Clamav防毒軟體原始碼分析筆記[八]

刺蝟@http://blog.csdn.net/littlehedgehog

[command]

上回說到主迴圈(accept_th),這是一個死迴圈,因為我們Clamd在沒有什麼特殊的情況下是一直阻塞地苦苦等待在等待有客戶端發出請求,然後安排好執行緒派發(dispatch)工作,接著我們的注意力便專注於執行緒的運作,這裡的command是我們的重點研究物件.

說來command這個函式集眾功能於一身,貌似強大無比,但自然也是個程式邏輯中轉站,下面來看看裡面的部分程式碼:

1.   retval = poll_fd(desc, timeout);  

這裡採用了多路複用的程式碼, 說來多路複用本身還有兩套實現方案,這是unix陣營分裂的產物吧. 我這裡只看看select,有如下資料:

  select系統呼叫是用來讓我們的程式監視多個檔案控制代碼(file descriptor)的狀態變化的。程式會停在select這裡等待，直到被監視的檔案控制代碼有某一個或多個發生了狀態改變。檔案在控制代碼在Linux裡很多，如果你man某個函式，在函式返回值部分說到成功後有一個檔案控制代碼被建立的都是的，如man socket可以看到“On success, a file descriptor for the new socket is returned.”而man 2 open可以看到“open() and creat() return the new file descriptor”，其實檔案控制代碼就是一個整數，看socket函式的宣告就明白了：int socket(int domain, int type, int protocol);

select函式原型如下：int select(int nfds, fd_set *readfds, fd_set *writefds, fd_set *exceptfds, struct timeval *timeout);函式的最後一個引數timeout顯然是一個超時時間值，其型別是struct timeval *，即一個struct timeval結構的變數的指標，所以我們在程式裡要申明一個struct timeval tv;然後把變數tv的地址&tv傳遞給select函式。struct timeval結構如下：

1. struct timeval {
2. long    tv_sec;         
   /* seconds */
3. long    tv_usec;        /* microseconds */
4.          };

   第2、3、4三個引數是一樣的型別： fd_set *，即我們在程式裡要申明幾個fd_set型別的變數，比如rdfds, wtfds, exfds，然後把這個變數的地址&rdfds, &wtfds, &exfds 傳遞給select函式。這三個引數都是一個控制代碼的集合，第一個rdfds是用來儲存這樣的控制代碼的：當控制代碼的狀態變成可讀的時系統就會告訴select函式返回，同理第二個wtfds是指有控制代碼狀態變成可寫的時系統就會告訴select函式返回，同理第三個引數exfds是特殊情況，即控制代碼上有特殊情況發生時系統會告訴select函式返回。特殊情況比如對方通過一個socket控制代碼發來了緊急資料。如果我們程式裡只想檢測某個socket是否有資料可讀，我們可以這樣：

1. fd_set rdfds; 
   /* 先申明一個 fd_set 集合來儲存我們要檢測的 socket控制代碼 */
2. struct timeval tv; /* 申明一個時間變數來儲存時間 */
3. int ret; /* 儲存返回值 */
4. FD_ZERO(&rdfds); /* 用select函式之前先把集合清零 */
5. FD_SET(socket, &rdfds); /* 把要檢測的控制代碼socket加入到集合裡 */
6. tv.tv_sec = 1;
7. tv.tv_usec = 500; /* 設定select等待的最大時間為1秒加500毫秒 */
8. ret = select(socket + 1, &rdfds, NULL, NULL, &tv); /* 檢測我們上面設定到集合rdfds裡的控制代碼是否有可讀資訊 */
9. if(ret < 0) perror("select");/* 這說明select函數出錯 */
10. elseif(ret == 0) printf("超時/n"); /* 說明在我們設定的時間值1秒加500毫秒的時間內，socket的狀態沒有發生變化 */
11. else { /* 說明等待時間還未到1秒加500毫秒，socket的狀態發生了變化 */
12.     printf("ret=%d/n", ret); /* ret這個返回值記錄了發生狀態變化的控制代碼的數目，由於我們只監視了socket這一個控制代碼，所以這裡一定ret=1，如果同時有多個控制代碼發生變化返回的就是控制代碼的總和了 */
13. /* 這裡我們就應該從socket這個控制代碼裡讀取資料了，因為select函式已經告訴我們這個控制代碼裡有資料可讀 */
14. if(FD_ISSET(socket, &rdfds)) { /* 先判斷一下socket這外被監視的控制代碼是否真的變成可讀的了 */
15. /* 讀取socket控制代碼裡的資料 */
16.         recv(...);
17.     }
18. }

