我正在尝试通过内核驱动程序获取正在运行的进程的实际可执行路径。
我已经完成以下工作:
static struct kretprobe do_fork_probe = {
.entry_handler = (kprobe_opcode_t *) process_entry_callback,
.handler = (kprobe_opcode_t *) NULL,
.maxactive = 1000,
.data_size = 0
};
do_fork_probe.kp.addr = (kprobe_opcode_t*)kallsyms_lookup_name("do_fork");
if ((ret = register_kretprobe(&do_fork_probe)) < 0)
return -1;
static int process_entry_callback(struct kretprobe_instance *ri, struct pt_regs *regs)
{
printk("Executable path = %s\n", executable_path(current));
return 0;
}
execute_path函数:
char* executable_path(struct task_struct* process)
{
#define PATH_MAX 4096
char* p = NULL, *pathname;
struct mm_struct* mm = current->mm;
if (mm)
{
down_read(&mm->mmap_sem);
if (mm->exe_file)
{
pathname = kmalloc(PATH_MAX, GFP_ATOMIC);
if (pathname)
p = d_path(&mm->exe_file->f_path, pathname, PATH_MAX);
}
up_read(&mm->mmap_sem);
}
return p;
}
问题是,如果我使用bash运行可执行文件,如下所示:
./execname
我得到以下输出:
Executable path = /bin/bash
虽然我真正想要的是:execname(实际上是其完整路径,但让我们以该名称开头)
有什么建议么?
最佳答案
目前尚不清楚您尝试获得什么,因此下面是选项列表:
SystemTap认为的
execname。简单的process->comm就足够了。这就是内核中comm字段的定义方式:char comm[TASK_COMM_LEN]; /* executable name excluding path
- access with [gs]et_task_comm (which lock
it with task_lock())
- initialized normally by setup_new_exec */
但是,如果
bash是一个符号链接(symbolic link),则comm应该包含符号链接(symbolic link)的名称,而不是实际的可执行文件名称。 argv[0]命令行参数数组的第一个元素,它显示在我的应用程序中(可能会被其更改)。内核中有一个get_cmdline()函数,但似乎没有导出。 d_path,而应使用dentry的d_name字段:strlcpy(pathname, mm->exe_file->f_path->d_name, PATH_MAX);
但这听起来像是XY问题。您试图获取所有分支过程的可执行文件名称吗?为什么不直接使用SystemTap?
# stap -v -e 'probe scheduler.process_fork { println(execname()); }'
关于c - 获取当前进程上下文的实际可执行路径-Linux内核,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/28644637/