stackplz_v2.1.1
- 添加了
--showuid选项,使用此选项时,第一列为uid,后面依次为pid、tid和线程名 - 修复无法通过pid追踪shell进程的情况
案例:检查谁在访问sdcard
情景:sdcard下总是会被创建一些.开头的文件夹,总所周知这些内容通常用于追踪用户,找出它们!
准备工作:
adb push stackplz /data/local/tmp
adb shell chmod +x /data/local/tmp/stackplz
adb shell
su
cd /data/local/tmp观察sdcard下.开头相关的路径访问情况,下面三个路径都是等效的,最后一个用的不多,所以我们观察前面两个
- /sdcard
- /storage/emulated/0
- /storage/self/primary
一般这样就够了:
./stackplz -n app --showuid -s openat:f0.f1 -f w:/sdcard/. -f w:/storage/emulated/0/. -o tmp.log
根据测试,系统自带的com.google.android.providers.media.module也会频繁访问sdcard下的信息
为了减少不必要的日志,可以使用--no-uid排除它
首先用ps -ef -o name,pid,uid | grep providers命令获取到uid信息:
oriole:/ $ ps -ef -o name,pid,uid | grep providers
com.google.android.providers.media.module 2607 10210以及记录对应的堆栈,使用--stack选项即可
./stackplz -n app --no-uid 10210 --showuid -s openat:f0.f1 -f w:/sdcard/. -f w:/storage/emulated/0/. -o tmp.log --stack
完整详细的使用规则请阅读基于eBPF的安卓逆向辅助工具——stackplz