有以下过程:NetAuthSysAgent重复调用/创建不存在的NFS共享的进程mount_nfs。我有一种预感,这些调用是由另一个给出指令的进程触发的。
因此,我想概述NetAuthSysAgent,可能使用dtrace,并查看此过程的所有输入(如IPC包含信号,队列,文件,套接字等),并验证所有读取文件或内存区域。调用mount_nfs进程。
我该怎么做? dtrace是否合适,如果是,如何?
欢迎任何帮助。即使它只适用于FreeBSD或Solaris,我也可以尝试将其自身应用于OS X.
更新
我一直在使用以下命令,但我只涉及文件部分:
dtrace -q -n syscall::open:entry'{ printf("%-16s %-16s\n",execname,copyinstr(arg0)); }'
上面的命令给了我进程和打开的文件。
opensnoop -va -n NetAuthSysAgent
上面的命令是一个调用DTrace东西的脚本,它与前一个命令大致相同,但它被进程NetAuthSysAgent过滤并提供了一些其他信息(例如UID,PID,FD等)< / p>