关于Linux内核调试中几个工具kprobe、ftrace、ebpf关系的简单记录(本质是预留的nop)

最新推荐文章于 2024-06-02 22:23:47 发布
最新推荐文章于 2024-06-02 22:23:47 发布
阅读量314 收藏
点赞数 1
分类专栏: Linux内核 Linux调试方法 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/essencelite/article/details/138099212
版权
本文探讨了Linux内核中的kprobe如何通过nop实现函数调用监控,以及ftrace如何利用kprobe挂接hooks。进一步介绍了ebpf技术,它使用kprobe替换hooks,执行由ebpf字节码编写的程序,支持jit和aot两种代码执行策略。
摘要由CSDN通过智能技术生成

最近和行业大佬探讨关于Linux内核中kprobe、ftrace、ebpf关系的一些,特此记录:

  • ftrace提供了每个函数调用前添加nop的空指令
  • kprobe利用这nop替换,挂hooks进行调用
  • ebpf基于kprobe把hooks换成ebpf的入口函数,然后ebpf入口函数经过处理调用ebpf的程序(ebpf字节码)
  • ebpf字节码在运行时有ebpf引擎校验解析,然后编译成二进制进行运行
  • 2种代码执行策略:jit和aot:Just-In-Time运行时将字节码转换机器码,然后运行编译后的机器码,Ahead-Of-Time程序运行之前就编译丞机器码了。(比如gcc的程序)
北冥有鱼被烹
关注
专栏目录
eBPF Kprobe,有些事做不到
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-08 1269
记录一段失败的可行性验证方案,历时两天多,探索出eBPF kprobe技术的边界。 要谈eBPF kprobe,那就得从Kprobes聊起。 Kprobes Kprobes内核调试技术,是Linux提供的一种能力。能在内核指令执行过程动态断点,在不影响内核态指令正常运行的过程,收集系统的性能数据。 Kprobes 内核调试技术 原理简单内核函数方便利用指令向用户态暴露自己的内存地址。 (所有暴露的内核函数地址都在虚拟文件/proc/kallsyms上可找到!这是Kprobes利用的前提条件!) Kpr
Linux内核调试利器|kprobe 原理与实现
weixin_60043341的博客
08-12 551
本文主要介绍了 kprobe 的原理与实现,正如本文开始时所说,kprobe 机制的细节很多,所以本文不可能对所有细节进行分析。如果大家对 kprobe 的所有实现细节有兴趣,可以自行阅读源码。
Linux系统内核调试-一步步的教你怎么进行linux内核调试
09-10
Linux系统内核调试-一步步的教你怎么进行linux内核调试
eBPF/Ftrace
thinker
07-20 388
no space left on device 无处遁形 最近在生产环境遇到了几次创建容器报错 ”no space left on device“ 失败的案例,但是排查过程发现磁盘使用空间和 inode 都比较正常。在常规的排查方式都失效的情况下,有没有快速通用思路可以定位问题根源呢? 本文是在单独环境使用 eBPF + Ftrace 分析和排查问题流程的记录,考虑到该方式具有一定的通用性,特整理记录,希望能够起到抛砖引玉的作用。 作者水平有限,思路仅供参考,难免存在某些判断或假设存在不足,欢迎
kprobes技术介绍+原理,ebpf的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
m0_74206992的博客
03-29 1316
kprobes技术介绍+原理,ebpf的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
Linux内核 eBPF基础:kprobe原理源码分析:源码分析
RToax
05-12 2372
Linux内核 eBPF基础 kprobe原理源码分析:源码分析 荣涛 2021年5月11日
深入理解Linux调试工具eBPF和strace、内存泄漏处理、Kubernetes容器调试以及C++协程的崩溃信息收集
热门推荐
hacker707的博客
04-29 1万+
在软件开发领域,无论是初级开发者还是资深工程师,都需要面对复杂的调试工作。本文将介绍几个重要的调试工具和技术,并提供实际调试方法的指导,包括Linux环境下的eBPF和strace,内存泄漏问题的处理,Kubernetes容器环境下的调试技巧,以及C++20协程的崩溃信息收集策略
Linux内核调试工具Kprobe机制的研究.pdf
10-27
Linux 内核调试工具 Kprobe 机制的研究 本文主要介绍了 Linux 内核调试工具 Kprobe 机制的研究,包括 Kprobe 机制简介、Kprobe 机制实现原理等内容。Kprobe 是 IBM 公司开发的一个轻量级调试工具,允许内核运行时...
