Clamav殺毒軟體源碼分析筆記[八]

Clamav殺毒軟體源碼分析筆記[八]

刺蝟@http://blog.csdn.net/littlehedgehog

[command]

上回說到主迴圈(accept_th),這是一個死迴圈,因為我們Clamd在沒有什麼特殊的情況下是一直阻塞地苦苦等待在等待有用戶端發出請求,然後安排好線程派發(dispatch)工作,接著我們的注意力便專註於線程的運作,這裡的command是我們的重點研究對象.

說來command這個函數集眾功能於一身,貌似強大無比,但自然也是個程式邏輯中轉站,下面來看看裡面的部分代碼:

1.   retval = poll_fd(desc, timeout);  

這裡採用了多工代碼, 說來多工本身還有兩套實現方案,這是unix陣營分裂的產物吧. 我這裡只看看select,有如下資料:

  select系統調用是用來讓我們的程式監視多個檔案控制代碼(file descriptor)的狀態變化的。程式會停在select這裡等待，直到被監視的檔案控制代碼有某一個或多個發生了狀態改變。

檔案在控制代碼在Linux裡很多，如果你man某個函數，在函數傳回值部分說到成功後有一個檔案控制代碼被建立的都是的，如man socket可以看到“On success, a file descriptor for the new socket is returned.”而man 2 open可以看到“open() and creat() return the new file descriptor”，其實檔案控制代碼就是一個整數，看socket函數的聲明就明白了：
int socket(int domain, int type, int protocol);

select函數原型如下：
int select(int nfds, fd_set *readfds, fd_set *writefds, fd_set *exceptfds, struct timeval *timeout);
函數的最後一個參數timeout顯然是一個逾時時間值，其類型是struct timeval *，即一個struct timeval結構的變數的指標，所以我們在程式裡要申明一個struct timeval tv;然後把變數tv的地址&tv傳遞給select函數。struct timeval結構如下：

1. struct timeval {
2.              long    tv_sec;         /* seconds */
3.              long    tv_usec;        /* microseconds */
4.          };

   第2、3、4三個參數是一樣的類型： fd_set *，即我們在程式裡要申明幾個fd_set類型的變數，比如rdfds, wtfds, exfds，然後把這個變數的地址&rdfds, &wtfds, &exfds 傳遞給select函數。這三個參數都是一個控制代碼的集合，第一個rdfds是用來儲存這樣的控制代碼的：當控制代碼的狀態變成可讀的時系統就會告訴select函數返回，同理第二個wtfds是指有控制代碼狀態變成可寫的時系統就會告訴select函數返回，同理第三個參數exfds是特殊情況，即控制代碼上有特殊情況發生時系統會告訴select函數返回。特殊情況比如對方通過一個socket控制代碼發來了緊急資料。如果我們程式裡只想檢測某個socket是否有資料可讀，我們可以這樣：

1. fd_set rdfds; /* 先申明一個 fd_set 集合來儲存我們要檢測的 socket控制代碼 */
2. struct timeval tv; /* 申明一個時間變數來儲存時間 */
3. int ret; /* 儲存傳回值 */
4. FD_ZERO(&rdfds); /* 用select函數之前先把集合清零 */
5. FD_SET(socket, &rdfds); /* 把要檢測的控制代碼socket加入到集合裡 */
6. tv.tv_sec = 1;
7. tv.tv_usec = 500; /* 設定select等待的最大時間為1秒加500毫秒 */
8. ret = select(socket + 1, &rdfds, NULL, NULL, &tv); /* 檢測我們上面設定到集合rdfds裡的控制代碼是否有可讀資訊 */
9. if(ret < 0) perror("select");/* 這說明select函數出錯 */
10. else if(ret == 0) printf("逾時/n"); /* 說明在我們設定的時間值1秒加500毫秒的時間內，socket的狀態沒有發生變化 */
11. else { /* 說明等待時間還未到1秒加500毫秒，socket的狀態發生了變化 */
12.     printf("ret=%d/n", ret); /* ret這個傳回值記錄了發生狀態變化的控制代碼的數目，由於我們只監視了socket這一個控制代碼，所以這裡一定ret=1，如果同時有多個控制代碼發生變化返回的就是控制代碼的總和了 */
13.     /* 這裡我們就應該從socket這個控制代碼裡讀取資料了，因為select函數已經告訴我們這個控制代碼裡有資料可讀 */
14.     if(FD_ISSET(socket, &rdfds)) { /* 先判斷一下socket這外被監視的控制代碼是否真的變成可讀的了 */
15.         /* 讀取socket控制代碼裡的資料 */
16.         recv(...);
17.     }
18. }

