macos - 为什么我的 dtruss 跟踪中没有任何 execve 调用？

Question

我有一个这样的脚本：

script.sh

#!/bin/bash

clang -v

如果我对它执行 adtruss操作，那么我希望看到execve对clang.

$ sudo dtruss -f -a -e ./script.sh

但是，跟踪不包含execve. 相反，有一个错误：

...
 1703/0x16931:       856       4      0 sigaction(0x15, 0x7FFEE882A3B8, 0x7FFEE882A3F8)      = 0 0
 1703/0x16931:       858       4      0 sigaction(0x16, 0x7FFEE882A3C8, 0x7FFEE882A408)      = 0 0
 1703/0x16931:       874       4      0 sigaction(0x2, 0x7FFEE882A3C8, 0x7FFEE882A408)       = 0 0
 1703/0x16931:       881       4      0 sigaction(0x3, 0x7FFEE882A3C8, 0x7FFEE882A408)       = 0 0
 1703/0x16931:       883       4      0 sigaction(0x14, 0x7FFEE882A3C8, 0x7FFEE882A408)      = 0 0
dtrace: error on enabled probe ID 2149 (ID 280: syscall::execve:return): invalid address (0x7fc2b5502c30) in action #12 at DIF offset 12
 1703/0x16932:      2873:        0:       0 fork()       = 0 0
 1703/0x16932:      2879     138      5 thread_selfid(0x0, 0x0, 0x0)         = 92466 0
 1703/0x16932:      2958       8      0 issetugid(0x0, 0x0, 0x0)         = 0 0
 1703/0x16932:      2975       8      1 csrctl(0x0, 0x7FFEEE21DC3C, 0x4)         = 0 0
 1703/0x16932:      2985      12      6 csops(0x0, 0x0, 0x7FFEEE21E550)      = 0 0
 1703/0x16932:      3100      13      3 shared_region_check_np(0x7FFEEE21DA98, 0x0, 0x0)    
...

是什么导致了这个错误？
如何让execve命令显示，以便我可以看到调用的程序及其参数？

score 2 · Accepted Answer

这意味着在dtruss内部使用的 DTrace 脚本正在访问一个无效的内存地址，这是在它试图跟踪execve您感兴趣的调用时发生的。所以基本上，dtruss（或者可能是 DTrace 本身）似乎有一个错误，它阻止你获得你想要的信息。不幸的是，Apple 在保持 DTrace 和依赖它的工具在 macOS 上运行方面并不是最好的：-/。

set -x特别是对于 Bash / shell 脚本，您可以通过在脚本顶部添加来打印它运行的每个命令（更多信息在这个其他答案中）。

如果你愿意，你也可以尝试直接使用 DTrace ——这是一个非常简单的单行程序（我自己没有尝试过运行，如果有错别字，敬请见谅）：

sudo dtrace -n 'proc:::exec-success /ppid == $target/ { trace(curpsinfo->pr_psargs); }' -c './script.sh'

它的工作方式是：

proc:::exec-success：跟踪exec-success系统中的所有事件，当-family 系统调用成功返回时，这些事件在子进程中触发。exec*
/ppid == $target/：过滤器，这意味着只有当父进程的 PID ( ppid) 与-c我们传递给dtrace命令 ( $target) 的选项启动的进程返回的 PID 匹配时才会触发。
{ trace(curpsinfo->pr_psargs); }：这是当事件触发并且它与我们的过滤器匹配时要采取的操作。我们只需打印 ( trace) 传递给进程的参数，这些参数存储在curpsinfo变量中。

（如果失败并出现类似的错误，则该错误很可能存在于 macOS 的curpsinfo某个地方的实现中。）

macos - 为什么我的 dtruss 跟踪中没有任何 execve 调用？

1 回答 1

Related

Reference