uprobe的使用浅析

已于 2022-10-15 00:53:31 修改
阅读量1.8k 收藏 6
点赞数 1
分类专栏: linux-kernel 文章标签: linux
于 2022-10-15 00:52:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiWang112358/article/details/127330218
版权 
	uprobe是linux内核提供的一种trace用户态函数的机制
	可以在不对二进制重新编译的情况下进行trace特定函数
	本文描述了uprobe的基本使用方法

使用方法

  • 官方的指引是这样的, 详细的可以看kernel代码中的文档Documentation/trace/uprobetracer.rst

    p[:[GRP/]EVENT] PATH:OFFSET [FETCHARGS] : Set a uprobe
    r[:[GRP/]EVENT] PATH:OFFSET [FETCHARGS] : Set a return uprobe (uretprobe)

  • p 代表trace函数

  • r 代表trace函数的返回

先不描述其它参数,我们从例子入手,这样能更好理解其它参数的作用

比如我有一个main.c程序

#include <stdio.h>

int func1() {
    printf("1\n");
}

int main() {    
    func1();
    return 0;
}

编译之

gcc main.c -O0 -o uprobe_test

我们想要trace uprobe_test启动之后,什么时候调用的func1, 什么时候从func1返回的

这时我们使用这样的命令

echo 'p:func1 ./uprobe_test:0x1126' >> /sys/kernel/debug/tracing/uprobe_events
echo 'r:func1_ret ./uprobe_test:0x1126' >> /sys/kernel/debug/tracing/uprobe_events

分几个部分解释这两个命令,首先,从输出的目标文件可以猜出,uprobe_events应该是一个列表,这是一个和内核沟通的通道,里面存储着我们期望trace的规则,规则描述了我们想要trace哪些函数的进入,想要trace哪些函数的返回,我们可以cat这个文件看看。

[root@VM-0-13-centos uprobe]# cat /sys/kernel/debug/tracing/uprobe_events
p:uprobes/func1 ./uprobe_test:0x0000000000001126
r:uprobes/func1_ret ./uprobe_test:0x0000000000001126

那么规则是什么样呢,之前说了p代表trace函数进入,r代表trace函数退出

从上面cat的结果可以看到p:后面跟了一个uprobes,这是这个事件的grp名称,由于我们在命令中直接指定了事件名称“func1”(注意这里的func1是紧跟在p:后面,是一个名称,与要跟踪的函数名称可以不同),如果不指定grp,系统会把我们的事件自动分配到uprobes组。

接着看命令

:func1 代表一个自定义的消息名称

./uprobe_test 就是一个文件的相对路径,用来供内核找到对应的inode节点

之后的:0x1126代表我们要在映射了这个inode对应的数据块的起始偏移0x1126处设置一个断点,一旦运行到了这个断点,就会进入我们设定好的trace逻辑(默认是向/sys/kernel/debug/tracing/trace和/sys/kernel/debug/tracing/trace_pipe中写日志)

那么疑点来了,:0x1126是哪来的呢,看起来像是某种地址,跟func1有关。

我们来看一下func1的符号地址

[root@VM-0-13-centos uprobe]# nm uprobe_test | grep func1
0000000000401126 T func1

