进程实时监控

Question

有没有什么方法对linux进程进行实时监控，包括进程的新建和删除。
不用重新编译内核的。
谢谢

Answer 1

回复 1# umdd0210
将进程创建和删除的函数重写，在重写的函数中对进程的创建和删除进行实施监控；然后再写一个内核模块，将内核原来的函数替换为“jmp 新函数”

Answer 2

回复 2# 瀚海书香

    将进程创建和删除的函数重写，不用重新编译内核吗？
   是用系统调用的方法吗？
   能不能说的再详细一点，我不是很清楚，谢谢。

Answer 3

回复 3# umdd0210
看看这个链接应该就懂了
http://www.ibm.com/developerworks/cn/linux/l-knldebug/

Answer 4

回复 3# umdd0210
看看这个链接应该就懂了
http://www.ibm.com/developerworks/cn/linux/l-knldebug/

Answer 5

回复 5# 瀚海书香

    嗯，明白了。
  那请问，如果我替换do_fork（）函数，如何获取将要创建的进程的进程名和进程ID呢？

Answer 6

回复 4# 瀚海书香

    这种方法真不错。。。

Answer 7

回复 4# 瀚海书香

    我用你说的方法，替换了创建进程时要使用的set_task_comm函数，但是insmod之后系统就死机了。。。。。

知道原因么。。。。。

谢谢

Answer 8

本帖最后由 瀚海书香 于 2011-05-10 16:16 编辑

回复 8# umdd0210
应该是你替换代码的问题吧。如果完全按照方法进行替换的话，是没有问题的。之前曾经用过这个方法，确定这个方法是可用的。
假设要替换函数的地址 A，新函数的地址为B,一个全局变量数组C[5]。那么代码大体上如下：
static void replacefunc(char *A,char *B)
{
       char p[5];
       memcpy(C,A,5);
       p[0]=‘\xe9’;//jmp code
       *(long*)&p[1]=(long)(B-A-5);
       lock_kernel();
       memcpy(A,P,5);
       unlock_kernel();
}

Answer 9

回复 9# 瀚海书香

    我这个就是照着那个例程写的：

1. #ifndef __KERNEL__
2. #define __KERNEL__
3. #endif
4. #ifndef MODULE
5. #define MODULE
6. #endif
7. #include <linux/kernel.h>
8. #include <linux/config.h>
9. #include <linux/module.h>
10. #include <asm/string.h>
11. #include <asm/unistd.h>
12. #include <linux/fs.h>
13. #include <linux/sched.h>
14. #include <linux/smp_lock.h>
15. #include <linux/sched.h>
17. #define MY_FILE "/home/procmon.txt"
18. struct file *file = NULL;
19. char buf[128];
21. //c046ab6f T set_task_comm
22. void (*orig_setcomm)(struct task_struct *tsk, char *buf) =        (void (*)(struct task_struct
24. *tsk, char *buf))0xc046ab6f;
25. #define CODESIZE 7
26. static char orig_setcomm_code[7];
27. static char setcomm_code[7] =
28.             "\xb8\x00\x00\x00\x00""\xff\xe0";
30. void* _memcpy (void *dest, const void *src, int size)
31. {
32.   const char *p = src;
33.   char *q = dest;
34.   int i;
35.   for (i=0; i<size; i++) *q++ = *p++;
36.   return dest;
37. }
39. void trigger(struct task_struct *tsk, char *comm)
40. {
41.         if(file == NULL)
42.                 file = filp_open(MY_FILE,O_RDWR | O_CREAT,0644);
43.         if(IS_ERR(file))
44.         {
45.                 printk("open %s error.\n",MY_FILE);
46.         }
48.         sprintf(buf,"new process %s (pid:%d) is created.\n",comm,tsk->pid);
49.         file->f_op->write(file,(char *)buf,sizeof(buf),&file->f_pos);
51.         filp_close(file,NULL);
52.         return;
53. }
55. void _setcomm(struct task_struct *tsk, char *buf)
56. {
57.         task_lock(tsk);
58.         trigger(tsk,buf);
59.         memset(tsk->comm,0,TASK_COMM_LEN);
60.         strlcpy(tsk->comm,buf,sizeof(tsk->comm));
61.         task_unlock(tsk);
62. }
64. int init_module (void)
65. {
66.   lock_kernel();
67.   *(long *)&setcomm_code[1] = (long)_setcomm;
68.   _memcpy (orig_setcomm_code, orig_setcomm, CODESIZE);
69.   _memcpy (orig_setcomm, setcomm_code, CODESIZE);
70.   unlock_kernel();
71.   return 0;
72. }
74. void cleanup_module (void)
75. {
76.   _memcpy (orig_setcomm, orig_setcomm_code, CODESIZE);
77. }

复制代码系统为red hat enterprise linux5 ，内核是2.6.18的