1. /************關於本文件********************************************
2. *filename: Linux網路程式設計一步一步學-select詳解
3. *purpose: 詳細說明select的用法
4. *wrote by: zhoulifa([email protected]) 周立發(http://zhoulifa.bokee.com)
5. Linux愛好者 Linux知識傳播者 SOHO族 開發者 最擅長C語言
6. *date time:2007-02-03 19:40
7. *Note: 任何人可以任意複製程式碼並運用這些文件，當然包括你的商業用途
8. * 但請遵循GPL
9. *Thanks to:Google
10. *Hope:希望越來越多的人貢獻自己的力量，為科學技術發展出力
11. * 科技站在巨人的肩膀上進步更快！感謝有開源前輩的貢獻！
12. *********************************************************************/
13. int sa, sb, sc;
14. sa = socket(...); /* 分別建立3個控制代碼並連線到伺服器上 */
15. connect(sa,...);
16. sb = socket(...);
17. connect(sb,...);
18. sc = socket(...);
19. connect(sc,...);
20. FD_SET(sa, &rdfds);/* 分別把3個控制代碼加入讀監視集合裡去 */
21. FD_SET(sb, &rdfds);
22. FD_SET(sc, &rdfds);
23.    在使用select函式之前，一定要找到3個控制代碼中的最大值是哪個，我們一般定義一個變數來儲存最大值，取得最大socket值如下：
24. int maxfd = 0;
25. if(sa > maxfd) maxfd = sa;
26. if(sb > maxfd) maxfd = sb;
27. if(sc > maxfd) maxfd = sc;
28.    然後呼叫select函式：
29. ret = select(maxfd + 1, &rdfds, NULL, NULL, &tv); /* 注意是最大值還要加1 */
30.    同樣的道理，如果我們要檢測使用者是否按了鍵盤進行輸入，我們就應該把標準輸入0這個控制代碼放到select裡來檢測，如下：
31. FD_ZERO(&rdfds);
32. FD_SET(0, &rdfds);
33. tv.tv_sec = 1;
34. tv.tv_usec = 0;
35. ret = select(1, &rdfds, NULL, NULL, &tv); /* 注意是最大值還要加1 */
36. if(ret < 0) perror("select");/* 出錯 */
37. elseif(ret == 0) printf("超時/n"); /* 在我們設定的時間tv內，使用者沒有按鍵盤 */
38. else { /* 使用者有按鍵盤，要讀取使用者的輸入 */
39.     scanf("%s", buf);
40. }

貌似把多路複用說的過多,但這文章主要是為我讀書筆記所用,貼上程式碼,方便我後來溫故時習也.

多路複用只是一個開端,打劫之前,踩點所用,下面我們才來看看使用者會告知什麼訊息. 這就比如說,我們從主程序中截獲使用者一小道訊息,只是可能客戶端有任務而已,遂分配執行緒確認工作.

確認工作:

1. while ((bread = readsock(desc, buff, 1024)) == -1 && errno == EINTR);

只此一句,絕無多言,這裡通過read已連線的套介面描述符,我們將客戶請求裝入buffer快取區中. 這裡的readsock貌似庫函式,其實不然,裡面封裝著recvmsg,在這裡就毋庸多言了. 這裡使用者請求已截獲至buffer快取,接下來就是分析buffer中所含命令了.好在客戶/服務通訊暗號也只是我們一家所定,還好不復雜,只需字串一一匹配即可. 如下程式碼:

1. if (!strncmp(buff, CMD1, strlen(CMD1)))  /* SCAN */
2.     {
3. if (scan(buff + strlen(CMD1) + 1, NULL, root, limits, options, copt, desc, 0) == -2)
4. if (cfgopt(copt, "ExitOnOOM"))
5. return COMMAND_SHUTDOWN;
6.     }

搜尋buffer中是否含CMD1字串,作者也很好心的加了註釋CMD1表示命令"掃描". 裡面絕大部分都是客戶端的掃描要求, 但也有其它的一些命令字串,比如:

1. elseif (!strncmp(buff, CMD5, strlen(CMD5)))  /* PING */
2.     {
3.         mdprintf(desc, "PONG/n");
4.     }

客戶端傳送"ping",服務端要應答"pong",這樣表明連線暢通. 像這樣簡單的處理恐怕也只有這一項功能了.回頭我們還是來看看病毒掃描吧.