前言
良好的習慣是人生產生復利的有力助手。
本公眾號已經寫了3年多了,期間時斷時續,時常被事情打斷,甚是煩惱。
最近在看一些時間管理方面的書,發現其實很多事情都是可以安排清楚,關鍵在於固定的時間,固定的投入,形成習慣,成為良性循環。
成為習慣之后,一切就會水到渠成,2020 年慢慢來,本公眾號內容還是以安全為主,傾向於攻,會夾雜開發和算法的知識。
本公眾號之后的分享以專題的形式出現,確定一個專題會一直投入,這樣大家也容易形成體系,類似於寫專欄。
更新頻率至少每周一更,算是2020年的 flag吧。希望本公眾號可以作為傳播知識的平台,幫助更多積極上進的朋友們。
strace 命令
在之前的文章,講解騰訊哈勃linux沙箱實現時,涉及到strace命令。strace用來監控linux系統調用,主要用於調試,分析診斷應用程序的問題。你將發現他是一個極好的幫手,在你要調試一個無法看到源碼或者源碼無法在編譯的程序時候。做過linux開發的同學,會經常用到這個命令。
在安全領域,strace 可以作為linux syscall的應用層監控方案,不需要安裝驅動,原理是借助ptrace功能來實現,可以作為沙箱方案中的syscall監控組件。
命令參數
-c 統計每一系統調用的所執行的時間,次數和出錯的次數等.
-d 輸出strace關於標准錯誤的調試信息.
-f 跟蹤由fork調用所產生的子進程.
-ff 如果提供-o filename,則所有進程的跟蹤結果輸出到相應的filename.pid中,pid是各進程的進程號.
-F 嘗試跟蹤vfork調用.在-f時,vfork不被跟蹤.
-h 輸出簡要的幫助信息.
-i 輸出系統調用的入口指針.
-q 禁止輸出關於脫離的消息.
-r 打印出相對時間關於,,每一個系統調用.
-t 在輸出中的每一行前加上時間信息.
-tt 在輸出中的每一行前加上時間信息,微秒級.
-ttt 微秒級輸出,以秒了表示時間.
-T 顯示每一調用所耗的時間.
-v 輸出所有的系統調用.一些調用關於環境變量,狀態,輸入輸出等調用由於使用頻繁,默認不輸出.
-V 輸出strace的版本信息.
-x 以十六進制形式輸出非標准字符串
-xx 所有字符串以十六進制形式輸出.
-a column 設置返回值的輸出位置.默認為40.
-e expr 指定一個表達式,用來控制如何跟蹤.格式:[qualifier=][!]value1[,value2]...
qualifier只能是 trace,abbrev,verbose,raw,signal,read,write其中之一.
value是用來限定的符號或數字,默認的 qualifier是 trace,感嘆號是否定符號。例如:-eopen等價於 -e trace=open,表示只跟蹤open調用.
而-e trace=!open 表示跟蹤除了open以外的其他調用.有兩個特殊的符號 all 和 none.
注意有些shell使用!來執行歷史記錄里的命令,所以要使用\!,例如 -e trace=\!open.
-e trace=value 只跟蹤指定的系統 調用.例如:-e trace=open,close,read,write表示只跟蹤這四個系統調用.默認的value=all.
-e trace=file 只跟蹤有關文件操作的系統調用.
-e trace=process 只跟蹤有關進程控制的系統調用.
-e trace=network 跟蹤與網絡有關的所有系統調用.
-e strace=signal 跟蹤所有與系統信號有關的 系統調用
-e trace=ipc 跟蹤所有與進程通訊有關的系統調用
-e abbrev=set 設定strace輸出的系統調用的結果集.-v 等與 abbrev=none.默認為abbrev=all.
-e raw=set 將指定的系統調用的參數以十六進制顯示.
-e signal=set 指定跟蹤的系統信號.默認為all.如 signal=!SIGIO(或者signal=!io),表示不跟蹤SIGIO信號.
-e read=set 輸出從指定文件中讀出 的數據.例如: -e read=3,5
-e write=set 輸出寫入到指定文件中的數據.
-o filename 將strace的輸出寫入文件filename
-p pid 跟蹤指定的進程pid.
-s strsize 指定輸出的字符串的最大長度.默認為32.文件名一直全部輸出.
-u username 以username的UID和GID執行被跟蹤的命令
常用參數說明
- 系統調用統計
strace不光能追蹤系統調用,通過使用參數-c,它還能將進程所有的系統調用做一個統計分析給你,這次我們執行帶-c參數的strace 調式ls:
[root@VM_0_13_centos ~]# strace -c ls
- 跟蹤子進程並將日志輸出到文件中(添加時間戳和耗時)
[root@VM_0_13_centos ~]# strace -f -tt -T -e trace=all -o strace.log ls
[root@VM_0_13_centos ~]# tail strace.log -n 20
部分的監控日志,顯示還是比較整齊的。
......
