开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

处理/proc/pid/fd/#链接的创建和删除的Linux内核代码在哪里？

处理/proc/pid/fd/#链接的创建和删除的Linux内核代码位于Linux内核的文件系统层。具体来说，它涉及到Linux内核的虚拟文件系统（Virtual File System，VFS）和进程管理子系统。

在Linux内核中，/proc是一个特殊的文件系统，它提供了一种访问内核数据结构的方式。/proc目录下的每个进程都有一个对应的子目录，以进程ID（PID）命名。在进程的子目录中，有一个名为fd的目录，它包含了进程打开的文件描述符的符号链接。每个符号链接的名称是一个数字，对应着进程打开的文件描述符的编号。

当进程打开一个文件时，Linux内核会为该文件描述符创建一个符号链接，指向实际的文件节点。这个符号链接会被创建在/proc/pid/fd目录下，并以文件描述符的编号作为链接的名称。当进程关闭文件描述符时，对应的符号链接会被删除。

具体的Linux内核代码实现可以在内核源代码的文件系统层和进程管理子系统中找到。由于Linux内核是开源的，可以通过查阅内核源代码来深入了解这部分的实现细节。

腾讯云相关产品和产品介绍链接地址：

腾讯云服务器（CVM）：https://cloud.tencent.com/product/cvm
腾讯云容器服务（TKE）：https://cloud.tencent.com/product/tke
腾讯云对象存储（COS）：https://cloud.tencent.com/product/cos
腾讯云数据库（TencentDB）：https://cloud.tencent.com/product/cdb
腾讯云人工智能（AI）：https://cloud.tencent.com/product/ai

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

“too many open files”的原理和解决方案

分析问题：为了准确的定位到具体问题在哪里，我们就需要使用lsof命令，下面就lsof相关信息做一个基本的介绍：文件描述符：fd（file descriptor），在Linux系统中一切皆可以看成是文件...linux命令lsof（list system open files）：列出系统打开的文件，在终端下输入lsof即可显示系统打开的文件。...我们还可以根据 ls /proc//fd 这个命令来确认一下最终的结果： [root@linux]# ls /proc/17336/fd 0 10 12 14 16 18 2...ls /proc//fd | wc -l 统计pid对应进程打开的fd数量。...cat /proc/sys/fs/file-max 表示当前内核可以打开的最大的文件句柄数，一般为内存大小（KB）的10%，一般我们不需要主动设置这个值，除非这个值确实较小。

11.9K2 0

程序员必备Linux性能分析工具和方法

如果这些函数是设备特定的，尝试着找出为什么需要使用这种特定的设备（尤其是在1.2中造成高中断的设备），或许就可以判断出哪里出了问题。用户空间占了大多是 CPU？...进程使‍用的内存类型是什么？通过 /proc//status 查看内存使用情况。如 VmExe 值很大，则说明可执行文件本身很大，需要确定哪些函数文本比较大。...通过 /proc//maps 查看进程使用了哪些共享库和以及这些库的大小，对于太大的共享库是否可能替换成大小更小的版本。...哪个进程在使用共享内存？使用 ipcs -p 查看哪些进程创建和使用了共享内存。对于共享内存过大问题，可以查看其程序代码看分配是否合理。对于共享内存数不断增加，是否存在创建后未删除等问题。 ‍...哪个套接字在处理流量？在确定了处理流量的进程后，使用 strace/lsof 找到是哪个套接字产生了这些通信流量。

1951 0

读书笔记--Android系统启动

Android系统启动 2.1 init进程上面提到，在kernel层中通过swapper进程(也称Idle进程 pid=0)创建init进程，同时进程空间由内核态转到用户态，init的入口函数在init.cpp...文件描述符fd Linux中多次出现fd这个概念,文件描述符本质上是一个索引内核中资源地址的一个下标描述，可能指的的Socket,UDP,TCP数据包,文件流等可读写操作的数据。 3....而Linux中好像貌似没有线程这个概念，同时发生发生数据读写(也就是要操作fd)时，往往是用户空间和内核空间进程之间的操作，上面也提到，内核进程权限更高，可以访问更高的级别，那么用户空间发起I/O操作最后是交给内核去处理的...()返回可处理事件fd，属性服务最后处理的fd就是在这里注册的fd处理的具体参考：相关知识点全面讲解： Linux IO模式及 select、poll、epoll详解三个方法的优缺点：...每个进程在处理它进程发送的信号时，都要注册处理者，处理者被称为信号处理器。

