我想知道如何区分内核线程和用户线程,以便我正在构建一个进程扫描器。我很难找到两种类型的好定义。
我发现内核线程没有自己的内存,因此/ proc / $ pid / status中没有Vm *值,而/ proc / $ pid / exe上的stat也没有返回任何内容。
因此,我认为如果进程没有Vm *值且没有inode编号,我可以识别内核线程。我想错了......我的脚本看到了php-cgi进程,有时会被识别为内核进程。
如果发现大多数错误识别的进程都是僵尸,这些僵尸会在一秒钟之后消失。所以我实施了一个简单的检查,看看状态是否为“Z”。如果是这样,请忽略它。 这为我节省了很多误报,但我仍然收到有关php-cgi内核进程的消息。
谁能告诉我如何以正确的方式区分内核线程和用户线程?
那里 是 内核线程和用户空间线程之间的一些明显差异:
/proc/$pid/cmdline 对于内核线程是空的 - 这是使用的方法 ps 和 top 区分内核线程。
该 /proc/$pid/exe 符号链接没有内核线程的目标 - 这是有道理的,因为它们在文件系统上没有相应的可执行文件。
更具体地说, readlink() 系统调用返回 ENOENT (“无此文件或目录”),尽管链接本身存在,但表示该进程的可执行文件不存在(并且从未这样做)。
因此,检查内核线程的可靠方法应该是调用 readlink() 上 /proc/$pid/exe 并检查其返回码。如果成功那么 $pid 是一个用户进程。如果它失败了 ENOENT,然后一个额外的 stat() 上 /proc/$pid/exe 应该从刚刚终止的进程中分辨出内核线程的情况。
/proc/$pid/status 缺少几个字段 最 内核线程 - 更具体地说是与虚拟内存相关的几个字段。
正如您在上面的评论中指出的那样,所有用户进程都是init进程的后代(pid = 1)。内核线程不是init进程的后代,因为init是用户进程,而用户进程无法创建内核线程。因此,要检查进程p是否是用户进程而不是内核线程,需要对流程图进行操作并评估是否 init dom p 在哪里是dom 统治者 运营商。具体在Python中:
def is_user_process(p):
if (p=='1'):
print 'User process'
else:
pstat = open('/proc/%s/stat'%p).read().split()
parent = pstat[3]
if (parent=='1'):
print 'User process'
elif (parent=='0'):
print 'Kernel thread'
else:
is_user_process(parent)
这是一个在bash下运行的版本:
# check if pid is user process and not a kernel thread
is_user_process() {
if [[ $1 -eq 1 ]]; then
return 0
else
parent=$(grep -e '^PPid:' /proc/$1/status | cut -c6-)
if [[ $parent -eq 1 ]]; then
return 0
elif [[ $parent -eq 0 ]]; then
return 1
else
is_user_process $parent
fi
fi
}
要用它呢
~$ is_user_process `pgrep kthreadd` || echo "kthreadd is kernel process"
至少这对我来说是第一个有用的解决方案,感谢python版本的er0。