我dtruss在 MacOS X 10.8.5 上使用,试图查看正在运行的应用程序和与之对话的 SSL 服务器之间的对话。与straceLinux 不同,我没有在输出中看到完整的数据字符串,就像我希望在程序send和recv文件描述符上找到的那样。
如何dtruss向我显示应用程序通过 SSL 服务器发送和接收的数据?
在有人告诉我代理与我控制的 SSL 服务器的连接之前,是的,我知道这个技巧,并且没有这个特定的应用程序太聪明而不会上当。
问问题
1326 次
1 回答
6
dtruss既是为 DTrace 编写的脚本的优雅示例,也是 DTrace 可以完成的演示。然而,尽管它与相对贫瘠的 OS X 相似truss或strace深受欢迎,但我怀疑它dtruss从未打算成为两者的完全替代品。
无论如何,您的问题有点模棱两可:我不确定您是否担心看到的字符串被截断,或者根本看不到 or 的任何字符串sendto()(recvfrom()DTrace 揭示的底层接口)。我会解决这两个问题。
首先,DTrace 在内核中收集数据;用户级缓冲区是使用 D 语言copyin()或copyinstr()在记录并传输回消费者之前获得的——通常是dtrace(1)命令。DTrace 要求在编译时知道其内核缓冲区大小,因此对字符串的不可预测长度施加了限制。此限制默认为 256 字节;如果您看到截断,那么您可以通过添加来更改限制,例如,
#pragma D option strsize=512
下面dtruss的现有pragma.
其次,dtruss通过硬编码了解各种系统调用的格式要求。您在其输出中sendto()或recvfrom()在其输出中看不到任何缓冲区解释,因为它们没有在源中明确处理。没有什么可以阻止您找到适合添加它们的地方,但您可以编写自己的脚本:
bash-3.2# cat sr.d
#pragma D option rawbytes
syscall::sendto:entry,
syscall::recvfrom:entry
/pid == $target/
{
self->bufp = arg1;
self->size = arg2;
}
syscall::sendto:return,
syscall::recvfrom:return
/pid == $target && self->bufp && self->size/
{
printf("%s():\n", probefunc);
tracemem(copyin(self->bufp, self->size), 64);
printf("\n");
self->bufp = self->size = NULL;
}
bash-3.2# dtrace -qs ./sr.d -p 16988
sendto():
0 1 2 3 4 5 6 7 8 9 a b c d e f 0123456789abcdef
0: 68 65 6c 6c 6f 00 00 00 00 00 00 00 00 00 00 00 hello...........
10: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
20: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
30: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
^C
bash-3.2#
请注意,对于字符串,我们有义务对tracemem()DTrace 的数据记录缓冲区的使用提供硬性限制。如果很少接近极限,那么这会产生令人恼火的结果,即输出可能是压倒性的,而且大多是多余的。如果您知道您正在寻找字符串,那么您可以简单地使用copyinstr();如果您有比我的 OS X 10.6.8 更现代的 DTrace 实现,那么您可能会发现可以编写
tracemem(copyin(self->bufp, self->size), 64, self->size);
其中第二个参数仍然是对记录的字节数的硬限制,但显示的字节数受可选的第三个参数的限制。
最后,请注意,用户登陆地址在进入系统调用时记录,但仅在退出时使用。这是一个常见的习惯用法,它允许系统调用在必要时对数据进行错误处理 --- DTrace 本身不会这样做,并且如果被要求跟踪非常驻地址,则会在运行时产生错误。
于 2013-11-10T22:54:07.800 回答