強大的 strace 工具

什么是 strace

strace是Linux環境下的一款程序調試工具，用來監察一個應用程序所使用的系統調用。
Strace是一個簡單的跟蹤系統調用執行的工具。在其最簡單的形式中，它可以從開始到結束跟蹤二進制的執行，並在進程的生命周期中輸出一行具有系統調用名稱，每個系統調用的參數和返回值的文本行。

strace有兩種運行模式

一：通過它啟動要跟蹤的進程，在原本的命令前加上strace即可：strace ls -lh /var/log/cron
二：跟蹤已經在運行的進程，在不中斷進程執行的情況下，查看它在干嘛。 給strace傳遞個-p pid 選項即可：strace -p 28397

starce 常用的選項

-c 統計每一系統調用的所執行的時間,次數和出錯的次數等. 
-d 輸出strace關於標准錯誤的調試信息. 
-f 跟蹤由fork調用所產生的子進程. 
-ff 如果提供-o filename,則所有進程的跟蹤結果輸出到相應的filename.pid中,pid是各進程的進程號. 
-F 嘗試跟蹤vfork調用.在-f時,vfork不被跟蹤. 
-h 輸出簡要的幫助信息. 
-i 輸出系統調用的入口指針. 
-q 禁止輸出關於脫離的消息. 
-r 打印出相對時間關於,,每一個系統調用. 
-t 在輸出中的每一行前加上時間信息. 
-tt 在輸出中的每一行前加上時間信息,微秒級. 
-ttt 微秒級輸出,以秒了表示時間. 
-T 顯示每一調用所耗的時間. 
-v 輸出所有的系統調用.一些調用關於環境變量,狀態,輸入輸出等調用由於使用頻繁,默認不輸出. 
-V 輸出strace的版本信息. 
-x 以十六進制形式輸出非標准字符串 
-xx 所有字符串以十六進制形式輸出. 
-a column 設置返回值的輸出位置.默認 為40. 

-e expr 指定一個表達式,用來控制如何跟蹤.格式如下: 
[qualifier=][!]value1[,value2]... 
qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.value是用來限定的符號或數字.默認的 qualifier是 trace.感嘆號是否定符號.例如: 
-eopen等價於 -e trace=open,表示只跟蹤open調用.而-etrace!=open表示跟蹤除了open以外的其他調用.有兩個特殊的符號 all 和 none. 
注意有些shell使用!來執行歷史記錄里的命令,所以要使用\\. 
-e trace=set 
只跟蹤指定的系統 調用.例如:-e trace=open,close,rean,write表示只跟蹤這四個系統調用.默認的為set=all. 
-e trace=file 
只跟蹤有關文件操作的系統調用. 
-e trace=process 
只跟蹤有關進程控制的系統調用. 
-e trace=network 
跟蹤與網絡有關的所有系統調用. 
-e strace=signal 
跟蹤所有與系統信號有關的 系統調用 
-e trace=ipc 
跟蹤所有與進程通訊有關的系統調用 
-e abbrev=set 
設定 strace輸出的系統調用的結果集.-v 等與 abbrev=none.默認為abbrev=all. 
-e raw=set 
將指 定的系統調用的參數以十六進制顯示. 
-e signal=set 
指定跟蹤的系統信號.默認為all.如 signal=!SIGIO(或者signal=!io),表示不跟蹤SIGIO信號. 
-e read=set 
輸出從指定文件中讀出 的數據.例如: 
-e read=3,5 
-e write=set 
輸出寫入到指定文件中的數據. 

-o filename 
將strace的輸出寫入文件filename 
-p pid 
跟蹤指定的進程pid. 
-s strsize 
指定輸出的字符串的最大長度.默認為32.文件名一直全部輸出. 
-u username 
以username 的UID和GID執行被跟蹤的命令 

strace 輸出一部分簡單的解釋

execve("./main", ["./main"], [/* 43 vars */]) = 0
對於命令行下執行的程序，execve(或exec系列調用中的某一個)均為strace輸出系統調用中的第一個。
strace首先調用fork或clone函數新建一個子進程，然后在子進程中調用exec載入需要執行的程序(這里為./main)

brk(0)                                  = 0x9ac4000
以0作為參數調用brk，返回值為內存管理的起始地址(若在子進程中調用malloc，則從0x9ac4000地址開始分配空間)

access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
調用access函數檢驗/etc/ld.so.nohwcap是否存在

mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7739000
使用mmap2函數進行匿名內存映射，以此來獲取8192bytes內存空間，該空間起始地址為0xb7739000

open("/etc/ld.so.cache", O_RDONLY)      = 3
調用open函數嘗試打開/etc/ld.so.cache文件，返回文件描述符為3

fstat64(3, {st_mode=S_IFREG|0644, st_size=80682, ...}) = 0
fstat64函數獲取/etc/ld.so.cache文件信息

mmap2(NULL, 80682, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7725000
調用mmap2函數將/etc/ld.so.cache文件映射至內存

close(3)                                = 0
close關閉文件描述符為3指向的/etc/ld.so.cache文件

open("/lib/i386-linux-gnu/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\220o\1\0004\0\0\0"..., 512) = 512
調用read，從/lib/i386-linux-gnu/libc.so.6該libc庫文件中讀取512bytes，即讀取ELF頭信息

mprotect(0x6c7000, 4096, PROT_NONE)     = 0
使用mprotect函數對0x6c7000起始的4096bytes空間進行保護(PROT_NONE表示不能訪問，PROT_READ表示可以讀取)