Linux内核的经典调试方式
GitHub_miao的博客
12-20 1112
Linux内核调试和跟踪是一项复杂而强大的任务,需要深入的知识和经验。本文介绍了一系列经典的Linux内核调试和跟踪方式,包括使用 printk 记录日志、使用 gdb 进行调试、使用 Kdump 分析崩溃以及使用 BPF、Tracepoint、kprobes 和 ftrace 进行高级跟踪和分析。通过掌握这些工具和技巧,可以更好地理解和解决内核问题,提高系统的可靠性和性能,从而更好地应对复杂的Linux内核挑战。无论是内核开发人员还是系统管理员,这些技能都可以对工作产生积极的影响。
Linux内核 eBPF基础:kprobe原理源码分析:基本介绍与使用示例
RToax
05-11 6721
Linux内核 eBPF基础 kprobe原理源码分析:基本介绍与使用 荣涛 2021年5月11日
Linux内核 eBPF基础:ftrace基础-ftrace_init初始化
RToax
05-13 1592
Linux内核 eBPF基础 ftrace基础 荣涛 2021年5月12日
Linux内核 eBPF基础:ftrace源码分析:过滤函数和开启追踪
RToax
05-14 2066
su cd /sys/kernel/debug/tracing/ echo 1 > tracing_on echo "schedule" > set_ftrace_filter echo function_graph > current_tracer cat trace
动态控制eBPF程序加载:检查 Tracepoint、Kprobe是否存在
最新发布
2401_84703565的博客
06-02 831
eBPF 程序开发,确保程序能够在各种不同的系统配置兼容运行是至关重要的。本文将详细介绍一个方案,通过动态检查Tracepoint、Kprobe是否存在,并结合libbpf的API接口控制 eBPF 程序的加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本和系统配置的兼容性。检查指定的 Tracepoint 是否存在;检查指定的 Kprobe 是否存在;
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5114
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
eBPF/Ftrace 双剑合璧:no space left on device 无处遁形
云原生实验室
03-28 530
最近在生产环境遇到了几次创建容器报错 ”no space left on device“ 失败的案例,但是排查过程发现磁盘使用空间和 inode 都比较正常。在常规的排查方式都失效的情况下,有没有快速通用思路可以定位问题根源呢?本文是在单独环境使用 eBPF + Ftrace 分析和排查问题流程的记录,考虑到该方式具有一定的通用性,特整理记录,希望能够起到抛砖引玉的...
软件性能工程(7)-eBPF 架构优势及其应用方向上的畅想
Gracker的专栏
06-29 1275
eBPF 架构的优势本文假设读者已了解以下内容:了解 BPF/eBPF 是什么,了解 BPF 的演变历史,可参考引用 7了解程序的编译与执行流程,虚拟机工作原理大致了解 Android ...
ebpf 学习-bpftrace 语法 入门
qq_39015563的博客
10-20 1008
bpftrace 语法 probe 格式: type:identifier1[:identifier2[…]] bpftrace -e: probe1, probe2,… /filters/ {actions1;actions2…;} variables: built-in: pid、comm、nsecs、curtask scratch: $ 临时计算使用,第一次赋值声明,$x = 1 只能在action 内部使用 map: @ 全局存储 或者 在actions 之间进行数据传递 probe1 { @a
强劲的Linux Trace工具:bpftrace (DTrace 2.0) for Linux 2018
Linux阅码场
06-02 8145
Original:阿里 姜弋内核月谈译者:姜弋译者注:原作者是大名鼎鼎的性能分析专家:Brendan Gregg,现在工作在Netflix,之前工作在Sun,在Sun公...
ebpf 实例
jason的笔记
07-06 3222
ebpf的全程是enhancement to berkeley packet filter。网上介绍的资料有很多,举个例子。 ebpf的code 都分成user space 和 kernel space的两部分,在/samples/bpf 路径下有很多例子 我以其的一个为例 首先看kernel 部分 SEC("kprobe/__netif_receive_skb_core") in
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值