ARM架构kprobe应用及实现分析(1.0 简单示例)

最新推荐文章于 2023-08-03 11:12:49 发布
最新推荐文章于 2023-08-03 11:12:49 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: kprobe 文章标签: krpobe linux android kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyongming1982/article/details/16362147
版权

网络对krpobe的实现机制及扩展都不是特别详细

由于工作需要及个人爱好,正好有这个机会好好学习此模块及应用到实际中

并将整个应用扩展及当时的分析情况,详细记录下来,希望对感兴趣的人有些许帮助

最开始还是先给个具体的栗子:

参考: kernel/samples 下面有不少的例子

/* For each probe you need to allocate a kprobe structure */
static struct kprobe kp = {
	//.symbol_name	= "do_fork",
        .symbol_name	= "testAddadd5",
};

当运行到监控的某个点的时候,会调用此函数

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
        printk(" kprobes name is %s pt_regs size is %d \n",p->symbol_name,sizeof(regs->uregs));
        return 0;
}

初始话,注册一个kprobe,可以传入函数名或者在内存的绝对地址(system.map)

static int __init kprobe_init(void)
{
	int ret;
	kp.pre_handler = handler_pre;
        ret = register_kprobe(&kp);
        printk(KERN_INFO " Planted kprobe at %p\n", kp.addr);

	if (ret < 0) {
		printk(KERN_INFO " register_kprobe failed, returned %d\n", ret);
		return ret;
	}
	return 0;
}

注销kprobe探测点

static void __exit kprobe_exit(void)
{
	unregister_kprobe(&kp);
	printk(KERN_INFO " kprobe at %p unregistered\n", kp.addr);
}
module_init(kprobe_init)
module_exit(kprobe_exit)
MODULE_LICENSE("GPL");

 

system.map
//现在我们只关心 do_fork testAddadd5 这两个函数
它们在内存的地址如下:
c0052368 T testAddadd5
c00523c0 T do_fork


static struct kprobe kp = {
         //.symbol_name = "do_fork",
        .symbol_name = "testAddadd5",
};
register_kprobe(&kp)
printk(KERN_INFO " Planted kprobe at %p\n", kp.addr);
insmod
<6>[ 9749.442971] (0)[5251:insmod] Planted kprobe at c0052368
发现这里打印的地址与system.map是一致的。

 

 

