本發明提供一種內核源碼級的系統調用跟蹤方法，步驟包括：1)在Linux內核源碼實現系統調用的匯編文件的同級目錄下，添加含系統調用號捕獲函數的文件；2)使用匯編指令調用系統調用號捕獲函數，獲取系統調用號；3)將獲得的系統調用號存儲記錄并進行頻率統計，實現系統調用跟蹤。本方法通過修改Linux內核源碼，在內核源碼合適的位置添加系統調用檢測模塊，實時捕獲與記錄Linux系統中所有系統調用行為。

技術領域

本發明涉及計算機領域，具體涉及一種內核源碼級的系統調用跟蹤方法，根據系統調用的運用場景，在Linux內核源碼中添加系統調用檢測模塊，實時跟蹤Linux系統中所有系統調用行為。

背景技術

操作系統內核提供一系列具備預定功能的內核函數，應用程序使用內核提供的服務時，會通過內核提供的一組名為系統調用(system call)的接口來實現所需功能。系統調用把應用程序的請求傳給內核，調用相應的內核函數完成所需處理，將處理結果返回給應用程序。系統調用接口是Linux內核與上層應用程序進行交互通信的唯一接口，如圖1所示。系統調用的應用程序、相應的封裝例程、系統調用處理程序及系統調用服務例程之間的關系如圖2所示。

為了把系統調用號與相應的服務例程關聯起來，內核維護了一個系統調用表，這個表是系統調用號與內核服務函數的對照表。系統調用表存放在一個名為sys_call_table的數組中，有NR_syscalls個表項，第n個表項包含系統調用號為n的服務例程的地址。以TiDM368 IPNC的源碼Linux 2.6.37為例，共有370個系統調用號，所有系統調用的編號定義在arch/arm/include/asm/unistd.h中，例如：0：_NR_restart_system，1：_NR_exit，2：_NR_fork，……，369：_NR_prlim it等。

一個應用程序的源代碼經過編譯鏈接后成為可執行程序，裝載在用戶的內存區域，程序在執行過程中會使用內核提供的系統服務，每個系統調用都有相應的系統調用號作為唯一標識。用戶態的程序通過軟中斷指令陷入內核態，同時通過CPU內部寄存器傳遞系統調用號。內核在執行系統調用獲取系統調用號后，以系統調用表的基地址加上系統調用號的偏移作為地址，跳轉到相應的系統調用例程做相應的處理。

通過跟蹤Linux系統中的系統調用行為，有助于檢測與分析系統及系統中運行的應用程序的運行狀態，進一步判斷系統是否出現異常。

發明內容

本發明的目的在于提供一種內核源碼級的系統調用跟蹤方法，通過修改Linux內核源碼，在內核源碼合適的位置添加系統調用檢測模塊，實時捕獲與記錄Linux系統中所有系統調用行為。

為解決上述技術問題，本發明采用如下技術方案：

一種內核源碼級的系統調用跟蹤方法，步驟包括：

1)在Linux內核源碼實現系統調用的匯編文件的同級目錄下，添加含系統調用號捕獲函數的文件；

2)使用匯編指令調用系統調用號捕獲函數，獲取系統調用號；

3)將獲得的系統調用號存儲記錄并進行頻率統計，實現系統調用跟蹤。

進一步地，對于以Ti DM368IPNC為源碼的Linux 2.6.37系統，匯編文件為linux/arch/arm/kernel/entry-common.S。

進一步地，匯編指令為可獲取系統調用號的指令，對于以Ti DM368IPNC為源碼的Linux2.6.37系統，該匯編指令為ldrcc pc,[tbl,scno,lsl#2]。

進一步地，系統調用號捕獲函數為自己實現函數，采用內聯匯編實現。