linux内核查找符号

最新推荐文章于 2024-03-23 18:10:41 发布
最新推荐文章于 2024-03-23 18:10:41 发布
阅读量1.8k 收藏 7
点赞数 2
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faxiang1230/article/details/105501718
版权

在2.4内核默认的非static 函数和变量都会自动导入到kernel 空间的,在使用C来写应用时,可以通过#include和链接动态库的形式形成一个动态链接文件,其中#include是在预编译阶段提供函数声明,而动态库是在链接阶段提供符号定义,在程序运行的时候加载动态库,动态链接和重定向,这个版本的内核module和应用层工作非常类似,内核本身就是一个动态库将所有非static的全部导出。好景不长,从Linux内核的2.6某版本开始,内核引入了导出符号的机制,在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号可以在其他内核模块中直接使用,主要增加了许可证的限制。但是并不是所有的符号都被导出了,只有EXPORT_SYMBOL/GPL也就是在Module.symvers中的才能被外部module使用,同时还需要包含相应的头文件在预处理中提供声明。但是使用这时候如果想要使用未导出的符号呢?

1.kallsyms_lookup_name读取
依赖于CONFIG_KALLSYMS,kallsyms_lookup_name在大多数情况下是被导出了,可以通过它来找到符号的地址:kallsyms_lookup_name(“vfs_open”).

2.通过/proc/kallsyms
这是一个proc文件系统节点,依赖CONFIG_KALLSYMS,读该节点的时候会将整个符号表都翻译成可读文本显示出来,awk '/vfs_open/{print $1}' /proc/kallsyms.为了限制普通用户得到内核符号的地址,会通过kernel.kptr_restrict来限制读取权限:

kernel.kptr_restrict:0普通用户就可以读取正确的符号地址
kernel.kptr_restrict:1 拥有CAP_SYSLOG可以读取正确的地址
kernel.kptr_restrict:2 所有的用户都读取不到正确的地址

3.通过/boot/System.map-xxx
大多数发行版系统都会提供该文件,记录了符号表信息,和/proc/kallsyms中的信息是一致的,但是这是个普通文件,可以通过查找该文件得到符号的位置。不依赖于CONFIG_KALLSYMS,但是要求文件信息和正在运行的内核是一致的。

4.利用kprobe
但是Kprobe也是依赖于CONFIG_KALLSYMS,当使能了CONFIG_KALLSYMS但是kallsyms_lookup_name没有导出时可以利用kprobe的接口先找到kallsyms_lookup_name的地址,之后再通过它去找其余的符号地址。

int noop_pre(struct kprobe *p, struct pt_regs *regs){ 
	return 0;
}
static struct kprobe kp = {   
	.symbol_name = "kallsyms_lookup_name",  
};
unsigned long (*kallsyms_lookup_name_fun)(const char *name) = NULL;
int find_kallsyms_lookup_name(void){ 
	int ret = -1; 
	kp.pre_handler = noop_pre;
	 ret = register_kprobe(&kp);
	  if (ret < 0) {  
	  printk(KERN_INFO "register_kprobe failed, error:%d\n", ret); 
	   return ret; 
	   } 
	   printk(KERN_INFO "kallsyms_lookup_name addr: %p\n", kp.addr); 
	   kallsyms_lookup_name_fun = (void*)kp.addr; 
	   unregister_kprobe(&kp);
	    return ret;
}

有没有可能取消CONFIG_KALLSYMS配置呢?通过menuconfig我们看到依赖它的功能有:MODULE,KPROBE,FTRACE,TRACE_EVENT,STACKTRACE_SUPPORT,DEBUG_KERNEL等非常多的基础设置功能,特别是MODULE允许模块加载,如果没有使能符号功能,module就无法使用内核的符号,这时候module又能做什么呢?它能做的非常有限,使用不了内核的基础设施:workqueue,timer等,只能另起炉灶或者洒洒水这样的事。

