使用 dlsym 进行库插入

Question

我正在编写一个插入库来跟踪 libc 中一些库函数的使用情况，例如 open()、close()、connect() 等。它在大多数应用程序上通常运行良好。然而，当我尝试使用 PHP，特别是使用 PHP 的 MySQL 模块时，没有跟踪该模块内对 libc 的任何函数调用（因此没有 connect()、socket() 等）。 ‘strace’告诉我系统调用了socket()、connect()等。在模块和libmysqlclient.so.16.0.0上运行'file'表示它们都是动态链接的。所以应该不是静态链接引起的问题。可能是什么问题？

我使用的是 Fedora 11 64 位版本。

谢谢。

Answer 1

看起来这不是由静态链接引起的。事实上，PHP 是动态链接到其他库的。问题在于 PHP 加载扩展的方式。

PHP 通过使用标志 RTLD_LAZY 调用 dlopen() 来加载扩展，这意味着只有在执行引用时才会解析该符号。这会绕过 LD_PRELOAD 指定的插入。

Answer 2

由于某种原因，该库可能会直接调用系统调用。在这种情况下，您需要使用 strace （或在您自己的程序中使用 ptrace()）来跟踪此使用情况。

Answer 3

我同意上面的答案，这些库可能绕过了 libc 中对 open()、write() 等的调用。换句话说，这些库可能直接使用程序集调用系统调用，而不是使用 libc 接口。虽然直接使用系统调用的应用程序并不常见，但也并非闻所未闻。
如果是这种情况，这就是为什么您在库插入实验中不会看到任何拦截。那么您有两种方法，一种是通过 strace 的快速方法，另一种是构建内核模块以在内核级别拦截这些调用的更复杂的方法并向您正在构建的任何框架报告..
玩得开心..
埃内斯托·B