李子
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入探究Linux Kprobe机制
liuhangtiant的博客
11-08 927
概述 kprobe机制用于在内核中动态添加一些探测点,可以满足一些调试需求。本文主要探寻kprobe的执行路径,也就是说如果trap到kprobe,以及如何回到原路径继续执行。 实例 先通过一个实例来感受下kprobe,linux中有一个现成的实例: samples/kprobes/kprobe_example.c 由于当前验证环境是基于qemu+arm64,我删除了其他架构的代码,并稍稍做了一下改动: /* * NOTE: This example is works on x86 and power
论文研究-基于Kprobe的Rootkit检测机制.pdf
09-13
对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统中审计工具所得的结果进行交叉视图的比对得到被隐藏对象。在实验阶段选择几种现有流行的Rootkit安装,采用了基于Kprobe的检测方法,通过实验结果表明该机制具有良好的可靠性。
深入ftrace kprobe原理解析
奇小葩
11-20 3014
至此,我们知道Kprobe实现的本质是breakpoint和single-step的结合,这一点和大多数调试工具一样,比如kgdb/gdb。当 kprobe 被注册后,内核会将对应地址的指令进行拷贝并替换为断点指令(比如 X86 中的int 3)随后当内核执行到对应地址时,中断会被触发从而执行流程会被重定向到我们注册的函数当对应地址的原始指令执行完后,内核会再次执行从而实现指令级别的内核动态监控。也就是说,kprobe 不仅可以跟踪任意带有符号的内核函数,也可以跟踪函数中间的任意指令。
kprobe 原理详细分析
最新发布
看我眼色行事的博客
08-03 509
内核调试机制 kprobe 原理详细分析,使用 kprobe 可以在内核任意位置设置 hook 并跟踪调试
ARM架构kprobe应用实现分析(5.0 打印寄存器的值)
李子的备忘录
11-17 2466
kp.pre_handler = handler_pre; 在此函数中打印寄存器的值,才能对我们分析当时的情况有帮助。(如查看调用函数的参数值等) static int handler_pre(struct kprobe *p, struct pt_regs *regs) { printk(" kprobes name is %s pt_regs size is %d \n
Linux内核调试技术之kprobes:基本原理与使用
Aspiresky的专栏
12-14 1587
Linux kprobes技术是一种可以跟踪内核函数执行状态的轻量级内核调试技术,利用kprobes技术可以在运行的内核中动态的插入探测点,当内核运行到该探测点后可以执行用户预定义的回调函数,以收集所需的调试状态信息而基本不影响内核原有的执行流程。{return 0;}.symbol_name = "do_fork", // 要追踪的内核函数为 do_fork.pre_handler = handler_pre // pre_handler 回调函数。
ARM入门(实现LED流水灯)超简单
fgdfklji的博客
10-16 2242
ARM入门(实现LED流水灯)
linux内核调试工具之kprobe(二)
10-27 940
前一章使用kprobe编程,需要编码手动编译。本章使用trace追踪技术,在任何函数上设置动态kprobe(通过kprobe事件)。
kprobe分析
06-15
对kprobe的简单分析,也有不完全的地方
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
kprobe_jprobe
01-22
kprobe,jprobe test, kprobe,jprobe testkprobe,jprobe test
Linux内核 eBPF基础:kprobe原理源码分析:基本介绍与使用示例
RToax
05-11 5875
Linux内核 eBPF基础 kprobe原理源码分析:基本介绍与使用 荣涛 2021年5月11日
Linux调试追踪: kprobe实现简析
JiMoKuangXiangQu的专栏
06-09 505
Linux,Kprobe
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
ARM架构kprobe应用实现分析(7.0 自动显示参数的值)
李子的备忘录
11-19 1743
通过前面的介绍 知道参数在寄存器及堆栈的位置,我们就有可能显示参数的值 jprobe也可以显示参数的值,但是其有缺点:不能探测函数时加上偏移量 具体上下文请参考: ARM架构kprobe应用实现分析(3.0 被探测函数说明) 导出参数的函数: static int dump_arm_parameter(struct pt_regs *regs) { int i=0;
ARM架构kprobe应用实现分析(8.0 register_kprobe实现)
李子的备忘录
11-19 1994
int __kprobes register_kprobe(struct kprobe *p) { int ret = 0; struct kprobe *old_p; struct module *probed_mod; kprobe_opcode_t *addr; //返回要探测的决定地址 addr = kprobe_addr(p); if (IS_
ARM架构kprobe应用实现分析(10 trap中断注册及回调)
李子的备忘录
11-19 2136
首先可以看下探测点检测到非法指令时候,产生中断的dump_stack: symbol] (dump_backtrace+0x0/0x10c) from [] (dump_stack+0x18/0x1c) symbol] (dump_stack+0x0/0x1c) from [] (handler_pre+0x144/0x19c [kk]) symbol] (handler_pre+0x0/0
ARM架构kprobe应用实现分析(11 原理)
李子的备忘录
12-03 3118
1 拷贝探测的code , 插入特殊指令(ARM是插入未定义指令) 2 CPU运行到未定义指令,会产生trap, 进入ISR,并保存当前寄出去的状态   通过LINUX的通知机制,会执行“pre_handler”(前提是你已经注册过了) 3 进入单步模式,运行你备份出来的代码  (此代码运行的是拷贝出来的,防止别的CPU也恰巧运行到此位置) 4 单步模式后,运行“post_handler
ARM架构kprobe应用实现分析(6.0 导出堆栈的值)
李子的备忘录
11-17 1569
上篇讲过了导出寄存器的值 但是当函数参数多余4个的话(R0 R1 R2 R3 ),其他的值会保存在堆栈中,所以必须导出SP附近的值才能查看其它参数的值 此函数实现如下: 第一个参数为SP的值,第二个是一SP为中心要打印周围栈的数据 static int dump_arm_stack(unsigned int * _addr , unsigned int addrSize) {
ebpf 在网络安全领域的应用前景如何
06-01
1. 网络流量分析:eBPF 可以用于实时分析网络流量,从而检测恶意流量、DDoS 攻击、端口扫描等威胁。eBPF 可以通过 Socket Filter 和 XDP 等机制来拦截网络数据包,并使用 eBPF Map 存储统计信息和过滤规则。eBPF 还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值