0x401126 看起来和0x1126差了一个0x400000

而官方描述里面这个对应的参数叫offset,
这下就明白设计意图了,我们告诉内核两个信息

  1. 要trace的程序的路径
  2. 程序加载到进程内存空间之后,断点距离加载起始地址的偏移

有了1,系统就可以根据进程里面的maps分布找到起始地址,再加上2中的偏移,就得到了具体断点在进程空间中的位置。

这样说还不够直观,我们看一下uprobe_test程序运行起来后的内存布局。我们用gdb将程序停在main处,然后查看/proc中的maps

[root@VM-0-13-centos uprobe]# cat /proc/121052/maps
00400000-00401000 r--p 00000000 fd:01 1721806                            /root/linux_learn_diary/uprobe/uprobe_test
00401000-00402000 r-xp 00001000 fd:01 1721806                            /root/linux_learn_diary/uprobe/uprobe_test
00402000-00403000 r--p 00002000 fd:01 1721806                            /root/linux_learn_diary/uprobe/uprobe_test
00403000-00404000 r--p 00002000 fd:01 1721806                            /root/linux_learn_diary/uprobe/uprobe_test
00404000-00405000 rw-p 00003000 fd:01 1721806                            /root/linux_learn_diary/uprobe/uprobe_test
7ffff7a0b000-7ffff7bc7000 r-xp 00000000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7bc7000-7ffff7dc6000 ---p 001bc000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7dc6000-7ffff7dca000 r--p 001bb000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7dca000-7ffff7dcc000 rw-p 001bf000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7dcc000-7ffff7dd0000 rw-p 00000000 00:00 0 
7ffff7dd0000-7ffff7dfc000 r-xp 00000000 fd:01 142249                     /usr/lib64/ld-2.28.so
7ffff7fef000-7ffff7ff1000 rw-p 00000000 00:00 0 
7ffff7ff8000-7ffff7ffb000 r--p 00000000 00:00 0                          [vvar]
7ffff7ffb000-7ffff7ffc000 r-xp 00000000 00:00 0                          [vdso]
7ffff7ffc000-7ffff7ffd000 r--p 0002c000 fd:01 142249                     /usr/lib64/ld-2.28.so
7ffff7ffd000-7ffff7fff000 rw-p 0002d000 fd:01 142249                     /usr/lib64/ld-2.28.so
7ffffffde000-7ffffffff000 rw-p 00000000 00:00 0                          [stack]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]

这里可以看出,uprobe_test是被映射到了0x400000这个其实地址

我们使用readelf -l 也能看到这样的信息

[root@VM-0-13-centos uprobe]# readelf -l uprobe_test | grep LOAD
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000
  LOAD           0x0000000000001000 0x0000000000401000 0x0000000000401000
  LOAD           0x0000000000002000 0x0000000000402000 0x0000000000402000
  LOAD           0x0000000000002e00 0x0000000000403e00 0x0000000000403e00

可以看到第一个需要被加载到内存中的段的偏移是0x400000

这是可能会有一个疑问,为什么不直接告诉内核断点的真实位置是0x401126呢,让内核去找起始地址再加上偏移,得到的不也是这个值吗,这不是多此一举吗。

的确,当前编译出来的uprobe_test的文件中的符号地址确实就是0x401126,但如果我们用地址无关的方式编译,效果会是怎样呢?

gcc  main.c -pie -fPIE -O0 -o uprobe_test

[root@VM-0-13-centos uprobe]# readelf -l uprobe_test | grep LOAD
  LOAD           0x0000000000000000 0x0000000000000000 0x0000000000000000
  LOAD           0x0000000000001000 0x0000000000001000 0x0000000000001000
  LOAD           0x0000000000002000 0x0000000000002000 0x0000000000002000
  LOAD           0x0000000000002de0 0x0000000000003de0 0x0000000000003de0

可以看到这样编译之后起始偏移变成了0而不是0x400000

但是当程序加载起来,我们看看真正加载在哪

[root@VM-0-13-centos linux_learn_diary]# cat /proc/124222/maps 
555555554000-555555555000 r--p 00000000 fd:01 1721809                    /root/linux_learn_diary/uprobe/uprobe_test
555555555000-555555556000 r-xp 00001000 fd:01 1721809                    /root/linux_learn_diary/uprobe/uprobe_test
555555556000-555555557000 r--p 00002000 fd:01 1721809                    /root/linux_learn_diary/uprobe/uprobe_test
555555557000-555555558000 r--p 00002000 fd:01 1721809                    /root/linux_learn_diary/uprobe/uprobe_test
555555558000-555555559000 rw-p 00003000 fd:01 1721809                    /root/linux_learn_diary/uprobe/uprobe_test
7ffff7a0b000-7ffff7bc7000 r-xp 00000000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7bc7000-7ffff7dc6000 ---p 001bc000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7dc6000-7ffff7dca000 r--p 001bb000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7dca000-7ffff7dcc000 rw-p 001bf000 fd:01 142256                     /usr/lib64/libc-2.28.so
7ffff7dcc000-7ffff7dd0000 rw-p 00000000 00:00 0 
7ffff7dd0000-7ffff7dfc000 r-xp 00000000 fd:01 142249                     /usr/lib64/ld-2.28.so
7ffff7fef000-7ffff7ff1000 rw-p 00000000 00:00 0 
7ffff7ff8000-7ffff7ffb000 r--p 00000000 00:00 0                          [vvar]
7ffff7ffb000-7ffff7ffc000 r-xp 00000000 00:00 0                          [vdso]
7ffff7ffc000-7ffff7ffd000 r--p 0002c000 fd:01 142249                     /usr/lib64/ld-2.28.so
7ffff7ffd000-7ffff7fff000 rw-p 0002d000 fd:01 142249                     /usr/lib64/ld-2.28.so
7ffffffde000-7ffffffff000 rw-p 00000000 00:00 0                          [stack]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]

