踪进程打开的文件，并根据需要执行授权和访问控制。

资源使用和泄漏检测：对于服务器或多租户环境，追踪进程打开的文件可以帮助您监控资源的使用情况。这有助于识别资源泄漏、滥用或不必要的文件操作，以便进行适当的资源管理。

合规性和法律要求：在一些情况下，您可能需要监控特定进程的文件访问，以满足法律、合规性或监管要求。追踪进程打开的文件可以帮助您确保满足相关要求。

总之，追踪进程打开的文件可以帮助您更好地理解程序的行为，从而更好地管理、优化和保护系统。不同的使用情况可能需要不同的方法和工具来实现这一目标。

在 Linux 中，要追踪进程打开了哪些文件，您可以使用工具来监视系统调用或使用调试工具。以下是一些常用的方法：

strace：
strace 是一个命令行工具，可以跟踪和记录进程的系统调用。您可以使用以下命令来跟踪一个进程的系统调用，并查看它打开了哪些文件：
strace -e open,openat <command>
command>是要执行的命令，-e open,openat 指定要跟踪的系统调用类型。

lsof：
lsof（List Open Files）是一个用于显示打开文件的命令行工具。您可以使用以下命令来查看指定进程打开了哪些文件，命令如下：
lsof -p <pid>
pid是要查询的进程的进程 ID。

使用 ptrace 调试工具：
如果想要更底层的控制，可以使用 ptrace 调试工具来追踪进程的行为。可以编写一个小的调试程序，使用 ptrace 跟踪系统调用并记录 open 系统调用的参数。

以上这些方法都可以帮助追踪进程打开了哪些文件，具体使用哪种方法取决于问题的需求和环境，这里介绍另外一种非侵入式的调试方法，开发一个内核模块，利用内核提供的KPROBE机制探测OPEN系统调用，得到被打开的文件名字，这个方法和PTRACE思想类似，但前者是非侵入式调试，不会影响被探测程序。

模块代码：

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>static char file_name[256];static int entry_handler(struct kprobe *p, struct pt_regs *regs)
{const char __user *filename = (const char __user *)regs->si;copy_from_user(file_name, filename, sizeof(file_name));file_name[sizeof(file_name) - 1] = '\0';if(strstr(file_name, "fkwq")) {pr_info("comm %s Open syscall intercepted. File name: %s\n", current->comm, file_name);}return 0;
}static struct kprobe kp = {.symbol_name = "do_sys_open",.pre_handler = entry_handler,
};static int __init kprobe_init(void)
{int ret = register_kprobe(&kp);if (ret < 0) {pr_err("Failed to register kprobe: %d\n", ret);return ret;}pr_info("Kprobe registered\n");return 0;
}static void __exit kprobe_exit(void)
{unregister_kprobe(&kp);pr_info("Kprobe unregistered\n");
}module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");

Makefile:

ifneq ($(KERNELRELEASE),)
CFLAGS_seqfile.o:=-I$(src)
obj-m:=probename.o
else
KERNELDIR:=/lib/modules/$(shell uname -r)/build
PWD:=$(shell pwd)
all:$(MAKE) -C $(KERNELDIR) M=$(PWD) modulesclean:rm -rf *.o *.mod.c *.mod.o *.ko *.symvers *.mod .*.cmd *.order
format:astyle --options=linux.astyle *.[ch]
endif

测试过程中，监测打开的fkwq.txt文件，程序中对文件名进行了过滤，否则打印文件过多，测试界面会刷屏。

监控modprobe打开的文件路径：/lib/modules/5.4.0-150-generic/kernel/arch/x86/kvm/kvm.ko

Linux土遁术之监测监测进程打开文件

结束

相关文章：

Linux土遁术之监测监测进程打开文件

css让多个盒子强制自动等宽

【高危】Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

树模型与集成学习：LightGBM

PHP多语言代入电商平台api接口采集拼多多根据ID获取商品详情原数据示例

数据结构（Java实现）-二叉树（下）

如何利用 SmartX 存储性能测试工具 OWL 优化性能管理？

固定资产管理措施怎么写

C语言中typedef和const的区别

大数据系列教程之 Kafka基础

【Go 基础篇】Go语言日期与时间函数详解：时间的掌控与转化

抽象工厂模式：创建相关对象族

uniapp：安卓permission权限表及setting表

汽车服务门店小程序模板制作指南

Apache SeaTunnel 2.3.3 版本发布，CDC 支持 Schema Evolution！

工厂方法模式的概述和使用

HP惠普星15青春版/惠普小欧笔记本电脑15s-du1008tx原装出厂Win11系统

聊聊检索增强，LangChain一把梭能行吗？

【力扣】343. 整数拆分＜动态规划、数学＞

数据结构--5.1图的存储结构（十字链表、邻接多重表、边集数组）

mac上 Kratos 配置 protoc

【c++5道练习题】①

最佳实践：TiDB 业务读变慢分析处理

【ES6】Getter和Setter

3DS Max中绘制圆锥箭头

虚拟机Ubuntu20.04 网络连接器图标开机不显示怎么办

你真的知道什么是USB Server吗？一分钟了解

Node.js 中间件是怎样工作的？

Spring MVC：请求参数的获取

别再头疼反弹Shell失败了，这篇文章带你找到问题根源