6043 0

恢复删除的文件

当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。...除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在/proc 目录下，其中包含了反映内核和进程树的各种文件。...大多数与lsof 相关的信息都存储于以进程的PID 命名的目录中，即/proc/1234 中包含的是PID 为1234 的进程的信息。...每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。...因此我们可以在/proc/2699/fd/1 （fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下： [root@station90 fd]# pwd /proc/2699/fd

2.5K3 0

恢复删除的文件

当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。...除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在/proc 目录下，其中包含了反映内核和进程树的各种文件。...大多数与lsof 相关的信息都存储于以进程的PID 命名的目录中，即/proc/1234 中包含的是PID 为1234 的进程的信息。...每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。...因此我们可以在/proc/2699/fd/1 （fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下： [root@station90 fd]# pwd /proc/2699/fd

2.8K5 0

两个主题：躲避execve与分析proc目录

躲避execve的小思路在之前文章中，我讲解过各种躲避execve监控的方法，如果有朋友没看到过，可以点下面文章链接熟悉一下：无"命令"反弹shell-逃逸基于execve的命令监控(上) linux...分析/proc/目录接下来的文章中，我要讲解一下从linux进程内存中修改函数，需要给大家提前预习一下基础知识。 proc文件系统是一个伪文件系统，它提供内核数据结构的接口。通常安装在/过程。.../exe -> /usr/bin/ping fd /proc/[pid]/fd是一个目录，包含进程打开文件的情况。...root /proc/[pid]/root是进程根目录的符号链接。.../28858/root -> / stack /proc/[pid]/stack显示当前进程的内核调用栈信息，只有内核编译时打开了 CONFIG_STACKTRACE编译选项，才会生成这个文件。

1.6K3 0

Linux恢复误删文件的操作

Linux下，有时候我们可能会误删除一些文件，此时除了慌张，有什么可以补救的措施？删除文件的恢复可以分为两种情况，一种是删除以后在进程中仍存在删除信息，另一种是删除以后进程都找不到。...在Linux环境下，任何事物都以文件的形式存在，例如，普通的文件、目录、网络文件系统的文件、字符设备文件、(函数)共享库、管道，命名管道、符号链接、底层的socket字流，网络socket，unix域名...除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在/proc目录下，包含了反映内核和进程树的各种文件。...大多数和lsof相关的信息都存储于以进程的PID命名的目录中，例如/proc/1234中包含的是PID为1234的进程的信息。...每个进程目录中存在着各种文件，他们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。 lsof程序使用该信息和其他关于内核内部状态的信息来产生其输出。

3.3K4 0

容器逃逸成真：从CTF解题到CVE-2019-5736漏洞挖掘分析

/proc/[PID]/fd/：这个目录下包含了进程打开的所有文件描述符。...runc-PID]/exe，拿到文件描述符fd； 4 持续尝试以写方式打开第3步中获得的只读fd（/proc/self/fd/[fd]），一开始总是返回失败，直到runc结束占用后写方式打开成功，立即通过该...这样一来，在Linux匿名机制的代码实现确保其效果的前提下，容器内的恶意进程就无法通过前文所述/proc/[PID]/exe的方式触及到宿主机上的runc二进制程序。...其中很重要的一点是，当进程去操作一个这样的符号链接时，例如“打开”操作，Linux内核不会按照普通符号链接处理方式在文件系统上做路径解析，而是会直接调用专属的处理函数并返回对应文件的文件描述符。...这样做的好处有三：一方面，为magic links的特殊处理提供了最有力的证据；另一方面，能够锻炼从庞杂信息中寻找线索解决问题的能力；最后，能够加深对Linux内核文件处理流程的认识。

3.3K2 0

Linux恢复误删文件的操作

Linux下，有时候我们可能会误删除一些文件，此时除了慌张，有什么可以补救的措施？删除文件的恢复可以分为两种情况，一种是删除以后在进程中仍存在删除信息，另一种是删除以后进程都找不到。...在Linux环境下，任何事物都以文件的形式存在，例如，普通的文件、目录、网络文件系统的文件、字符设备文件、(函数)共享库、管道，命名管道、符号链接、底层的socket字流，网络socket，unix域名...除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在/proc目录下，包含了反映内核和进程树的各种文件。...大多数和lsof相关的信息都存储于以进程的PID命名的目录中，例如/proc/1234中包含的是PID为1234的进程的信息。...每个进程目录中存在着各种文件，他们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。 lsof程序使用该信息和其他关于内核内部状态的信息来产生其输出。

