kprobes查看内核内部信息的使用方法

最新推荐文章于 2022-12-14 21:45:58 发布
最新推荐文章于 2022-12-14 21:45:58 发布
阅读量498 收藏
点赞数
文章标签: kprobes kprobes使用 kprobes演示 内核调试之kprobes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZHONGkunjia/article/details/75792791
版权

优点:

以内核模块的方式使用kprobes,可以在任意地方插入探测器,执行包括printk在内的各种调试工作,而无须重新构建内核,也无须重启。相比于printk,是调试内核的有效方法之一。

前提:

内核必须支持kprobesjprobes

#make menuconfig

General setup  --->

[*] Kprobes    ------这项要选上

使内核支持kprobes


kprobes的使用方法:

1、分配一个kprobe结构体供kprobes运行时使用。
2、设置symbol_name成员为"do_execve"(想要探测的函数,可以通过查看system.map查找,或者通过proc文件系统查找:# cat /proc/kallsyms | grep "do_execve")。

3、给kprob结构体的pre_handler成员赋值探测函数exec_pre_handler

4、调用register_kprobe函数注册探测器函数。

示例:

在每次调用do_execve()函数之前,就会打印当前的进程pidjiffies值等全局变量信息。

#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/kallsyms.h>

struct kprobe exec_kp;

static int exec_pre_handler(struct kprobe *p, struct pt_regs *regs)
{
    printk("Enter into %s\n", __func__);
    printk("pt_regs:%p, pid:%d, jiffies:%ld\n", regs, current->tgid, jiffies);
    
    return 0;
}

static __init int kprobes_exec_init(void)
{
    exec_kp.symbol_name = "do_execve";
    exec_kp.pre_handler = exec_pre_handler;

    /*注册kprobes*/
    register_kprobe(&exec_kp);
    
    return 0;
}

static __exit void kprobes_exec_cleanup(void)
{
    /*撤销kprobes注册*/
    unregister_kprobe(&exec_kp);
}

module_init(kprobes_exec_init); 
module_exit(kprobes_exec_cleanup);
MODULE_LICENSE("GPL v2");

编译并insmod上述ko,那么在do_execve()函数执行之前就会先执行kprobespre_handler所指向的exec_pre_handler,打印内核的当前进程pidjiffies等全局变量的值。由于do_exec函数用于生成进程,因此每次执行ls等命令都会显示一次:

pt_regs:c52ebf08, pid:110, jiffies:155286

pt_regs:c5313f08, pid:113, jiffies:159137

pt_regs:c52ebf08, pid:112, jiffies:159137

利用kprobes也可以查看内核函数内部任意位置的信息,此时需要把内核函数反汇编,确定想要查看位置相对于函数起始地址的偏移量,在初始化kprobes时,设置kprobe结构体的offset成员,就可以查看内核内部函数任意位置的信息。


