Linux调试工具lsof的深入分析

发布时间：2014-09-05 16:45:58作者：知识屋

1)查看对某个文件的使用情况

-------------------------------------------------------

root@troy:/# lsof -w /etc/passwd

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

python 2340 troy 10r REG 8,1 1804 2886346 /etc/passwd

-------------------------------------------------------

注:-w参数表示不打印警告信息.

lsof程序会打开/proc/PID/fd/目录找到对映的文件句柄,再通过stat系统调用得到文件的详细信息.

同时还会利用fdinfo目录下的文件句柄得到打开文件时的状态.

例如:

1.1)创建程序test.c,本程序在/tmp/目录下以O_WRONLY(只写)和O_SYNC(同步)方式打开temp文件.

-------------------------------------------------------

root@troy:/tmp# more test.c

#include <unistd.h>

#include <sys/types.h>

#include <sys/stat.h>

#include <fcntl.h>

int main ()

{

int fd;

fd = open("/tmp/temp", O_WRONLY|O_SYNC);

lseek(fd, 80L, SEEK_SET);

sleep(100);

close(fd);

return 0;

}

root@troy:/tmp# gcc test.c -o testfd

root@troy:/tmp# ./testfd &

-------------------------------------------------------

1.2)观察testfd程序打开的文件/tmp/temp

-------------------------------------------------------

cat /proc/$(lsof -w /tmp/temp|awk '/testfd/{print $2}')/fdinfo/3

pos: 80

flags: 0110001

-------------------------------------------------------

我们看到程序输出pos和flags两组数据,pos字段表示被打开文件的当前读写位置,flags表示以文件方式打开该文件.

pos为80表示从文件起始位置移动80个字节的位置.

flags为0110001中的xxxxxx1表示以只写方式打开文件,如果是只读则为xxxxxx0,如果可读可写则为xxxxxx2,

其中的xx1xxxx表示以同步方式(O_SYNC)打开文件,如果改用以O_ASYNC方式打开文件,则为xx2xxxx,

如果同时指定了O_SYNC和O_ASYNC两种方式打开文件,结果则为xx3xxxx.

如果我们增加了O_APPEND方式打开文件,结果则为xxx2xxx.

如果我们增加了O_NONBLOCK方式打开文件,结果则为xxx4xxx.

如果同时指定了O_APPEND和NONBLOCK两种方式,结果则为xxx6xxx.

最后指明一下O_ASYNC用于打开终端和socket文件,默认产生SIGIO信号.

而O_NONBLOCK表示不阻塞打开的文件,只用于FIFO的管道文件中.

2)查看对某个目录的使用情况

我们先执行上个试验的程序.

-------------------------------------------------------

root@troy:~# /tmp/testfd &

[1] 17021

root@troy:~# lsof +d /tmp/

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

gedit 2531 troy 7u unix 0xffff880029a49b00 0t0 17106 /tmp/gedit.troy.917415843

testfd 17021 root txt REG 8,1 8617 262475 /tmp/testfd

testfd 17021 root 3w REG 8,1 0 262412 /tmp/temp

bash 3926 troy cwd DIR 8,1 4096 262149 /tmp

bash 4001 troy cwd DIR 8,1 4096 262149 /tmp

-------------------------------------------------------

如果不加参数+d呢?这里我们只看到了用户的当前使用目录,如下:

-------------------------------------------------------

root@troy:~# lsof -w /tmp

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

bash 3926 troy cwd DIR 8,1 4096 262149 /tmp

bash 4001 troy cwd DIR 8,1 4096 262149 /tmp

-------------------------------------------------------

有什么区别吗？

加+d参数的情况下,lsof会遍列所有的进程,以及进程下所有的fd,fdinfo,cwd,root,exec,maps,以查找被程序占用中的目录.

而不加参数+d的情况下,lsof只会遍列所有进程的cwd,cwd是用户当前目录的软链接.如下:

-------------------------------------------------------

root@troy:~# ls -l /proc/3926/cwd

lrwxrwxrwx 1 troy troy 0 2011-02-09 19:23 /proc/3926/cwd -> /tmp

-------------------------------------------------------

3)查看某个进程的使用情况

-------------------------------------------------------

troy@troy:/proc/23294$ lsof -p 23294

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

ssh 23294 troy cwd DIR 8,1 4096 262149 /tmp

ssh 23294 troy rtd DIR 8,1 4096 2 /

ssh 23294 troy txt REG 8,1 339712 1058082 /usr/bin/ssh

ssh 23294 troy mem REG 8,1 51712 787472 /lib/libnss_files-2.11.1.so

ssh 23294 troy mem REG 8,1 43552 787456 /lib/libnss_nis-2.11.1.so

ssh 23294 troy mem REG 8,1 97256 787430 /lib/libnsl-2.11.1.so

ssh 23294 troy mem REG 8,1 35712 787454 /lib/libnss_compat-2.11.1.so

ssh 23294 troy mem REG 8,1 135745 787466 /lib/libpthread-2.11.1.so

ssh 23294 troy mem REG 8,1 10224 787804 /lib/libkeyutils-1.2.so

ssh 23294 troy mem REG 8,1 31168 1050775 /usr/lib/libkrb5support.so.0.1

ssh 23294 troy mem REG 8,1 14584 798518 /lib/libcom_err.so.2.1

ssh 23294 troy mem REG 8,1 154048 1050756 /usr/lib/libk5crypto.so.3.1

ssh 23294 troy mem REG 8,1 803192 1050769 /usr/lib/libkrb5.so.3.3

ssh 23294 troy mem REG 8,1 14696 795838 /lib/libdl-2.11.1.so

ssh 23294 troy mem REG 8,1 1572232 787469 /lib/libc-2.11.1.so

ssh 23294 troy mem REG 8,1 213784 1050761 /usr/lib/libgssapi_krb5.so.2.2

ssh 23294 troy mem REG 8,1 93000 787444 /lib/libresolv-2.11.1.so

ssh 23294 troy mem REG 8,1 92752 786985 /lib/libz.so.1.2.3.3

ssh 23294 troy mem REG 8,1 1622304 796093 /lib/libcrypto.so.0.9.8

ssh 23294 troy mem REG 8,1 136936 787431 /lib/ld-2.11.1.so

ssh 23294 troy 0u CHR 136,20 0t0 23 /dev/pts/20

ssh 23294 troy 1u CHR 136,20 0t0 23 /dev/pts/20

ssh 23294 troy 2u CHR 136,20 0t0 23 /dev/pts/20

ssh 23294 troy 3u IPv4 1603924 0t0 TCP troy.local:41879->10.1.1.7:ssh (ESTABLISHED)

ssh 23294 troy 4w FIFO 0,8 0t0 1603904 pipe

ssh 23294 troy 5u CHR 136,19 0t0 22 /dev/pts/19

ssh 23294 troy 6r CHR 5,0 0t0 1129 /dev/tty

ssh 23294 troy 7u CHR 136,21 0t0 24 /dev/pts/21

ssh 23294 troy 8u CHR 136,20 0t0 23 /dev/pts/20

ssh 23294 troy 9u CHR 136,20 0t0 23 /dev/pts/20

ssh 23294 troy 10u CHR 136,20 0t0 23 /dev/pts/20

-------------------------------------------------------

lsof程序会跟据用户指定的PID，遍列/proc/目录找到该PID，在/proc/PID目录下依次打开stat,maps,fd,fdinfo.

stat文件包含了当前进程的信息.

当前进程的stat如下:

23294 (ssh) S 23291 23294 23294 34837 23294 4202496 836 0 0 0 8 10 0 0 20 0 1 0 29282141 39632896 658 18446744073709551615 140114439372800 140114439700540 140733214155456 140733214149016 140114423930835 0 0 4096 136331271 18446744071580239593 0 0 17 1 0 0 0 0 0

maps文件包含映像的文件:

当前进程的maps如下:

7f6eecf42000-7f6eecf4e000 r-xp 00000000 08:01 787472 /lib/libnss_files-2.11.1.so

7f6eecf4e000-7f6eed14d000 ---p 0000c000 08:01 787472 /lib/libnss_files-2.11.1.so

7f6eed14d000-7f6eed14e000 r--p 0000b000 08:01 787472 /lib/libnss_files-2.11.1.so

7f6eed14e000-7f6eed14f000 rw-p 0000c000 08:01 787472 /lib/libnss_files-2.11.1.so

7f6eed14f000-7f6eed159000 r-xp 00000000 08:01 787456 /lib/libnss_nis-2.11.1.so

7f6eed159000-7f6eed358000 ---p 0000a000 08:01 787456 /lib/libnss_nis-2.11.1.so

7f6eed358000-7f6eed359000 r--p 00009000 08:01 787456 /lib/libnss_nis-2.11.1.so

7f6eed359000-7f6eed35a000 rw-p 0000a000 08:01 787456 /lib/libnss_nis-2.11.1.so

7f6eed35a000-7f6eed371000 r-xp 00000000 08:01 787430 /lib/libnsl-2.11.1.so

7f6eed371000-7f6eed570000 ---p 00017000 08:01 787430 /lib/libnsl-2.11.1.so

7f6eed570000-7f6eed571000 r--p 00016000 08:01 787430 /lib/libnsl-2.11.1.so

7f6eed571000-7f6eed572000 rw-p 00017000 08:01 787430 /lib/libnsl-2.11.1.so

后省略.

