论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2016-12-23 22:25 |只看该作者 |倒序浏览

弄一个简单的测试ko模块，执行insmod命令加载模块。在模块的init函数里面执行current->parent->pid、current->parent->comm和current->pid、current->comm

dmesg里面就会看到打印出bash进程的ID，bash进程的名字，insmod进程的id，insmod进程的名字。这个可以理解，在执行insmod命令时候进入内核空间了，insmod是在bash里面执行的。
这个测试ko模块如果往netfilter框架里面注册了hook函数，在hook函数里面同样加上上面的打印，demsg里面打印出的进程名字就会是sshd之类的需要访问网络的进程名字。但是大部分时候打印的进程名字是swapper，为什么会是swapper进程?

空间

文库|博客

nswcfd

巨富豪门

论坛徽章:: 20

2楼 [报告]

发表于 2016-12-26 16:03 |只看该作者

此时的pid==0？可能是idle吧？（以上未验证，凭印象说的）

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Tinnal

版主

论坛徽章:: 9

3楼 [报告]

发表于 2016-12-29 23:33 |只看该作者

nswcfd 发表于 2016-12-26 16:03
此时的pid==0？可能是idle吧？（以上未验证，凭印象说的）

正解。此时在IDEL， CPU没有没任务在处理。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jerryhua_cu

稍有积蓄

招聘 : c/c++研发

论坛徽章:: 0

4楼 [报告]

发表于 2017-01-06 11:53 |只看该作者

你是在PREROUTING、INPUT、FORWARD其中之一进行hook吧，这个问题涉及到内核中的一个经典概念，中断上下文和进程上下文。当我们insmod的时候处于进程上下文中，此时的current是有效的，指向当前进程；而向netfilter注册的hook函数，接收路径上的hook处理是在网络处理软中断中，属于中断上下文，此时的current是无效的，指向软中断触发之前的执行进程，所以打印出任何进程都不奇怪。
因此可以解释你所看到的现象，在hook中打印的current其实是指向数据包触发软中断之前的系统进程，如果系统负载不高的话，那就是idle。