1. /************關於本文檔********************************************
2. *filename: Linux網路編程一步一步學-select詳解
3. *purpose: 詳細說明select的用法
4. *wrote by: zhoulifa(zhoulifa@163.com) 周立發(http://zhoulifa.bokee.com)
5. Linux愛好者 Linux知識傳播者 SOHO族 開發人員 最擅長C語言
6. *date time:2007-02-03 19:40
7. *Note: 任何人可以任意複製代碼並運用這些文檔，當然包括你的商業用途
8. * 但請遵循GPL
9. *Thanks to:Google
10. *Hope:希望越來越多的人貢獻自己的力量，為科學技術發展出力
11. * 科技站在巨人的肩膀上進步更快！感謝有開源前輩的貢獻！
12. *********************************************************************/
14. int sa, sb, sc;
15. sa = socket(...); /* 分別建立3個控制代碼並串連到伺服器上 */
16. connect(sa,...);
17. sb = socket(...);
18. connect(sb,...);
19. sc = socket(...);
20. connect(sc,...);
22. FD_SET(sa, &rdfds);/* 分別把3個控制代碼加入讀監視集合裡去 */
23. FD_SET(sb, &rdfds);
24. FD_SET(sc, &rdfds);
25.    在使用select函數之前，一定要找到3個控制代碼中的最大值是哪個，我們一般定義一個變數來儲存最大值，取得最大socket值如下：
27. int maxfd = 0;
28. if(sa > maxfd) maxfd = sa;
29. if(sb > maxfd) maxfd = sb;
30. if(sc > maxfd) maxfd = sc;
31.    然後調用select函數：
32. ret = select(maxfd + 1, &rdfds, NULL, NULL, &tv); /* 注意是最大值還要加1 */
33.    同樣的道理，如果我們要檢測使用者是否按了鍵盤進行輸入，我們就應該把標準輸入0這個控制代碼放到select裡來檢測，如下：
35. FD_ZERO(&rdfds);
36. FD_SET(0, &rdfds);
37. tv.tv_sec = 1;
38. tv.tv_usec = 0;
39. ret = select(1, &rdfds, NULL, NULL, &tv); /* 注意是最大值還要加1 */
40. if(ret < 0) perror("select");/* 出錯 */
41. else if(ret == 0) printf("逾時/n"); /* 在我們設定的時間tv內，使用者沒有按鍵盤 */
42. else { /* 使用者有按鍵盤，要讀取使用者的輸入 */
43.     scanf("%s", buf);
44. }

貌似把多工說的過多,但這文章主要是為我讀書筆記所用,貼上代碼,方便我後來溫故時習也.

多工只是一個開端,打劫之前,踩點所用,下面我們才來看看使用者會告知什麼訊息. 這就比如說,我們從主進程中截獲使用者一小道訊息,只是可能用戶端有任務而已,遂分配線程確認工作.

確認工作:

1. while ((bread = readsock(desc, buff, 1024)) == -1 && errno == EINTR);

只此一句,絕無多言,這裡通過read已串連的套介面描述符,我們將客戶請求裝入buffer緩衝區中. 這裡的readsock貌似庫函數,其實不然,裡面封裝著recvmsg,在這裡就毋庸多言了. 這裡使用者請求已截獲至buffer緩衝,接下來就是分析buffer中所含命令了.好在客戶/服務通訊暗號也只是我們一家所定,還好不複雜,只需字串一一匹配即可. 如下代碼:

1. if (!strncmp(buff, CMD1, strlen(CMD1)))  /* SCAN */
2.     {
3.         if (scan(buff + strlen(CMD1) + 1, NULL, root, limits, options, copt, desc, 0) == -2)
4.             if (cfgopt(copt, "ExitOnOOM"))
5.                 return COMMAND_SHUTDOWN;
7.     }

搜尋buffer中是否含CMD1字串,作者也很好心的加了注釋CMD1表示命令"掃描". 裡面絕大部分都是用戶端的掃描要求, 但也有其它的一些命令字串,比如:

1.     else if (!strncmp(buff, CMD5, strlen(CMD5)))  /* PING */
2.     {
3.         mdprintf(desc, "PONG/n");
5.     }

用戶端發送"ping",服務端要應答"pong",這樣表明串連暢通. 像這樣簡單的處理恐怕也只有這一項功能了.回頭我們還是來看看病毒掃描吧.