这里用pmap 23294也可以找到加载的文件与虚拟地址的对映.

fd,fdinfo我们已经分析过了,当lsof找到/proc/23294/3时,发现是个socket文件,如下:

----------------------------------------------------

troy@troy:/proc/23294/fd$ ls -l

total 0

lrwx------ 1 troy troy 64 2011-02-11 02:47 0 -> /dev/pts/20

lrwx------ 1 troy troy 64 2011-02-11 02:47 1 -> /dev/pts/20

lrwx------ 1 troy troy 64 2011-02-11 02:47 10 -> /dev/pts/20

lrwx------ 1 troy troy 64 2011-02-11 01:07 2 -> /dev/pts/20

lrwx------ 1 troy troy 64 2011-02-11 02:47 3 -> socket:[1603924]

l-wx------ 1 troy troy 64 2011-02-11 02:47 4 -> pipe:[1603904]

lrwx------ 1 troy troy 64 2011-02-11 02:47 5 -> /dev/pts/19

lr-x------ 1 troy troy 64 2011-02-11 02:47 6 -> /dev/tty

lrwx------ 1 troy troy 64 2011-02-11 02:47 7 -> /dev/pts/21

lrwx------ 1 troy troy 64 2011-02-11 02:47 8 -> /dev/pts/20

lrwx------ 1 troy troy 64 2011-02-11 02:47 9 -> /dev/pts/20

----------------------------------------------------

此时会依次打开以下的文件,对网络套字接进行分析,各文件作用如下:

/proc/net/raw ---->原始套接字

/proc/net/unix ---->UNIX套接字

/proc/net/sockstat ---->当前套接字的使用情况

/proc/net/tcp ---->TCP套接字

/proc/net/udp ---->UDP套接字

/proc/net/udplite --->UDP无线通讯套接字

在/proc/net/tcp会找到对映的inode,socket:[1603924]的inode为1603924,而tcp中sl为12的一行正是这个socket服务.如下:

----------------------------------------------------

more /proc/net/tcp

sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode

0: 00000000:0087 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 8984 1 ffff8800677d1380 300 0 0 2 -1

1: 00000000:0369 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 8575 1 ffff8800677d0d00 300 0 0 2 -1

2: 00000000:0050 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 8673 1 ffff880068c51a00 300 0 0 2 -1

3: 00000000:1770 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 5350 1 ffff880068c50680 300 0 0 2 -1

4: 00000000:0016 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 4315 1 ffff880068c50000 300 0 0 2 -1

5: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 25571 1 ffff88001a06c780 300 0 0 2 -1

6: 00000000:0BB8 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 7881 1 ffff8800677d0680 300 0 0 2 -1

7: 00000000:BD59 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 8986 1 ffff880068c52080 300 0 0 2 -1

8: 0100007F:0019 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 6304 1 ffff880068c50d00 300 0 0 2 -1

9: 4506010A:D6E9 0701010A:0016 01 00000000:00000000 02:00028405 00000000 1502 0 1603452 2 ffff880057896180 22 4 8 5 -1

10: 4506010A:89A5 0701010A:0016 01 00000000:00000000 02:00091EFF 00000000 1502 0 1672803 2 ffff88001a068680 25 4 18 4 -1

11: 4506010A:872E 0701010A:0016 01 00000000:00000000 02:0004B77C 00000000 1502 0 1177942 2 ffff880057893a80 125 4 0 3 2

12: 4506010A:A397 0701010A:0016 01 00000000:00000000 02:0004D6A6 00000000 1502 0 1603924 2 ffff880057894e00 23 4 0 5 -1

13: 4506010A:BD31 0701010A:0016 01 00000000:00000000 02:000139A5 00000000 1502 0 1345002 2 ffff880057897500 22 4 0 5 -1

14: 4506010A:8F21 0701010A:0016 01 00000000:00000000 02:000192BE 00000000 1502 0 1351794 2 ffff880057896800 25 4 12 4 -1

15: 4506010A:8AD1 0701010A:0016 01 00000000:00000000 02:00094915 00000000 1502 0 1447912 2 ffff880068c55b00 21 4 14 4 -1

----------------------------------------------------

其中local_address代表本地的IP和端口

4506010A(本地地址)的45转化为十进制是69,06转化为十制制是6,01转化为十进制是1,0A转化为十进制是10,倒过来也就是10.1.1.69,是本地地址.

