kprobe 和 kretprobe 隐藏的秘密

最新推荐文章于 2023-11-28 09:04:01 发布
最新推荐文章于 2023-11-28 09:04:01 发布
阅读量1.2w 收藏
点赞数
文章标签: kprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/132087417
版权

我总劝人不要用 kretprobe 耍技巧,会脱手。

Linux kernel 的 kretprobe 机制和 kprobe 完全不同,本质原因在于,函数的入口地址是固定的,但函数的返回地址不固定,由于返回位置不固定,无法固定函数大小,无法事先插桩。一图以示之:
在这里插入图片描述

想在函数返回时插入个 hook,只有在函数被调用时确定了函数返回地址(x86 为例,压栈返回地址)后才可能。

因此,kprobe 在 register 时即可将 hook 挂载,与 kprobe 不同,kretprobe 需在函数每次被调用时才能将 hook 挂载。这只是事情的轮廓,“在函数调用时挂载 hook” 才是大头。

task 将函数返回地址替换成 kretprobe 的 hook 地址之前要保存旧返回地址,由于函数可被不同 task 同时调用,因此不同 task 需拥有独立的 kretprobe_instance。

同一个 kretprobe hook,不同 kretprobe_instance,Linux kernel 预分配了若干(与 CPU 数量相关) kretprobe_instance,挂接在 kretprobe 的某 list 上,每当有 task 需要 kretprobe 特定函数时,在函数的入口处先从 kretprobe 的 list 上摘出一个 kretprobe_instance 供自己私用,此时函数返回地址已经压栈,替换返回地址为 hook 前将其 save 在独享的 kretprobe_instance 中。

很长一段时间跨越很多内核版本,多个 kretprobe_instance 以 hlist_node 的方式挂接在以 task 地址 hash 为 key 的 hlist 上,而对 hlist_node 的 CURD 必然涉及 lock,对于高频调用的热点函数,kretprobe 里的这个 lock 相当于自设的路障,hash 到同一个 bucket 的 task 同时调用一个函数时会被串行化,严重影响性能,甚至使系统 soft/hard lockup。这是一个知道的人很少的秘密。

为什么不用 percpu lock?因为函数调用返回前可能发生 task 迁移。

后来,那些煤炭奈儿(maintainer,妹忒讷儿)估计也发现了问题,提交了一些派驰(patch),将 hlist 改成了 CAS-based lock-free free list,但人家自己也说了 Not the fastest thing in the world under heavy contention, but simple and correct,详见源文件

上面这些话,请自行比较不同内核版本的 pre_handler_kretprobe 函数实现。该函数的注释是:This kprobe pre_handler is registered with every kretprobe. When probe hits it will set up the return probe.

so?

别张口就来,挂 kretprobe 的前提是你理解它的副作用,而不是只知道个词,特别是那些上了 ebpf 毒瘾的。

我讨厌一些脱离一线很久却又要彰显自己懂得很多而对工人精确指点的经理。这些经理给出一个祈使句指导,代码脚本还是工人照着经理意思去写,经理彰显才华后,事了拂衣去。

经理知道 kretprobe 可以修改函数返回值,但他大概不知道 kretprobe 隐藏的秘密。知道这些秘密的经理不会指使工人用 kretprobe 修改返回值。经理就好好当经理,做好资源和人力的分配调度,别天天混进工人队伍里瞎指挥,还美其名曰技术导向,这就是扯淡。

kretprobe 的理论解法是将 return address 也固定,因此理论上可以截获 ret 指令,进入一个 common stub hook 中判定该函数是不是需要被 hook,如果不需要这就返回,如果需要就先调用 hook 再返回,但依然会引入别的开销,那么可以缩小替换范围,只在 kretprobe function 附近搜索并替换 ret 指令。

还有吗,还有,但不相关了。

工人提出用 kretprobe 修改 init_cwnd,经理会说这是非标的方案,kprobe/kretprobe 更多只做 debug 和可观测性,不能上线…但工人想修改 init_cwnd 却没方案时,经理会让工人用 kretprobe 来改,绝口不提是否非标。经理知道 kprobe/kretprobe,但并不真懂,仅科普水平,或做过 demo,但也仅此。对技术细节非常感兴趣又亲自指挥细节的经理不是合格经理。但不知何时,不知为什么,工人们普遍觉得懂技术的经理才合格,于是经理们不得不去懂点技术,显得很 geek,这样才是真经理。很多经理都会此地无银三百两式地强调自己写过代码,懂技术,可也没人问啊。

