Отслеживание /proc

@admsasha · Регистрация: 11.06.2011

Студворк — интернет-сервис помощи студентам

Хочу сделать отслеживание открытия/закрытия программ. Попытался через inotify сделать отслеживания /proc. Но оказалось, не всё так просто. Именно /proc отследить не возможно. Может еще есть какие то способы ?

Есть конечно метод ежесекундной проверки всего /proc на наличие новых pid, но хотелось бы не делать так.

Humanoid · 11.11.2017, 18:14

Можно через PF_NETLINK отслеживать. Когда-то нашёл такой пример:

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/connector.h>
#include <linux/cn_proc.h>
#include <signal.h>
#include <errno.h>
#include <stdbool.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <stdio.h>
 
/*
* connect to netlink
* returns netlink socket, or -1 on error
*/
static int nl_connect()
{
    int rc;
    int nl_sock;
    struct sockaddr_nl sa_nl;
    
    nl_sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_CONNECTOR);
    if (nl_sock == -1) {
        perror("socket");
        return -1;
    }
    
    sa_nl.nl_family = AF_NETLINK;
    sa_nl.nl_groups = CN_IDX_PROC;
    sa_nl.nl_pid = getpid();
    
    rc = bind(nl_sock, (struct sockaddr *)&sa_nl, sizeof(sa_nl));
    if (rc == -1) {
        perror("bind");
        close(nl_sock);
        return -1;
    }
    
    return nl_sock;
}
 
/*
* subscribe on proc events (process notifications)
*/
static int set_proc_ev_listen(int nl_sock, bool enable)
{
    int rc;
    struct __attribute__ ((aligned(NLMSG_ALIGNTO))) {
        struct nlmsghdr nl_hdr;
        struct __attribute__ ((__packed__)) {
            struct cn_msg cn_msg;
            enum proc_cn_mcast_op cn_mcast;
        };
    } nlcn_msg;
    
    memset(&nlcn_msg, 0, sizeof(nlcn_msg));
    nlcn_msg.nl_hdr.nlmsg_len = sizeof(nlcn_msg);
    nlcn_msg.nl_hdr.nlmsg_pid = getpid();
    nlcn_msg.nl_hdr.nlmsg_type = NLMSG_DONE;
    
    nlcn_msg.cn_msg.id.idx = CN_IDX_PROC;
    nlcn_msg.cn_msg.id.val = CN_VAL_PROC;
    nlcn_msg.cn_msg.len = sizeof(enum proc_cn_mcast_op);
    
    nlcn_msg.cn_mcast = enable ? PROC_CN_MCAST_LISTEN : PROC_CN_MCAST_IGNORE;
    
    rc = send(nl_sock, &nlcn_msg, sizeof(nlcn_msg), 0);
    if (rc == -1) {
        perror("netlink send");
        return -1;
    }
    
    return 0;
}
 
/*
* handle a single process event
*/
static volatile bool need_exit = false;
static int handle_proc_ev(int nl_sock)
{
    int rc;
    struct __attribute__ ((aligned(NLMSG_ALIGNTO))) {
        struct nlmsghdr nl_hdr;
        struct __attribute__ ((__packed__)) {
            struct cn_msg cn_msg;
            struct proc_event proc_ev;
        };
    } nlcn_msg;
    
