Kprobe：将返回探针与入口探针关联

Question

我想跟踪对特定文件的写入，所以我想我可以这样做：

我在do_sys_open 上创建一个探针，如果filename 参数与我正在寻找的模式匹配，我使用触发器来启用一个返回探针，以获取返回的文件描述符ID（它是$retval）。这个返回探针将在common_pid 上有一个过滤器，因为我只对刚刚打开我想要监视的filename 的do_sys_open 调用返回的fds 感兴趣。 返回探针采用fd 并在sys_write 上启用另一个探针，并在common_pid 和fd 上使用过滤器。 我希望通过这种方式，我只能跟踪我正在监视的一个文件上的write 操作。

问题在于这不适用于多线程进程。如果一个进程同时调用open 两次（使用两个线程），上述机制可能会失败。现在我正在尝试找出一种方法来在do_sys_open 的条目和do_sys_open 上的返回探测之间建立这种关联，如果有任何建议，我都会很高兴。

PS：我不确定这个问题属于 stackoverflow 还是 unix & linux。

Answer 1

你的方法是错误的。

首先，文件描述符编号是每个进程的，因此您会自动捕捉到几乎任何使用此类 fd 编号写入任何内容的人，这可能会或可能不会导致写入您感兴趣的文件。

此外，sys_write 在堆栈中的位置太高，无法捕获所有合法写入者。

通常您会查找您感兴趣的文件的 inode 并根据相应的写入函数进行过滤。

但是，“监视对文件的写入”仍然有些含糊不清，因为不清楚如果有人要取消原始名称的链接并使用该名称创建一个新文件，您希望发生什么。如果你想处理，你确实最好在开放的地方捕获线程，查看查找了哪些 inode 并将它们添加到你的原语中，以便你知道监控它。

无论如何，基于 fd 的监控从根本上被打破了。