寒江独钓2009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
Linux 下的一个全新的性能测量和调式诊断工具 Systemtap,第 1 部分: kprobe
hnllei的专栏
04-28 1318
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1/index.html kprobe 的原理、编程接口、局限性和使用注意事项 杨 燚 ([email protected]), 计算机科学硕士, Intel 简介: 本系列文章详细地介绍了一个Linux下的全新的调式、诊断和性能测量工具Systemtap和它所依
Linux kprobe的使用
小立仔
07-21 3157
Linux kprobe的简单使用
linux kprobe
weixin_41028621的博客
02-28 757
了解linux kprobe 1.What is kprobes?   kprobe是一个轻量级的内核调试工具,也是其他更高级的内核调试(如perf和systemtap的基础)。kprobes 主要用来对内核进行调试追踪, 属于比较轻量级的机制, 本质上是在指定的探测点(比如函数的某行, 函数的入口地址和出口地址, 或者内核的指定地址处)插入一组处理程序. 内核执行到这组处理程序的时候就可以获取到当前正在执行的上下文信息, 比如当前的函数名, 函数处理的参数以及函数的返回值, 也可以获取到寄存器甚至全局.
[monitor] 8. Linux kprobe(内核探针)
pwl999的博客
10-13 3104
1、kprobe概念kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。kprobe实现了三种类型的探测点: kprobe
Linux内核调试技术之kprobes:基本原理与使用
Aspiresky的专栏
12-14 1610
Linux kprobes技术是一种可以跟踪内核函数执行状态的轻量级内核调试技术,利用kprobes技术可以在运行的内核中动态的插入探测点,当内核运行到该探测点后可以执行用户预定义的回调函数,以收集所需的调试状态信息而基本不影响内核原有的执行流程。{return 0;}.symbol_name = "do_fork", // 要追踪的内核函数为 do_fork.pre_handler = handler_pre // pre_handler 回调函数。
linux内核调试方法总结
08-02
调试前的准备 二 内核中的bug 三 内核调试配置选项 1 内核配置 2 调试原子操作 四 引发bug并打印信息 1 BUG()和BUG_ON() 2 dump_stack() 五 printk() 1 printk函数的健壮性 ...3 使用 Kprobes 更好地进行调试
The Amazing World of Kprobes-2016.pdf
10-22
The Amazing World of Kprobes-2016.pdf
vltrace:使用eBPF linux内核功能以快速方式跟踪系统调用的工具
05-19
vltrace:使用eBPF的syscall跟踪程序 这是vltrace的顶级README.md。 vltrace是一个系统调用跟踪工具,它利用eBPF(Linux内核的有效跟踪功能)。执照请参阅文件以获取有关此工具如何获得的信息。依赖vltrace取决于库...
kprobes example
07-08
kprobes example dump_stack
Linux调试技术制kprobes
11-18
Kprobe是linux的一种动态调试的技术
Kprobes and Systemtap Status
08-22
Sony介绍Kprobes,systemtap的功能及移植工作的处理。
kprobes-test.rar_One Three One
09-20
The arguments given to test cases can be one of three types.
linux内核调试分析指南
11-23
linux内核调试分析指南 linux内核调试分析指南--上篇 本文档已经转到下面的网址,位于zh-kernel.org的文档停止更新,请访问新网址 一些前言 作者前言 知识从哪里来 为什么撰写本文档 为什么需要汇编级调试 ***第一...
vendor-reset:Linux内核供应商特定的硬件重置模块,用于过于复杂的序列以至于无法在pci_quirks.c中使用
03-17
该模块已编写为使用ftrace挂接pci_dev_specific_reset ,从而使其可以直接处理设备重置,而无需修补正在运行的内核。 只需对模块进行修改就足以启用所有受支持硬件的重置例程。 要求 确保您的内核启用了以下选项: ...
linux 内核探测kprobe 初步了解
bcbobo21cn的专栏
01-17 823
kprobe(内核探测,kernel probe)是一个动态地收集调试和性能信息的工具。 如,收集寄存器和全局数据结构等调试信息,无需对Linux内核频繁编译和启动。 用户可以在任何内核代码地址进行陷阱,指定调试断点触发时的处理例程。 工作机制是: 用户指定一个探测点,并把用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。 kprobe允许用户编写内核模块添加调试信息内核。 用户可以编译一个内核模块,并将内核模块插入到调试内核中,就可以..
Linux内核调试方法
u014426028的博客
12-08 1450
https://blog.51cto.com/linuxkernel/1275025 Linux内核调试方法 1内核bug跟踪 1.1oops消息分析 1.2系统崩溃重启动 1.2.1(1)工具kexec介绍 1.2.2(2)kdump介绍 1.3SysRq魔术组合键打印内核信息 1.4命令strace 1.5用函数printk打印内核信息 1.6内核探测kp.
Linux内核调试的方式以及工具集锦
caotuo_csdn的博客
11-23 755
转载于:https://blog.csdn.net/gatieme/article/details/68948080 CSDN GitHub Linux内核调试的方式以及工具集锦 LDD-LinuxDeviceDrivers/study/debug 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可, 转载请注明出处, 谢谢合作 因本人技术水平和知识面有限, 内容如有纰漏或者需要修正的地方, 欢迎大家指正, 也欢迎大家提供一些其他好的调试工具以供收.
linux劫持内核函数,Linux系统内核劫持方法分析
最新发布
06-09
Linux内核函数劫持是一种重要的攻击技术,攻击者可以利用它来实现各种恶意行为,例如窃取用户信息、篡改系统数据等。Linux内核函数劫持需要攻击者在系统内核中修改某些函数的指针,使其指向攻击者自己编写的恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寒江独钓2009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值