分析问题过程中，追踪进程打开的文件可以在许多不同情况下有用，体现在以下几个方面：

故障排除和调试： 当程序出现问题、崩溃或异常行为时，追踪进程打开的文件可以帮助您找出问题的根本原因。这有助于快速定位错误，尤其是在访问文件时发生的错误。

性能分析和优化： 了解进程打开了哪些文件可以帮助您分析程序的性能问题。如果程序频繁打开和关闭文件，可能会导致性能下降。通过追踪文件操作，您可以识别性能瓶颈，从而采取相应的优化措施。

权限和安全审计： 在安全方面，追踪进程打开的文件可以帮助您监控和审计系统上的文件访问。这有助于检测异常活动、追踪潜在的安全漏洞以及识别潜在的威胁。您可以确保只有授权的进程可以访问特定的文件。

授权和访问控制： 如果您想要确保某些文件只能由特定的进程或用户访问，可以追踪进程打开的文件，并根据需要执行授权和访问控制。

资源使用和泄漏检测： 对于服务器或多租户环境，追踪进程打开的文件可以帮助您监控资源的使用情况。这有助于识别资源泄漏、滥用或不必要的文件操作，以便进行适当的资源管理。

合规性和法律要求： 在一些情况下，您可能需要监控特定进程的文件访问，以满足法律、合规性或监管要求。追踪进程打开的文件可以帮助您确保满足相关要求。

总之，追踪进程打开的文件可以帮助您更好地理解程序的行为，从而更好地管理、优化和保护系统。不同的使用情况可能需要不同的方法和工具来实现这一目标。

在 Linux 中，要追踪进程打开了哪些文件，您可以使用工具来监视系统调用或使用调试工具。以下是一些常用的方法：

strace：
strace 是一个命令行工具，可以跟踪和记录进程的系统调用。您可以使用以下命令来跟踪一个进程的系统调用，并查看它打开了哪些文件：
strace -e open,openat <command>
command>是要执行的命令，-e open,openat 指定要跟踪的系统调用类型。

lsof：
lsof（List Open Files）是一个用于显示打开文件的命令行工具。您可以使用以下命令来查看指定进程打开了哪些文件，命令如下：
lsof -p <pid>
pid是要查询的进程的进程 ID。

使用 ptrace 调试工具：
如果想要更底层的控制，可以使用 ptrace 调试工具来追踪进程的行为。可以编写一个小的调试程序，使用 ptrace 跟踪系统调用并记录 open 系统调用的参数。

以上这些方法都可以帮助追踪进程打开了哪些文件，具体使用哪种方法取决于问题的需求和环境，这里介绍另外一种非侵入式的调试方法，开发一个内核模块，利用内核提供的KPROBE机制探测OPEN系统调用，得到被打开的文件名字，这个方法和PTRACE思想类似，但前者是非侵入式调试，不会影响被探测程序。

模块代码：

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>

static char file_name[256];

static int entry_handler(struct kprobe *p, struct pt_regs *regs)
{
	const char __user *filename = (const char __user *)regs->si;
	copy_from_user(file_name, filename, sizeof(file_name));
	file_name[sizeof(file_name) - 1] = '\0';

	if(strstr(file_name, "fkwq")) {
		pr_info("comm %s Open syscall intercepted. File name: %s\n", current->comm, file_name);
	}

	return 0;
}

static struct kprobe kp = {
	.symbol_name = "do_sys_open",
	.pre_handler = entry_handler,
};

static int __init kprobe_init(void)
{
	int ret = register_kprobe(&kp);
	if (ret < 0) {
		pr_err("Failed to register kprobe: %d\n", ret);
		return ret;
	}
	pr_info("Kprobe registered\n");
	return 0;
}

static void __exit kprobe_exit(void)
{
	unregister_kprobe(&kp);
	pr_info("Kprobe unregistered\n");
}

module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");

Makefile:

ifneq ($(KERNELRELEASE),)
CFLAGS_seqfile.o:=-I$(src)
obj-m:=probename.o
else
KERNELDIR:=/lib/modules/$(shell uname -r)/build
PWD:=$(shell pwd)
all:
	$(MAKE) -C $(KERNELDIR) M=$(PWD) modules
 
clean:
	rm -rf *.o *.mod.c *.mod.o *.ko *.symvers *.mod .*.cmd *.order
format:
	astyle --options=linux.astyle *.[ch]
endif

测试过程中，监测打开的fkwq.txt文件，程序中对文件名进行了过滤，否则打印文件过多，测试界面会刷屏。

监控modprobe打开的文件路径：/lib/modules/5.4.0-150-generic/kernel/arch/x86/kvm/kvm.ko

---

结束