可以看到加载到一个我们未预见到的地址,也就是说,有时我们没法从一个二进制程序中的符号计算出它真正在地址空间中的地址,我们只能知道它距离映射起始地址处的偏移量。

所以这时inode和offset就变得缺一不可了。

这样,第一条命令解释完毕。
第二条命令,r开头,代表trace函数的退出。

写入规则后,debugfs中的目录结构也会发生变化,由于我们使用的是默认的uprobes组,所以会在tracing/events/uprobes/下面多出两个目录

[root@VM-0-13-centos events]# cd /sys/kernel/debug/tracing/events/
[root@VM-0-13-centos events]# tree uprobes/
uprobes/
├── enable
├── filter
├── func1
│   ├── enable
│   ├── filter
│   ├── format
│   ├── id
│   └── trigger
└── func1_ret
	├── enable
	├── filter
	├── format
	├── id
	└── trigger

func1 func1_ret这两个目录和我们的命令一一对应。

通过执行

echo 1 >/sys/kernel/debug/tracing/events/uprobes/enable

开启trace

这时我们运行./uprobe_test 再cat /sys/kernel/debug/tracing/trace

[root@VM-0-13-centos ~]# cat /sys/kernel/debug/tracing/trace
# tracer: nop
#
# entries-in-buffer/entries-written: 2/2   #P:2
#
#                                _-----=> irqs-off
#                               / _----=> need-resched
#                              | / _---=> hardirq/softirq
#                              || / _--=> preempt-depth
#                              ||| /     delay
#           TASK-PID     CPU#  ||||   TIMESTAMP  FUNCTION
#              | |         |   ||||      |         |
	 uprobe_test-127256  [001] d... 49487.340206: func1: (0x401126)
	 uprobe_test-127256  [001] d... 49487.340271: func1_ret: (0x401145 <- 0x401126)

