如何通过Strace新手快速识别可疑进程的异常系统调用?
- 内容介绍
- 相关推荐
本文共计743个文字,预计阅读时间需要3分钟。
新手上路,使用strace分析可疑进程,关键不在于抓全所有调用,而是快速聚焦异常信号——失败的权限操作、不该出现的写入路径、非预期的网络连接。它不会自动标记非法,但能帮你一眼发现那些本不该发生却发生了的行为。
先确认目标进程,再动态附加
别急着启动新进程。多数可疑程序已在运行,比如一个名字奇怪的 Python 脚本或隐藏在后台的二进制:
- 用 pgrep -f "python.*tmp" 或 ps aux | grep -v grep | grep -E "(sh|py|bin)" 找出疑似 PID
- 立刻执行:strace -p [PID] -f -y -e trace=openat,write,sendto,connect,execve -T -o suspicious.log
- -f 确保子进程不漏掉(恶意载荷常 fork 新进程);-y 把 fd 显示成真实路径(如 write(3</tmp/.shell>, ...),否则你只能看到 “fd 3” 却不知写哪
重点盯三类“反常结果”,不是调用本身
很多异常藏在返回值和上下文里,而非调用名:
- 权限失败但本该成功:比如配置加载进程反复 openat(..., "/etc/myapp/config.yaml", ...) = -1 EACCES —— 它本应有读权限,EACCES 就是线索
- 成功执行了危险动作:如 execve("/tmp/.malware", [...], [...]) = 0 或 sendto(3<192.168.1.200:443>, ...) —— 普通工具不该调 execve 到 /tmp,也不该直连陌生 IP+端口
- 高频空操作:连续出现 read(4, "", 1024) = 0 或 stat("/dev/shm/.lock", ...) = -1 ENOENT 后紧跟 openat(..., O_CREAT|O_EXCL) —— 常见于隐蔽信道或抢锁行为
过滤噪音,让日志可读
默认全量跟踪会淹没关键信息。新手建议固定组合:
- 排除时间类高频调用:-e trace=all -e trace=!clock_gettime,!gettimeofday,!rt_sigreturn
- 只留关键路径:-e trace=openat,write,sendto,connect,execve
- 加 -tt(微秒时间戳)和 -T(单次耗时),方便比对行为节奏
- 输出到文件:-o trace.log,中断后直接 grep "= -1 " 提取全部失败项,或 grep "sendto\|execve\|/tmp\|/dev/shm" 快速扫描高危动作
离线看日志时,记住两个关键动作
打开 trace.log 后,不要从头扫。直接做两件事:
- 搜 "= -1 ",逐条看 errno(如 EACCES、ENOENT、ECONNREFUSED)—— 错误码比调用名更说明问题
- 搜 路径关键词:"/tmp"、"/dev/shm"、"/proc/self/fd"、".so"、".pyc"、IP 地址段(如 "192.168."、"10.0.")—— 这些位置出现 openat/write/execve,大概率异常
本文共计743个文字,预计阅读时间需要3分钟。
新手上路,使用strace分析可疑进程,关键不在于抓全所有调用,而是快速聚焦异常信号——失败的权限操作、不该出现的写入路径、非预期的网络连接。它不会自动标记非法,但能帮你一眼发现那些本不该发生却发生了的行为。
先确认目标进程,再动态附加
别急着启动新进程。多数可疑程序已在运行,比如一个名字奇怪的 Python 脚本或隐藏在后台的二进制:
- 用 pgrep -f "python.*tmp" 或 ps aux | grep -v grep | grep -E "(sh|py|bin)" 找出疑似 PID
- 立刻执行:strace -p [PID] -f -y -e trace=openat,write,sendto,connect,execve -T -o suspicious.log
- -f 确保子进程不漏掉(恶意载荷常 fork 新进程);-y 把 fd 显示成真实路径(如 write(3</tmp/.shell>, ...),否则你只能看到 “fd 3” 却不知写哪
重点盯三类“反常结果”,不是调用本身
很多异常藏在返回值和上下文里,而非调用名:
- 权限失败但本该成功:比如配置加载进程反复 openat(..., "/etc/myapp/config.yaml", ...) = -1 EACCES —— 它本应有读权限,EACCES 就是线索
- 成功执行了危险动作:如 execve("/tmp/.malware", [...], [...]) = 0 或 sendto(3<192.168.1.200:443>, ...) —— 普通工具不该调 execve 到 /tmp,也不该直连陌生 IP+端口
- 高频空操作:连续出现 read(4, "", 1024) = 0 或 stat("/dev/shm/.lock", ...) = -1 ENOENT 后紧跟 openat(..., O_CREAT|O_EXCL) —— 常见于隐蔽信道或抢锁行为
过滤噪音,让日志可读
默认全量跟踪会淹没关键信息。新手建议固定组合:
- 排除时间类高频调用:-e trace=all -e trace=!clock_gettime,!gettimeofday,!rt_sigreturn
- 只留关键路径:-e trace=openat,write,sendto,connect,execve
- 加 -tt(微秒时间戳)和 -T(单次耗时),方便比对行为节奏
- 输出到文件:-o trace.log,中断后直接 grep "= -1 " 提取全部失败项,或 grep "sendto\|execve\|/tmp\|/dev/shm" 快速扫描高危动作
离线看日志时,记住两个关键动作
打开 trace.log 后,不要从头扫。直接做两件事:
- 搜 "= -1 ",逐条看 errno(如 EACCES、ENOENT、ECONNREFUSED)—— 错误码比调用名更说明问题
- 搜 路径关键词:"/tmp"、"/dev/shm"、"/proc/self/fd"、".so"、".pyc"、IP 地址段(如 "192.168."、"10.0.")—— 这些位置出现 openat/write/execve,大概率异常