技術領域

本發明屬于程序執行路徑監控領域，特別涉及linux系統下程序執行路徑監測領域。

背景技術

如今，企業數據泄露、丟失已經成為一個系統管理員們急需解決的挑戰性問題。對于企業來說數據是最為寶貴的資產。數據、信息的泄露丟失都會使企業蒙受巨大的經濟損失。經過對于數據泄露問題的調查，解決這一問題的關鍵是檢測系統的運行過程是否有任何異常行為情況，避免系統執行一系列未知的隱藏功能模塊，完成一系列非法的數據訪問及數據竊取操作。

在“Proceedings?of?the?first?ACM?conference?on?Data?and?application?security?and?privacy（第1屆數據及應用安全隱私ACM研討會）”中公開了一篇名稱為“LeakProber:A?Framework?for?Profiling?Sensitive?Data?Leakage?Paths(LeakProber:一個分析敏感數據泄露路徑的框架)”的文獻，作者為：Junfeng?Yu,Shengzhi?Zhang,Peng?Liu,Zhitang?Li，公開時間為2011年，文獻中提到了一種有關敏感數據泄露路徑的探測方法，通過利用該方法可以獲取用戶所定義的敏感數據在系統的中傳遞修改的函數路徑，通過獲取此函數路徑，即可實現在系統中對敏感數據的監控。然而，此方法的問題在于，需要用戶對需要探測的敏感數據進行文件配置，并且對于敏感數據及函數調用的各種關系（調用、別名等等）分類過于細致，實現文中所提出關鍵模型--敏感數據傳播圖（the?sensitive?data?propagation?graph）的方法過于復雜，算法執行過程不易實現。

kprobe是一個動態地收集調試和性能信息的工具，作用于內核層，它從Dprobe項目派生而來，是一種非破壞性工具，用戶用它幾乎可以跟蹤任何函數或被執行的指令以及一些異步事件（如timer）。它的基本工作機制是：用戶指定一個探測點，并把一個用戶定義的處理函數關聯到該探測點，當內核執行到該探測點時，相應的關聯函數被執行，然后繼續執行正常的代碼路徑。

kprobe實現了三種類型的探測點:kprobes,jprobes和kretprobes(也叫返回探測點)。kprobes是可以被插入到內核的任何指令位置的探測點，jprobes則能被插入到內核函數的入口，而kretprobes則是被插入到指定內核函數的入口并在內核函數返回時才被執行。

kretprobe使用了kprobes來實現，當用戶調用register_kretprobe()時，kprobe在被探測函數的入口建立了一個探測點，當執行到探測點時，kprobe保存了被探測函數的返回地址并取代返回地址為一個trampoline的地址，kprobe在初始化時定義了該trampoline并且為該trampoline注冊了一個kprobe,當被探測函數執行它的返回指令時，控制傳遞到該trampoline，因此kprobe已經注冊的對應于trampoline的處理函數將被執行，而該處理函數會調用用戶關聯到該kretprobe上的處理函數，處理完畢后，設置指令寄存器指向已經備份的函數返回地址，因而原來的函數返回被正常執行。kretprobe探測函數時，被探測函數的返回地址值在kretprobe中是已知的（kretprobe的處理函數中其中一個參數structkretprobe_instance*ri，該結構的ret_addr字段表示返回地址）。

uprobe是與kprobe相對應的動態地收集調試和性能信息的工具，uprobe用于用戶層程序的的調試、監控。使用思想與方法與kprobe基本一致。

利用kprobe和uprobe提供的kretprobe及uretprobe類型的探測方法探測函數，被探測函數的返回地址值在kretprobe及uretprobe中是已知的（kretprobe的處理函數中其中一個參數structkretprobe_instance*ri，該結構的ret_addr字段表示返回地址，uretprobe類似）。且我們知道如果被探測函數是被某函數調用的話，其返回地址應該在調用函數所在地址區間內。我們可以通過查找程序中所有已知函數所在地址區間進行判斷，某個函數是否是我們被探測函數的調用函數。依次類推，找到整個程序運行時函數調用的路徑。監控程序運行的行為。如有異常情況可及時發現。