什麼是 strace strace是Linux環境下的一款程式調試工具,用來監察一個應用程式所使用的系統調用。 Strace是一個簡單的跟蹤系統調用執行的工具。在其最簡單的形式中,它可以從開始到結束跟蹤二進位的執行,併在進程的生命周期中輸出一行具有系統調用名稱,每個系統調用的參數和返回值的文本行。 ...
什麼是 strace
strace是Linux環境下的一款程式調試工具,用來監察一個應用程式所使用的系統調用。
Strace是一個簡單的跟蹤系統調用執行的工具。在其最簡單的形式中,它可以從開始到結束跟蹤二進位的執行,併在進程的生命周期中輸出一行具有系統調用名稱,每個系統調用的參數和返回值的文本行。
strace有兩種運行模式
一:通過它啟動要跟蹤的進程,在原本的命令前加上strace即可:strace ls -lh /var/log/cron
二:跟蹤已經在運行的進程,在不中斷進程執行的情況下,查看它在幹嘛。 給strace傳遞個-p pid 選項即可:strace -p 28397starce 常用的選項
-c 統計每一系統調用的所執行的時間,次數和出錯的次數等.
-d 輸出strace關於標準錯誤的調試信息.
-f 跟蹤由fork調用所產生的子進程.
-ff 如果提供-o filename,則所有進程的跟蹤結果輸出到相應的filename.pid中,pid是各進程的進程號.
-F 嘗試跟蹤vfork調用.在-f時,vfork不被跟蹤.
-h 輸出簡要的幫助信息.
-i 輸出系統調用的入口指針.
-q 禁止輸出關於脫離的消息.
-r 列印出相對時間關於,,每一個系統調用.
-t 在輸出中的每一行前加上時間信息.
-tt 在輸出中的每一行前加上時間信息,微秒級.
-ttt 微秒級輸出,以秒了表示時間.
-T 顯示每一調用所耗的時間.
-v 輸出所有的系統調用.一些調用關於環境變數,狀態,輸入輸出等調用由於使用頻繁,預設不輸出.
-V 輸出strace的版本信息.
-x 以十六進位形式輸出非標準字元串
-xx 所有字元串以十六進位形式輸出.
-a column 設置返回值的輸出位置.預設 為40.
-e expr 指定一個表達式,用來控制如何跟蹤.格式如下:
[qualifier=][!]value1[,value2]...
qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用來限定的符號或數字.預設的 qualifier是 trace.感嘆號是否定符號.例如:
-eopen等價於 -e trace=open,表示只跟蹤open調用.而-etrace!=open表示跟蹤除了open以外的其他調用.有兩個特殊的符號 all 和 none.
註意有些shell使用!來執行歷史記錄里的命令,所以要使用\\.
-e trace=set
只跟蹤指定的系統 調用.例如:-e trace=open,close,rean,write表示只跟蹤這四個系統調用.預設的為set=all.
-e trace=file
只跟蹤有關文件操作的系統調用.
-e trace=process
只跟蹤有關進程式控制制的系統調用.
-e trace=network
跟蹤與網路有關的所有系統調用.
-e strace=signal
跟蹤所有與系統信號有關的 系統調用
-e trace=ipc
跟蹤所有與進程通訊有關的系統調用
-e abbrev=set
設定 strace輸出的系統調用的結果集.-v 等與 abbrev=none.預設為abbrev=all.
-e raw=set
將指 定的系統調用的參數以十六進位顯示.
-e signal=set
指定跟蹤的系統信號.預設為all.如 signal=!SIGIO(或者signal=!io),表示不跟蹤SIGIO信號.
-e read=set
輸出從指定文件中讀出 的數據.例如:
-e read=3,5
-e write=set
輸出寫入到指定文件中的數據.
-o filename
將strace的輸出寫入文件filename
-p pid
跟蹤指定的進程pid.
-s strsize
指定輸出的字元串的最大長度.預設為32.文件名一直全部輸出.
-u username
以username 的UID和GID執行被跟蹤的命令 strace 輸出一部分簡單的解釋
execve("./main", ["./main"], [/* 43 vars */]) = 0
對於命令行下執行的程式,execve(或exec系列調用中的某一個)均為strace輸出系統調用中的第一個。
strace首先調用fork或clone函數新建一個子進程,然後在子進程中調用exec載入需要執行的程式(這裡為./main)
brk(0) = 0x9ac4000
以0作為參數調用brk,返回值為記憶體管理的起始地址(若在子進程中調用malloc,則從0x9ac4000地址開始分配空間)
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
調用access函數檢驗/etc/ld.so.nohwcap是否存在
mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7739000
使用mmap2函數進行匿名記憶體映射,以此來獲取8192bytes記憶體空間,該空間起始地址為0xb7739000
open("/etc/ld.so.cache", O_RDONLY) = 3
調用open函數嘗試打開/etc/ld.so.cache文件,返迴文件描述符為3
fstat64(3, {st_mode=S_IFREG|0644, st_size=80682, ...}) = 0
fstat64函數獲取/etc/ld.so.cache文件信息
mmap2(NULL, 80682, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7725000
調用mmap2函數將/etc/ld.so.cache文件映射至記憶體
close(3) = 0
close關閉文件描述符為3指向的/etc/ld.so.cache文件
open("/lib/i386-linux-gnu/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\220o\1\0004\0\0\0"..., 512) = 512
調用read,從/lib/i386-linux-gnu/libc.so.6該libc庫文件中讀取512bytes,即讀取ELF頭信息
mprotect(0x6c7000, 4096, PROT_NONE) = 0
使用mprotect函數對0x6c7000起始的4096bytes空間進行保護(PROT_NONE表示不能訪問,PROT_READ表示可以讀取)