2.5K2 0

使用 eBPF 实时持续跟踪进程文件记录

/proc 目录下的 fd 在 hello 在运行状态时，通过查看 /proc/pid/fd 可以获取到文件当前打开的文件句柄： $ ls -hl /proc/`pidof hello`/fd total...提供的 lsof 工具的实现原理也是遍历进程对应的 /proc/pid/fd 文件实现的。...这是因为 /proc/pid/fd 给我们展示的是查看目录时的文件打开的最终快照。...使用 eBPF 实时跟踪文件记录在真正进入到 eBPF 环节之前，我们需要简单复习一些系统调用的基础知识。系统调用（syscall）在 Linux 的系统实现中，分为了用户态和内核态。...用户态的程序工作在较低级别的状态，操作系统提供的核心服务工作在高级别的内核态，从而避免用户应用程序破坏系统的正常运行，实现了用户级别的隔离。

2K3 0

Docker 技术鼻祖 Linux Namespace 入门系列：Namespace API

前言 Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。...从 3.8 版本的内核开始，该目录下的每个文件都是一个特殊的符号链接，链接指向 $namespace:[$namespace-inode-number]，前半部份为 namespace 的名称，后半部份的数字表示这个...这些符号链接指向的文件比较特殊，不能直接访问，事实上指向的文件存放在被称为 nsfs 的文件系统中，该文件系统用户不可见，可以使用系统调用 stat()[7] 在返回的结构体的 st_ino 字段中获取...fd 表示要加入的 namespace 的文件描述符，可以通过打开其中一个符号链接来获取，也可以通过打开 bind mount 到其中一个链接的文件来获取。...uts:[4026532338] $ readlink /proc/$$/ns/uts # $$ 表示当前 shell 的 PID uts:[4026532338] 在早期的内核版本中，不能使用

2.3K3 0

Linux之lsof命令

恢复删除的文件当Linux计算机受到入侵时，常见的情况是日志文件被删除，以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件，比如在清理旧日志时，意外地删除了数据库的活动事务日志。...除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在/proc 目录下，其中包含了反映内核和进程树的各种文件。...大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。...每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。...因此我们可以在 /proc/1283/fd/2 （fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下： # head -n 10 /proc/1283/fd/2 Aug 4

1.3K3 0

linux深入proc文件系统之pid目录(下)

proc 是一个虚拟文件系统，在Linux 系统中它被挂载于/proc 目录之上。...proc 有多个功能，这其中包括用户可以通过它访问内核信息或用于排错，这其中一个非常有用的功能，也是Linux 变得更加特别的功能就是以文本流的形式来访问进程信息。.../proc/[pid]/root是进程根目录的符号链接 > ls -al /proc/1751/root lrwxrwxrwx 1 root root 0 Jul 14 22:38 /proc/1751.../root -> / stack /proc/[pid]/stack显示当前进程的内核调用栈信息，只有内核编译时打开了CONFIG_STACKTRACE编译选项，才会生成这个文件 > cat /proc.../proc/[pid]/ns/，目录，保存了每个名字空间的入口，详见（man namespaces）。相关文章 linux深入proc文件系统(上)

3.7K1 1

Linux内核基础学习笔记.md

内核抢占可以减少这样的等待时间，因而保证“更平滑的”程序执行。但该特性的代价是增加内核的复杂度，因为接下来有许多数据结构需要针对并发访问进行保护，即使在单处理器系统上也是如此。...内核对外的一个接口，当需要向内核提供兼容的功能模块时，势必需要提供内核的信息所以在安装驱动的时候它是必须的; 2) Kernel-devel : 包含Linux内核完整的源代码还有内核的配置文件，以及其他的开发用的资料...答:所谓动态库、静态库，指的是程序编译的链接阶段,链接成可执行文件的方式 1) 静态库指的是在链接阶段将汇编生成的目标文件.o 与引用到的库一起链接打包到可执行文件中，因此对应的链接方式称为静态链接(static...2) 而动态库在程序编译时并不会被连接到目标代码中，而是在程序运行是才被载入，因此对应的链接方式称为动态链接(dynamic linking)。...for redis_pid in (pgrep -f “redis-server”)do echo -17 > /proc/ 运维提示：有关OOM killer的详细细节，可以参考Linux源码mm

1.7K2 0

11 个步骤完美排查服务器是否被入侵

命令查看异常进程对应的PID b.在虚拟文件系统目录查找该进程的可执行文件 11.如果确认机器已被入侵，重要文件已被删除，可以尝试找回被删除的文件Note: 1、当进程打开了某个文件时，只要该进程保持打开该文件...2、在/proc 目录下，其中包含了反映内核和进程树的各种文件。...大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。...每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。...因此我们可以在/proc/1264/fd/4（fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下： d.从上面的信息可以看出，查看/proc/1264/fd/4就可以得到所要恢复的数据

