Linux系统调用入口是entry_SYSCALL_64汇编函数,位于arch/x86/entry/entry_64.S;它通过syscall指令触发,负责保存寄存器、切换栈并跳转到do_syscall_64,再经sys_call_table分发至具体sys_*函数。
系统调用从用户态到内核态的入口在哪
Linux 系统调用不是直接跳进内核函数,而是通过一个受控的软中断或特殊指令触发上下文切换。x86-64 上最常见的是 syscall 指令,它会把控制权交给内核预设的入口点 entry_SYSCALL_64(位于 arch/x86/entry/entry_64.S)。这个入口负责保存寄存器、切换栈、检查是否为 compat 模式,并跳转到 C 层主调度函数。
- 用户代码调用
glibc封装的open()、read()等,最终会执行syscall指令(而非int 0x80,后者是旧模式) -
syscall指令前,系统调用号必须提前写入%rax,参数依次放入%rdi、%rsi、%rdx、%r10、%r8、%r9 - 内核不会信任用户传入的指针值,所有地址在进入具体处理函数前都要经
copy_from_user()或access_ok()校验
内核中如何找到对应系统调用的实现函数
系统调用号和函数指针的映射关系保存在 sys_call_table 数组里,定义于 arch/x86/entry/syscalls/syscall_64.tbl,编译时生成 arch/x86/entry/syscalls_64.c。比如 read 的调用号是 0,查表可知它对应 sys_read 函数。
-
sys_read并非最终逻辑,它只是入口封装:做参数检查、获取文件描述符对应的struct file *,再调用file->f_op->read()(即具体文件系统的读操作函数) - 很多系统调用会进一步分发:如
openat→do_sys_open→path_openat→ 各种路径解析和 inode 查找逻辑 - 注意
sys_*命名的函数运行在进程上下文中,可睡眠;而中断上下文中的函数(如do_IRQ)不能调用它们
为什么 strace 能看到系统调用,但 perf trace 有时看不到完整路径
strace 依赖 ptrace 机制,在内核的系统调用入口/出口处插桩,捕获寄存器状态,因此能准确显示调用号、参数、返回值和耗时。而 perf trace 默认基于 ftrace 的 sys_enter/sys_exit 事件,虽然开销更低,但:
新版本程序更新主要体现在:完美整合BBS论坛程序,用户只须注册一个帐号,即可全站通用!采用目前流行的Flash滚动切换广告 变换形式多样,受人喜爱!在原有提供的5种在线支付基础上增加北京云网支付!对留言本重新进行编排,加入留言验证码,后台有留言审核开关对购物系统的前台进行了一处安全更新。在原有文字友情链接基础上,增加LOGO友情链接功能强大的6种在线支付方式可选,自由切换。对新闻列表进行了调整,
- 若内核未启用
CONFIG_FTRACE_SYSCALLS=y,perf trace就无法触发系统调用事件 - 它不自动解析参数语义(比如不会把
fd=3显示为/dev/pts/0),需配合--call-graph和符号表才能看到后续调用链 - 对于被优化掉的内联函数(如部分
__fget_light调用),perf可能跳过中间环节,只显示顶层sys_read
自己加日志或调试时,该 hook 哪个位置才真正“刚进来”
如果想确认某次系统调用是否被执行,最靠前且稳定的打点位置是 sys_calltable 对应的 sys* 函数开头;若要观察更底层行为(比如是否被 seccomp 过滤、是否触发了 audit),则应在:
-
entry_SYSCALL_64汇编入口(需内核模块 + kprobe,注意栈尚未切换完全) -
do_syscall_64(位于arch/x86/entry/common.c),这里完成调用号校验、seccomp 检查、然后索引sys_call_table -
__secure_computing(seccomp 触发点,可能直接 kill 当前进程)
别在 sys_read 里加 printk 然后奇怪“为什么有些 read 没打出来”——它可能被 seccomp kill 在之前,也可能被 ptrace 拦截并伪造返回值。真正“刚进来”的位置比想象中更靠前,也更难安全修改。
