0
我正在用dtrace跟踪一些libc函数。我想做一个谓词,它只在函数返回地址时才执行动作,并进入参数中给定的特定模块。dtrace只有当函数返回到特定模块时才执行动作
copyin(uregs [R_ESP],1)在返回探测器上应该给出我认为的返回地址,我不完全确定它,所以如果有人可以确认,这将是很好的。
但是,然后我需要一种方法来解决这个地址到一个模块,这是可能的,以及如何?
A
回答
1
有一个ucaller变量,它会给你 保存的程序计数器为uint64_t和umod()将 它翻译成相应的模块名称,例如
# dtrace -n 'pid$target:::entry {@[umod(ucaller)]=count()}' -p `pgrep -n xscreensaver`
dtrace: description 'pid$target:::entry ' matched 14278 probes
^C
xscreensaver 16
libXt.so.4 73
libX11.so.4 92
libxcb.so.1 141
libc.so.1 144
^C#
然而,umod()是一个动作(相对于子程序);其 不能被分配到一个左值,因此不能在 的表达式中使用(因为翻译被推迟到dtrace(1)用户程序接收到地址 )。
幸运的是,没有什么能够阻止您在您的进程中找到libc占用的地址 范围,并将其与ucaller进行比较。 这里是在Solaris(其中特定硬件的libc是 安装在系统启动时)的一个例子:
# mount | fgrep libc
/lib/libc.so.1 on /usr/lib/libc/libc_hwcap1.so.1 read/write/setuid/devices/rstchown/dev=30d0002 on Sat Jul 13 20:27:32 2013
# pmap `pgrep -n gedit` | fgrep libc_hwcap1.so.1
FEE10000 1356K r-x-- /usr/lib/libc/libc_hwcap1.so.1
FEF73000 44K rwx-- /usr/lib/libc/libc_hwcap1.so.1
FEF7E000 4K rwx-- /usr/lib/libc/libc_hwcap1.so.1
#
我假设文本部分是一个只有 读&执行权限,但要注意在一些 的情况下,文本部分将是可写的。
# cat Vision.d
/*
* self->current is a boolean indicating whether or not execution is currently
* within the target range.
*
* self->next is a boolean indicating whether or not execution is about to
* return to the target range.
*/
BEGIN
{
self->current = 1;
}
pid$target:::entry
{
self->current = (uregs[R_PC] >= $1 && uregs[R_PC] < $2);
}
syscall:::return
/pid==$target/
{
self->next = self->current;
self->current = 0;
}
pid$target:::return
{
self->next = (ucaller >= $1 && ucaller < $2);
}
pid$target:::return,syscall:::return
/pid==$target && self->next && !self->current/
{
printf("Returning to target from %s:%s:%s:%s...\n",
probeprov, probemod, probefunc, probename);
ustack();
printf("\n");
}
pid$target:::return,syscall:::return
/pid==$target/
{
self->current = self->next;
}
# dtrace -qs Vision.d 0xFEE10000 0xFEF73000 -p `pgrep -n gedit`
这产生像
Returning to target from pid2095:libcairo.so.2.10800.10:cairo_bo_event_compare:return...
libcairo.so.2.10800.10`cairo_bo_event_compare+0x158
libc.so.1`qsort+0x51c
libcairo.so.2.10800.10`_cairo_bo_event_queue_init+0x122
libcairo.so.2.10800.10`_cairo_bentley_ottmann_tessellate_bo_edges+0x2d
libcairo.so.2.10800.10`_cairo_bentley_ottmann_tessellate_polygon+0
.
.
.
Returning to target from syscall::pollsys:return...
libc.so.1`__pollsys+0x15
libc.so.1`poll+0x81
libxcb.so.1`_xcb_conn_wait+0xb5
libxcb.so.1`_xcb_out_send+0x3b
libxcb.so.1`xcb_writev+0x65
libX11.so.4`_XSend+0x17c
libX11.so.4`_XFlush+0x30
libX11.so.4`XFlush+0x37
相关问题
- 1. 只有当SELECT返回时才执行DELETE
- 2. javascript:onsubmit只有在检测到“返回false”时才会执行
- 3. 只有当目录非空时才执行动作
- 4. 只有给定列只有一个值时才返回行
- 5. Clojure宏:只有在定义符号时才执行动作
- 6. 只有在特定条件为真时才运行jQuery函数
- 7. 只有当所有信息都为真时才返回行
- 8. 只有给定列的某个计数时才返回行
- 9. 按钮 - 只有在JavaScript函数返回true时才做回发
- 10. JavaScript:只有当数组中的所有项都为真时才执行函数?
- 11. 只有当结果状态完成时才执行CompletableFuture回调
- 12. 只有当get_id()返回self.email时,flask-login才能工作.email
- 13. 当Express启动时执行函数只有一次
- 14. Excel的VBA函数返回只有当
- 15. 找不到模块dtrace-provider
- 16. 只有当回调函数调用时才生成矢量
- 17. 只有在变量为真时才执行函数
- 18. 只有当用户有权限时才返回结果
- 19. 当通过表数据执行时,函数不返回结果
- 20. Java Process.getInputStream()直到执行结束时才返回数据
- 21. Quartz Scheduler只有在没有运行时才执行作业
- 22. 定时器只执行一次函数
- 23. 当表只包含一行时,StDev()函数返回Null
- 24. 函数返回的加特林执行函数
- 25. 只有当所有行匹配时,SQL连接才返回结果
- 26. JavaScript执行函数返回函数
- 27. 只有当窗口焦点时,Javascript才会执行定时器功能?
- 28. 只有连接到特定的WiFi时,Git获取/拉动才能工作?
- 29. gen_server名为timer_server导致定时器模块函数不返回
- 30. 仅当返回结果不包含特定值时才返回结果?