3K3 1

为什么ib_logfile被覆盖Mysql还能正常运行！？

，删除后docker1还可以正常使用 rm ib_logfile0 rm ib_logfile1 问题排查 1 为什么文件被删除了还能正常运行在linux中，每个文件都有两个 link 计数器： i_count...那么被进程调用的文件，遭遇 rm 操作，那么它将何去何从呢？首先，该文件的 i_nlink被删除，剩下 i_count，故仅删除磁盘硬链接，内容未删除。可以通过 proc 文件系统查找文件。...每个进程都有进程id，可以通过 proc文件系统查找到该进程打开及调用的文件的链接。...文件已经被删了，上面看到df是4和9，检查进程使用的fd链到哪了 [root@ecs /proc/23141/fd]# stat /proc/23141/fd/4 File: ‘/proc/23141...（stat看不到，删除的只能用lsof看）所以数据实际是写入被删除的文件中的 3 如何恢复停写后用文件句柄把数据捞回来，例如上图的ibdata cat /proc/23141/fd/10 > /u01

4783 0

linux lsof命令查看文件占用进程

那么通过lsof可以找出那些进程在使用当前要卸载的文件系统，如下： # lsof /GTES11/ COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME...除了该进程之外，这个文件是不可见的，因为已经删除了其相应的目录索引节点。在/proc 目录下，其中包含了反映内核和进程树的各种文件。...大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中，即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。...每个进程目录中存在着各种文件，它们可以使得应用程序简单地了解进程的内存空间、文件描述符列表、指向磁盘上的文件的符号链接和其他系统信息。lsof 程序使用该信息和其他关于内核内部状态的信息来产生其输出。...因此我们可以在 /proc/1283/fd/2 （fd下的每个以数字命名的文件表示进程对应的文件描述符）中查看相应的信息，如下： # head -n 10 /proc/1283/fd/2 Aug 4

14K4 0

Linux内核如何私闯进程地址空间并修改进程内存

我们知道，在原始野人社会，是没有家庭的观念的，所有的资源都是部落内共享的，所有的野人都可以以任意的方式在任意时间和任何其他野人交互。类似Dos这样的操作系统就是这样的，内存地址空间并没有隔离。...在操作系统中，家庭类似于虚拟地址空间，而房子就是页表。邻居不能闯入你的房子，但特权管理机构只要理由充分，就可以进入普通人家的房子，touch这家人的东西。.../mm.h> #include #include static int pid = 1; module_param(pid, int,...(find_pid_ns(pid, &init_pid_ns), PIDTYPE_PID); // 找到这家人住在哪里 if(!...有啊，别忘了一切皆文件，恰好在proc文件系统中，就有这么一个文件： /proc/$pid/pagemap 读取这个文件，得到的就是进程虚拟地址的页表项，下图截自内核Doc：Documentation/

3.1K2 0

linux深入proc文件系统(上)

在Linux上,proc是一个伪文件系统,提供了访问内核数据的方法, 一般挂载在/proc目录,其中大部分是只读的。...下面是一些/proc重要的文件 pid目录 /proc/[pid]目录,pid为进程的数字ID,每个运行着的进程都有这么一个目录。...comm文件 > cat /proc/1751/comm java cwd目录 /proc/[pid]/cwd是进程当前工作目录的符号链接 > ls -al /proc/1751/cwd drwxr-xr-x.../[pid]/exe为实际运行程序的符号链接 > ls -al /proc/1751/exe lrwxrwxrwx 1 root root 0 Jul 13 23:07 /proc/1751/exe -...重要的目录之etc linux重要目录之usr和var linux重要的目录之proc和dev目录

2K2 0

Zygote中Socket通信能否替换成Binder通信？

观点1：并发问题链接： https://blog.csdn.net/qq_39037047/article/details/88066589 观点描述：怕父进程binder线程有锁，然后子进程的主线程一直在等其子线程...观点2：父子进程共享FD问题（其实这个是我以前早期的观点）观点描述：因为Zygote在open("dev/binder")中带有的flag是O_CLOEXEC，fork之后，在子进程执行EXEC的时候...，会因为O_CLOEXEC的条件关闭这个共享FD，就会调用binder_release的代码，顺带清空父进程的FD对应file结构体中private_data对象保存的binder_proc，影响父进程的...上述的观点对O_CLOEXEC的理解有些偏差，正确的理解应该是在linux系统中，父进程打开一个文件fd可以带上O_CLOEXEC标志位，fork之后，子进程得到父进程的完整拷贝，对于父进程已经open...内核里，子进程只是把fd对应的file指针指向父进程fd对应的struct file，并且把file的引用加1。

1.9K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