如何拦截对文件系统的调用

Question

我有兴趣拦截与文件系统相关的所有系统调用，而是让我自己的代码运行。例如，对 creat、write、close、lseek、getcwd 等的调用。我的目标是创建一个类似 execve 的函数，该函数将所有文件 I/O 从生成的程序捕获到由调用进程管理的内存文件系统中。这样，调用程序就可以在没有文件系统开销的情况下检查输出。

我的用例是使用没有 API 或库的大型数值模拟程序。这些程序仅通过输入和输出文件进行通信。如果这些文件很大，可能会占用运行时的大部分时间来执行 I/O。在某些具有超级用户权限的计算机上，可以设置位于 RAM 中的文件系统（例如 Linux 上的 tmpfs），但如果没有超级用户权限，或者以某种方式配置的机器，这是不可能的.

我知道使用 LD_PRELOAD 可以调用自定义代码而不是 libc 中的函数。但是，这只适用于动态链接的程序，它不能回答如何在调用程序（我想托管内存文件系统）和被调用者之间执行 IPC 的问题。这种方法的问题是如何最好地执行 IPC。我应该使用管道、unix 域套接字还是一些共享内存？

我还将 ptrace 视为拦截系统调用的一种方式。这似乎可行，但我对这种方法有两个问题。首先，如何防止发生实际的系统调用（而不是像我在一些示例中看到的那样仅修改系统调用的参数）。第二，ptrace是否允许高性能读取被调用者的内存空间？

Answer 1

使用LD_PRELOAD，你可以让你的拦截代码在被调用者的内存空间中运行。使用库构造函数 (__attribute__((constructor)))，您可以在库首次启动时运行您选择的代码，例如mmap你的虚拟文件系统并初始化它。

然后，当您使用预加载的库拦截调用时，库的函数正在目标进程中运行，可以访问构建的文件系统——无需 IPC。

如果调用进程必须管理文件系统，则与它通信会产生开销。我建议在子进程中映射文件系统的重要部分（可能作为共享内存区域），而不是在子进程中使用侦听器来监视来自父进程的文件系统更改（在文件系统操作周围进行适当的锁定）。由于带宽要求较低，您可以使用简单的管道进行更改通知。

还可以查看Plash，这是一个半虚拟化系统，它通过提供修改后的 Glibc 来沙盒文件系统访问。