浙江温州皮鞋湿,下雨进水不会胖。

dog250
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kprobe分析
06-15
kprobe的简单分析,也有不完全的地方
kprobe_jprobe
01-22
在Linux内核调试和性能分析领域,`kprobe` 和 `jprobe` 是两种非常重要的工具。它们允许开发者动态地探测内核代码的行为,从而理解系统运行时的内部工作原理,定位潜在的问题或者优化性能。下面我们将深入探讨这两个...
Linux 下的一个全新的性能测量和调式诊断工具 Systemtap,第 1 部分: kprobe
hnllei的专栏
04-28 1353
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1/index.html kprobe 的原理、编程接口、局限性和使用注意事项 杨 燚 (yang.y.yi@gmail.com), 计算机科学硕士, Intel 简介: 本系列文章详细地介绍了一个Linux下的全新的调式、诊断和性能测量工具Systemtap和它所依
kprobes/kretprobes介绍
M120674的专栏
12-14 780
一 功能 (1)kprobe/kretprobes提供了针对内核的动态插桩支持。 (2)kprobes可以对任何内核函数(入口或函数内部指令)进行插桩 (3)kretprobes用来对内核函数返回时进行插桩以获取返回值等 二 接口 三种接口方式: (1)kprobe API:register_kprobe/register_kretprobe 该API接口是内核提供的,一般在定制化调试的驱动模块中调用API注册kprobe事件。 具体信息可以参考如下内核文档: kprobe...
内核热探测工具--kprobe
C_JLMPC2009的博客
11-01 814
前言 本文为原创,可能会存在一些知识点或理解上的问题,欢迎切磋和交流 ^_^ 1. 为什么要用kprobe调试工具 定位和复现内核挂死问题,如果要分析内核vfs层代码,需要在函数接口中添加一些调试日志,如果只是单纯的使用printk、pr_info或dout这些打印函数来打印相关参数值,需要重编内核,从时间成本、定位根因上考虑,该方法不利于快速定位问题。 Kprobe作为一种内核热补丁...
kprobes/kretprobes 在 bcc 程序中的使用
金荣的个人技术博客
06-21 1556
1. kprobes/kretprobes 介绍 1.1 kprobes 介绍 kprobes 主要用来对内核进行调试追踪, 属于比较轻量级的机制,,本质上是在指定的探测点(比如函数的某行, 函数的入口地址和出口地址,,或者内核的指定地址处)插入一组处理程序.。内核执行到这组处理程序的时候就可以获取到当前正在执行的上下文信息, 比如当前的函数名, 函数处理的参数以及函数的返回值,,也可以获取到寄存器甚至全局数据结构的信息。 1.2 kretprobes 介绍 kretprobes 在 kprobes 的机制
Linux内核调试技术之kprobes:基本原理与使用
Aspiresky的专栏
12-14 1925
Linux kprobes技术是一种可以跟踪内核函数执行状态的轻量级内核调试技术,利用kprobes技术可以在运行的内核中动态的插入探测点,当内核运行到该探测点后可以执行用户预定义的回调函数,以收集所需的调试状态信息而基本不影响内核原有的执行流程。{return 0;}.symbol_name = "do_fork", // 要追踪的内核函数为 do_fork.pre_handler = handler_pre // pre_handler 回调函数。
lkdtm.rar_crash_kprobe
09-24
总结来说,"lkdtm.rar_crash_kprobe" 是一个用于内核调试和测试的实用工具,它结合了kprobe的强大功能,以帮助开发者更好地理解和分析内核崩溃情况。通过深入理解kprobe和crash dump机制,我们可以提高对Linux内核...
kprobe-examples.tar.gz
12-21
kprobe和jprobe是Linux内核中的动态探测工具,它们允许用户在不修改内核源码的情况下,对内核函数进行跟踪和调试。本文将通过分析`kprobe-examples`压缩包中的示例,深入探讨这两种技术的工作原理和应用。 一、...
kprobe 原理详细分析
看我眼色行事的博客
08-03 636
内核调试机制 kprobe 原理详细分析,使用 kprobe 可以在内核任意位置设置 hook 并跟踪调试
c++ hook例子_ARM平台linux系统内核HOOK常见问题探讨二
weixin_39795325的博客