A397(本地端口)转化为十进制是41879,也就是本地端口

rem_address代表远程IP和端口

0701010A(远程地址):10.1.1.7

0016(远程端口)22

其它参数都是内核调试时使用

uid就是用户的UID

4)显示所属user进程打开的文件

----------------------------------------------------

root@troy:/proc/2554# lsof -u test -w

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

su 2554 test cwd DIR 8,1 4096 2 /

su 2554 test rtd DIR 8,1 4096 2 /

su 2554 test txt REG 8,1 36864 262185 /bin/su

su 2554 test mem REG 8,1 27024 797476 /lib/libnss_lsass.so.2.0.0

su 2554 test mem REG 8,1 10272 1102794 /usr/lib/gconv/IBM850.so

su 2554 test mem REG 8,1 14392 1102782 /usr/lib/gconv/UTF-16.so

su 2554 test mem REG 8,1 43528 795516 /lib/security/pam_gnome_keyring.so

su 2554 test mem REG 8,1 256768 787477 /lib/libdbus-1.so.3.4.0

su 2554 test mem REG 8,1 14536 1052877 /usr/lib/libck-connector.so.0.0.0

su 2554 test mem REG 8,1 10360 795488 /lib/security/pam_ck_connector.so

su 2554 test mem REG 8,1 14344 787928 /lib/libgpg-error.so.0.4.0

su 2554 test mem REG 8,1 491000 787918 /lib/libgcrypt.so.11.5.2

su 2554 test mem REG 8,1 92752 786985 /lib/libz.so.1.2.3.3

su 2554 test mem REG 8,1 67896 1055840 /usr/lib/libtasn1.so.3.1.7

su 2554 test mem REG 8,1 10224 787804 /lib/libkeyutils-1.2.so

su 2554 test mem REG 8,1 31168 1050775 /usr/lib/libkrb5support.so.0.1

su 2554 test mem REG 8,1 14584 798518 /lib/libcom_err.so.2.1

以下略

----------------------------------------------------

通过strace,我们知道lsof通过stat系统调用得到这个进程的目录owner,正是我们要找的用户进程.

如下:

stat("/proc/2554/", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0

open("/proc/2554/stat", O_RDONLY) = 4

read(4, "2554 (su) S 2533 2554 2533 34817"..., 4096) = 241

最后lsof通过调用cwd,root,fd,fdinfo,maps以及网络套接字显示输出用户进程所使用的文件.

5)显示网络服务

----------------------------------------------------

root@troy:~# lsof -i

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

smbd 767 root 22u IPv6 4410 0t0 TCP *:microsoft-ds (LISTEN)

smbd 767 root 23u IPv6 4412 0t0 TCP *:netbios-ssn (LISTEN)

sshd 787 root 3u IPv4 4227 0t0 TCP *:ssh (LISTEN)

sshd 787 root 4u IPv6 4229 0t0 TCP *:ssh (LISTEN)

avahi-dae 809 avahi 13u IPv4 4568 0t0 UDP *:mdns

avahi-dae 809 avahi 14u IPv4 4569 0t0 UDP *:50511

dhclient 883 root 5u IPv4 4530 0t0 UDP *:bootpc

Xorg 912 root 1u IPv6 4705 0t0 TCP *:x11 (LISTEN)

Xorg 912 root 3u IPv4 4706 0t0 TCP *:x11 (LISTEN)

dcerpcd 1132 root 15u IPv4 8845 0t0 TCP *:loc-srv (LISTEN)

dcerpcd 1132 root 16u IPv4 8846 0t0 UDP *:loc-srv

eventlogd 1261 root 14u IPv4 8850 0t0 TCP *:55846 (LISTEN)

exim4 1563 Debian-exim 3u IPv4 6359 0t0 TCP localhost:smtp (LISTEN)

以下略

----------------------------------------------------

lsof通过遍列所有进程的所有文件句柄,找到网络套接字,再通过/proc/net/下面的网络信息得到具体的套接字信息.

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）

上一篇:linux创建虚拟内存

下一篇:《Linux那些事儿之我是USB》我是U盘（24）彼岸花的传说（三）

软件推荐

更多 >

游戏推荐

更多 >

精选栏目

手机游戏

手机软件

电脑软件

猜你喜欢

竞技战国网贷借钱 WIFI 挂机财经小说区块链辅助不上征信直播英语口语仙侠系统网易西游健康分期放置经营 MOBA 三国社交闯关竞速换装 360 角色母婴医疗奇迹联机铃声唱歌魔幻卡牌个人借贷购物抢红包体育格斗投屏招聘理财腾讯关卡阅读学习通讯趣味

Linux调试工具lsof的深入分析

相关知识

软件推荐

游戏推荐

精选栏目

win10

YLMF—OS

Win—XP

windows8

linux

windows7

热门推荐

手机游戏

手机软件

电脑软件

猜你喜欢