1343 17:30:16.250382 write(1, "adultre.txt\t\t\t IDA_Pro\t\t\t\t"..., 69) = 69 <0.000009>
1343 17:30:16.250416 write(1, "a.out\t\t\t\t Image-ExifTool-1"..., 71) = 71 <0.000008>
1343 17:30:16.250441 write(1, "_asyncio.pyd\t\t\t Image-Exif"..., 100) = 100 <0.000007>
1343 17:30:16.250465 write(1, "b3\t\t\t\t index.html.1\t\t\t\t\t\t "..., 64) = 64 <0.000008>
1343 17:30:16.250499 write(1, "babyre\t\t\t\t kernel-debug-de"..., 116) = 116 <0.000009>
1343 17:30:16.250526 write(1, "bach\t\t\t\t kernel-debuginfo-"..., 105) = 105 <0.000007>
1343 17:30:16.250550 write(1, "basic_authable-1.0.1.gem\t "..., 97) = 97 <0.000008>
1343 17:30:16.250573 write(1, "binwalk\t\t\t\t libpeshnx-0.1\t"..., 68) = 68 <0.000009>
1343 17:30:16.250597 write(1, "_bz2.pyd\t\t\t libpeshnx-0.1."..., 82) = 82 <0.000008>
1343 17:30:16.250621 write(1, "calc.asm\t\t\t libssl-1_1.dll"..., 78) = 78 <0.000008>
1343 17:30:16.250644 write(1, "calc.exe\t\t\t LICENSE.txt\t\t\t"..., 70) = 70 <0.000008>
1343 17:30:16.250668 write(1, "calc.exe.asm\t\t\t loader\t\t\t\t"..., 58) = 58 <0.000008>
1343 17:30:16.250691 write(1, "calc.exe.shc\t\t\t loader.she"..., 69) = 69 <0.000009>
1343 17:30:16.250715 write(1, "calc.i64\t\t\t lock.txt\t\t\t\t\t\t"..., 45) = 45 <0.000007>
1343 17:30:16.250737 write(1, "calc.shc.asm\t\t\t _lzma.pyd\t"..., 54) = 54 <0.000007>
1343 17:30:16.250766 close(1) = 0 <0.000005>
1343 17:30:16.250784 munmap(0x7f47313a7000, 4096) = 0 <0.000009>
1343 17:30:16.250806 close(2) = 0 <0.000005>
1343 17:30:16.250842 exit_group(0) = ?
1343 17:30:16.251121 +++ exited with 0 +++
3.跟蹤一個現有的進程
strace不光能自己初始化一個進程進行trace,還能追蹤現有的進程,參數-p就是取這個作用的,用法也很簡單,具體如下。
strace -p pid
日志結構化
雖然strace能很好地監控syscall調用,但是有個問題是不利於工程化,因為strace的定位是程序員用來調試程序,日志顯示的方式利於人類觀察,不利於程序直接分析,所以需要對strace日志進行解析。在github中,搜索了一下strace parser ,發現了不少項目,看來這個問題,大家都曾遇到過呀,經過挑選,有6個開源項目還是不錯的。
https://github.com/zom3y3/stracer
https://github.com/johnlcf/Stana
https://github.com/vstinner/python-ptrace
https://github.com/dannykopping/b3
https://github.com/wookietreiber/strace-analyzer
https://github.com/burner1024/strace-io-parser
其中 https://github.com/dannykopping/b3, 基於nodejs開發,可以將strace日志轉化為json,還是很令人欣喜的。
執行以下命令安裝b3並解析日志為json:
[root@VM_0_13_centos ~]# npm i -g b3-strace-parser
[root@VM_0_13_centos ~]# strace -f -T -o strace.log ls
[root@VM_0_13_centos ~]# cat strace.log | b3
windows下的strace: wtrace
在搜索日志解析的時候,發現 windows下也有類似strace的工具:wtrace (https://github.com/lowleveldesign/wtrace),基於ETW機制實現。
簡單試用一下效果還是不錯的,以管理員權限啟動:
之后也可以作為windows下沙箱的監控組件,記錄以下ok.
最后
關注公眾號:七夜安全博客
回復【1】:領取 Python數據分析 教程大禮包
回復【2】:領取 Python Flask 全套教程
回復【3】:領取 某學院 機器學習 教程
回復【4】:領取 爬蟲 教程
回復【5】:領取 編譯原理 教程
回復【6】:領取 滲透測試 教程
回復【7】:領取 人工智能數學基礎 教程
本文章屬於原創作品,歡迎大家轉載分享,禁止修改文章的內容。尊重原創,轉載請注明來自:七夜的故事 http://www.cnblogs.com/qiyeboy/