11-12 448
上一次我们针对内核HOOK常见问题讲了只读内存问题以及为了避免操作被打断如何阻塞其它CPU核心,还有ARM64的参数及内存布局等基础问题。在这些问题上,已经能基本满足我们日常做HOOK的需求。本节主要讲述另外几个HOOK相关问题。首先是HOOK的方式。除了上节讲过的系统调用表的HOOK和各种inline HOOK外,这里再介绍几种相对兼容性、稳定性更有保障的做法。最核心、最灵活的当然就是...
`kprobe`和`kretprobe`同一个函数能不能调注册多个回调?
最新发布
qq_42931917的博客
11-28 418
kprobe使用
Linux kretprobe使用和原理
小立仔
07-28 2022
Linux kretprobe的简单使用和原理
深入ftrace kprobe原理解析
奇小葩
11-20 3352
至此,我们知道Kprobe实现的本质是breakpoint和single-step的结合,这一点和大多数调试工具一样,比如kgdb/gdb。当 kprobe 被注册后,内核会将对应地址的指令进行拷贝并替换为断点指令(比如 X86 中的int 3)随后当内核执行到对应地址时,中断会被触发从而执行流程会被重定向到我们注册的函数当对应地址的原始指令执行完后,内核会再次执行从而实现指令级别的内核动态监控。也就是说,kprobe 不仅可以跟踪任意带有符号的内核函数,也可以跟踪函数中间的任意指令。
kprobe钩子详细介绍
kfy2011的专栏
12-14 4210
Kprobe钩子介绍 kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。 kprobe实现了三种类型的探测点:kp
kprobe实现原理解析
hjkfcz的博客
11-17 2908
一、简介 kprobe是内核的动态探测工具,几乎可以探测任何一条内核指令。kprobe根据探测点类型可分为三种: kprobes, jprobes和kretprobes (也叫返回探测点)。 kprobes是可以被插入到内核的任何指令位置的探测点,jprobes则只能被插入到一个内核函数的入口,而kretprobes则是在指定的内核函数返回时才被执行。 kprobe...
linux系统调用挂钩方法总结
热门推荐
sdulibh的专栏
12-22 1万+
相关学习资料 http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/2010
实时监控TCP Reset信息的二进制hook手艺
Netfilter
04-01 3203
玩二进制hook上瘾可以,但不能走火入魔,继监控TCP半连接队列,计数iptables DROP以后,本文来实时监控TCP Reset报文信息,我保证,本文是这个关于二进制hook手艺的最后一篇。 当协议栈收到一个TCP Reset后,除了递增一个计数器之外,并没有记录任何信息,但是我们仍然需要这些详细的信息,怎么办? 最简单的方法莫过于stap了,类似于下面的这种: stap -e 'prob...
linux内核hook方式
faxiang1230的专栏
07-02 1544
翻译:https://www.apriorit.com/dev-blog/544-hooking-linux-functions-1 我们最近在开展linux系统上安全相关的工作,在上面我们需要hook内核中重要的函数调用,例如打开文件、创建进程。 我们需要这样一个项目来监控系统的活动并且阻塞可疑的进程。 实际上,最后我们采用了一种高效的方式来hook系统,借助于ftrace系统,可以通过函数...
BPF_PROG_TYPE_KPROBE与BPF_PROG_TYPE_SYSCALL的作用有什么不同
04-01
BPF_PROG_TYPE_KPROBE和BPF_PROG_TYPE_SYSCALL都是eBPF程序类型,但它们的作用不同。 BPF_PROG_TYPE_KPROBE是用于内核探测点的eBPF程序类型。它可以被插入到内核函数的入口或出口处,以便监控和调试内核行为。Kprobes可以跟踪系统调用、内核函数和驱动程序,以便收集诊断信息或性能分析数据。Kprobes通常用于内核开发和调试,以及系统性能分析和故障排除。 BPF_PROG_TYPE_SYSCALL是用于系统调用的eBPF程序类型。它可以在系统调用的入口或出口处拦截和修改系统调用参数,或在系统调用返回时收集性能统计信息。Syscall程序通常用于安全监控、容器隔离、网络过滤等应用场景中。 因此,BPF_PROG_TYPE_KPROBE和BPF_PROG_TYPE_SYSCALL的作用不同,适用于不同的应用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值