急问几个问题

nighthuman

1。如何判断一个进程是不是某一个可执行文件的产物？
   原因：我想截获ftpd及其fork的子进程产生的系统调用。
         在截获到系统调用时，如何判断它是不是ftpd发出或者其fork的进程发出的？
2。如何在内核态获得进程请求系统调用的地址？
   原因：我修改了IDT表的对应于0x80处的函数指针。
         指向的函数先调用一个自己的函数，然后再调用原IDT表中的处理函数。
         我现在需要在自己的函数中获得发生系统调用时的eip和esp。

xieweiyi

为什么不用gdb？系统调用本来就可以trace的啊，为什么自己做啊？？

nighthuman

我需要在某一个程序发生系统调用的时候，获得调用号、调用参数、调用地址、栈内的函数调用情况以及判断该调用是否在一个signal handle中。

并且做好的模块要能够在程序正常执行的过程中获得数据，作为下一步工作的基础。

camelguo

晕！你到底想干什么！在干什么之前，一定要看看网上是否已经有人做过这项的事情。根据我的经验，我们所做的大部分工作都有现成的案例可以参考。

crquan

建议参考一下 strace 的源代码。