就可以看到trace信息了

这里,perf给我们提供了一个简便的工具添加uprobe而不用自己计算偏移量

perf probe -x ./uprobe_test func1
perf probe -x ./uprobe_test func1%return

只不过这时grp变成了probe_uprobe_test

[root@VM-0-13-centos uprobe]# cat /sys/kernel/debug/tracing/uprobe_events 
p:probe_uprobe_test/func1 /root/linux_learn_diary/uprobe/uprobe_test:0x0000000000001126
r:probe_uprobe_test/func1__return /root/linux_learn_diary/uprobe/uprobe_test:0x0000000000001126
LiWang112358
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python yield 使用方法浅析
09-21
本篇文章主要介绍了Python yield 使用方法浅析,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
uprobe 实战
小羊苏C的博客
02-16 814
简单的使用uprobe 操作过程记录。
基于Linux内核的应用探测: uprobe
yeholmes的专栏
03-13 3997
基于Linux内核的应用性能分析技术 Linux内核有良好的分层设计,但了解并实时跟踪内核的行为并不容易。为此,Linux内核开发者实现了跟踪点(tracepoint)、性能监测(perf_event)、函数跟踪(ftrace)等功能,用于Linux的调试和性能分析。最近几年已经成熟的eBPF内核子系统带来了内核性能分析技术的飞跃,常用的主要有bcc、bpftrace;二者同属于github的iovisor用户,直译出来即为“输入输出监测”,即性能监测。这些工具同样可用于应用层的性能分析,这是笔者关注的功能
深入ftrace uprobe原理和功能介绍
奇小葩
11-24 4412
上一章我们学习了,kprobe 可以实现动态内核的注入,基于中断的方法在任意指令中插入追踪代码,并且通过 pre_handler/post_handler去接收回调。另一个 kprobe 的同族是,只不过是针对函数级别的内核监控,根据用户注册时提供的和来分别在函数进入时和返回前进行回调。本章的我们来学习uprobe ,顾名思义,相对于内核函数/地址的监控,主要用于用户态函数/地址的监控。听起来是不是有点神奇,内核怎么监控用户态函数的调用呢?
可观测性项目对 uprobe 的需求理解与实现
eBPF_Kindling的博客
12-06 666
uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
Linux tracing之基于uprobe/kprobe的调试调优浅析
tugouxp的专栏
06-23 1217
uprobe与krobe对应,动态附加到用户态调用函数的切入点称为uprobe,相比如kprobe 内核函数的稳定性,uprobe 的函数由开发者定义。uprobe是用户态的探针,它和kprobe是相对应的,kprobe是内核态的探针。uprobe需要制定用户态探针在执行文件中的位置,插入探针的原理和kprobe类似。下面是对uprobe使用方法的简单介绍。Makefile分别编译地址加载无关和地址相关两个版本的应用程序,分别抓取其PROBE结果。之后使用如下命令查看注册的EVENT事件。
uprobe使用简介
weixin_42136255的博客
03-21 1123
uprobe使用简介
浅析jQuery中使用$所引发的问题
10-22
主要介绍了浅析jQuery中使用$所引发的问题的相关资料,f非常不错具有参考借鉴价值,需要的朋友可以参考下
珊瑚虫IP库浅析
10-31
珊瑚虫IP库浅析
Ptrace, Utrace, Uprobes: Lightweight, Dynamic Tracing of User Apps
08-27
IBM经典论文,主要介绍几个调试工具的底层库的比较。关注点主要放在Utrace上,介绍了Utrac相对gdb传统调试底层库ptrace的优势。 学习使用ptrace必看
weaver:使用uprobes和eBPF跟踪Go程序执行
04-07
编织者 请阅读! -我目前正在将Weaver重构为使用libbpf而不是bcc,这将包括其他许多重大改进。 如果您当前使用的是weaver,请注意,在进行重大重构之前,功能/错误修复一直处于推迟状态。 这将在分支“重构”中进行跟踪 Weaver是一个CLI工具,可让您跟踪Go程序,以检查将哪些值传递给指定的函数。 它利用附加到升级上的eBPF。 快速开始 有两种操作模式,一种使用“功能文件”,另一种从传递的二进制文件中提取符号表并通过Go包进行过滤。 有关功能的更多信息。 功能文件 采取以下示例程序: test_prog.go package main //go:noinline func test_function ( int , [ 2 ] int ) {} //go:noinline func other_test_function ( rune , int64 ) {} fu
科学划界浅析.docx
06-19
科学划界浅析.docx
Java的绘图模式使用浅析
09-03
主要介绍了Java的绘图模式使用浅析,以一个小例子大概列举了XOR模式下能干的一些事情,需要的朋友可以参考下
怎么使用uprobe
weixin_35756637的博客
02-15 288
uprobe是Linux内核提供的一种动态追踪工具,用于跟踪应用程序或内核模块中的函数调用或指令执行。使用uprobe可以帮助开发人员进行调试、性能分析、安全审计等操作。 以下是使用uprobe的一般步骤: 确定要追踪的函数或指令,可以使用readelf或objdump等工具查看可执行文件或内核模块的符号表。 使用uprobe工具,如perf或uprobes,在要追踪的函数或指令上设置探针。 ...
uprobes介绍
M120674的专栏
12-14 963
一 功能 uprobes提供了用户态程序的动态插桩, 注意与kprobes的 区别 二 接口 (1)基于Ftrace,通过/sys/kernel/debug/tracing/uprobe_events写入特定字符串打开关闭uprobes,具体方法参考如下文档: uprobetracer.rst - Documentation/trace/uprobetracer.rst - Linux source code (v4.17.18) - Bootlin 注意和kprobe不同的是...
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
最新发布
m0_74206992的博客
03-30 1288
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
uprobe
yunlianglinfeng的专栏
10-15 745
项目上需要分析用户态程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe的使用,小结如下: 1.编写小测试程序如下: #include <stdlib.h> #include <s.
内核uprobes使用介绍
热门推荐
气有浩然,学无止境
12-16 1万+
简介 uprobe 事件tracer工具是在内核3.5开发期间何入内核主线版本的,虽然uprobe已经存在很久了。uprobe是和kprobe类似的调试方法。编译内核时通过打开CONFIG_UPROBE_EVENT=y来时能该特性。和kprobe类似,使用时不需要通过current_tracer来激活,而是检测点通过/sys/kernel/debug/tracing/uprobe_events设
浅析电脑快捷键的使用.docx
10-24
浅析电脑快捷键的使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值