    while (!need_exit) {
        rc = recv(nl_sock, &nlcn_msg, sizeof(nlcn_msg), 0);
        if (rc == 0) {
            /* shutdown? */
            return 0;
        } else if (rc == -1) {
            if (errno == EINTR) continue;
            perror("netlink recv");
            return -1;
        }
        switch (nlcn_msg.proc_ev.what) {
            case PROC_EVENT_NONE:
                printf("set mcast listen ok\n");
                break;
            case PROC_EVENT_FORK:
                printf("fork: parent tid=%d pid=%d -> child tid=%d pid=%d\n",
                       nlcn_msg.proc_ev.event_data.fork.parent_pid,
           nlcn_msg.proc_ev.event_data.fork.parent_tgid,
           nlcn_msg.proc_ev.event_data.fork.child_pid,
           nlcn_msg.proc_ev.event_data.fork.child_tgid);
                break;
            case PROC_EVENT_EXEC:
                printf("exec: tid=%d pid=%d\n",
                       nlcn_msg.proc_ev.event_data.exec.process_pid,
           nlcn_msg.proc_ev.event_data.exec.process_tgid);
                break;
            case PROC_EVENT_UID:
                printf("uid change: tid=%d pid=%d from %d to %d\n",
                       nlcn_msg.proc_ev.event_data.id.process_pid,
           nlcn_msg.proc_ev.event_data.id.process_tgid,
           nlcn_msg.proc_ev.event_data.id.r.ruid,
           nlcn_msg.proc_ev.event_data.id.e.euid);
                break;
            case PROC_EVENT_GID:
                printf("gid change: tid=%d pid=%d from %d to %d\n",
                       nlcn_msg.proc_ev.event_data.id.process_pid,
           nlcn_msg.proc_ev.event_data.id.process_tgid,
           nlcn_msg.proc_ev.event_data.id.r.rgid,
           nlcn_msg.proc_ev.event_data.id.e.egid);
                break;
            case PROC_EVENT_EXIT:
                printf("exit: tid=%d pid=%d exit_code=%d\n",
                       nlcn_msg.proc_ev.event_data.exit.process_pid,
           nlcn_msg.proc_ev.event_data.exit.process_tgid,
           nlcn_msg.proc_ev.event_data.exit.exit_code);
                break;
            default:
                printf("unhandled proc event\n");
                break;
        }
    }
    
    return 0;
}
 
static void on_sigint(int unused)
{
    need_exit = true;
}
 
int main(int argc, const char *argv[])
{
    int nl_sock;
    int rc = EXIT_SUCCESS;
    
    signal(SIGINT, &on_sigint);
    siginterrupt(SIGINT, true);
    
    nl_sock = nl_connect();
    if (nl_sock == -1)
        exit(EXIT_FAILURE);
    
    rc = set_proc_ev_listen(nl_sock, true);
    if (rc == -1) {
        rc = EXIT_FAILURE;
        goto out;
    }
    
    rc = handle_proc_ev(nl_sock);
    if (rc == -1) {
        rc = EXIT_FAILURE;
        goto out;
    }
    
    set_proc_ev_listen(nl_sock, false);
    
    out:
    close(nl_sock);
    exit(rc);
}

@admsasha · 11.11.2017, 18:23 **[ТС]**

Спасибо за код, но реакции 0.

На всякий случай

$ uname -r
4.9.41-nrj-desktop-1rosa-x86_64

Humanoid · 12.11.2017, 17:54

Странно... ни каких сообщений об ошибках не выдавал? У меня этот пример работает:

Code
1
2
3
4
5
6
7
8
humanoid@comp:~$ gcc a.c
humanoid@comp:~$ sudo ./a.out 
[sudo] password for humanoid: 
set mcast listen ok
fork: parent tid=2381 pid=2381 -> child tid=6926 pid=6926
unhandled proc event
exec: tid=6926 pid=6926
exit: tid=6926 pid=6926 exit_code=0

В этом примере я его запустил (через sudo) и после этого запустил и закрыл калькулятор. И в консоли появились соответствующие строки. У меня обычная Kubuntu

Code
1
2
humanoid@comp:~$ uname -a
Linux comp 4.4.0-98-generic #121~14.04.1-Ubuntu SMP Wed Oct 11 11:54:55 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

@admsasha · 13.11.2017, 04:06 **[ТС]**

Нет, ничего не пишет (даже "set mcast listen ok"). Проверял, кстати, тоже на калькуляторе.

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@admsasha 28 / 27 / 7 Регистрация: 11.06.2011 Сообщений: 387

	Отслеживание /proc 11.11.2017, 16:27. Показов 1983. Ответов 4 Метки нет (Все метки) Хочу сделать отслеживание открытия/закрытия программ. Попытался через inotify сделать отслеживания /proc. Но оказалось, не всё так просто. Именно /proc отследить не возможно. Может еще есть какие то способы ? Есть конечно метод ежесекундной проверки всего /proc на наличие новых pid, но хотелось бы не делать так. 0

@admsasha 28 / 27 / 7 Регистрация: 11.06.2011 Сообщений: 387
	13.11.2017, 04:06 [ТС]
	Нет, ничего не пишет (даже "set mcast listen ok"). Проверял, кстати, тоже на калькуляторе. 0