普通个人用的桌面或者服务器上应该默认配置这个功能,不过在嵌入式系统中可能会禁掉这个功能,毕竟内存有限,设备固定,全部都编译成一个小size的镜像。
在这时候还能怎么进行根据符号查找呢?毕竟这时候符号数据记录已经没有了,没有办法通过符号名称进行地址查找了,只能根据指令特征进行查找。目前没有一个完整的方法来找到想要的任意符号的地址,只能通过特定的指令来找到可能的位置,但不保证一定是想要的地址,参阅下面寻找系统调用表的方法。

https://blog.csdn.net/dog250/article/details/6451762

Frank-Wang
关注
专栏目录
查看linux某个内核模块导出的符号
thinker
04-21 264
查看 内核模块ip6table_filter导出的符号
编译linux内核成vmlinuz,Linux内核编译与安装
weixin_30913041的博客
05-09 1941
原标题:Linux内核编译与安装Linux内核是一个用C语言写成的,符合POSIX标准的类Unix操作系统,内核是操作系统中最基本的一部分,提供了众多应用程序访问计算机硬件的机制。Linux内核的一大特点就是采用了整体式结构,有很多过程组成,每个过程都可以独立编译,其模块机制又湿得内核保持独立而又易于扩充。Linux内核介绍Linux发行版是在Linux内核的基础之上,与外带的应用软件和工具打包配...
linux下找出内核符号信息的4种方法
chengziwang的博客
12-27 3498
内核调试中由一个符号的地址找到对应的符号名称非常有助于我们对内核的调试。下面将介绍4种方式来获得内核符号信息的4种方法。 1.从 System.map 文件中得到地址 System.map文件在编译内核时生成,包含了内核在编译时的静态符号信息。 grep do_fork /boot/System.map-4.15.0-128-generic 就可以通过do_fork函数名来获得函数的地址 grep ffffffff810905b0 /boot/System.map-4.15.0-128-generi
linux内核符号
u013177568的专栏
03-16 426
所谓内核符号表就是在内核内部函数或变量中可供外部引用的函数和变量的符号表。在 2.6 内核下,使用以下命令可以看到内核符号表: 引用 beyes@linux-beyes:/> cat /proc/kallsyms | morec0100000 T _textc0100000 T startup_32c0100054 t default_entryc01000b0 T startup_32
linux内核符号地址,linux下找出内核符号信息的4种方法
weixin_39680121的博客
04-29 401
内核调试中由一个符号的地址找到对应的符号名称非常有助于我们对内核的调试。下面将介绍4种方式来获得内核符号信息的4种方法。1.从 System.map 文件中得到地址System.map文件在编译内核时生成,包含了内核在编译时的静态符号信息。grep do_fork /boot/System.map-4.15.0-128-generic1就可以通过do_fork函数名来获得函数的地址grep ff...
linux kernel主要文件-图文讲解
weixin_43269452的博客
09-04 1075
内核在线阅读:https://elixir.bootlin.com/linux/latest/source内核官网:https://www.kernel.org/内核编译:make安装内核和模块:make module_install install其他:make mrprobe(每次配置,并重新编译内核前,先执行"make mrproper",清理源代码树,包括清理过去的内核配置文件".config",);make dep(生成内核直接的依赖关系,为编译做好准备)config。
Linux 内核函数kallsyms_lookup_name
小立仔
08-25 2515
Linux 内核函数kallsyms_lookup_name 函数的使用以及其源码解析
source Insight3.1介绍——Linux内核源代码分析工具(二).pdf
09-07
Source Insight 3.1 介绍——Linux 内核源代码分析工具(二) Source Insight 3.1 是一款功能强大且专业的 Linux 内核源代码分析工具。该工具可以帮助开发者快速地分析和理解 Linux 内核源代码,提高开发效率和质量...
Linux内核设备树介绍
11-01
Linux内核设备树是Linux操作系统用来描述硬件平台和设备配置的一种数据结构,它在系统启动时为内核提供硬件信息,使得内核能够适配不同的硬件平台。设备树的引入主要是为了解决ARM Linux内核代码冗余的问题,特别是...
【值得收藏】Linux内核原理理解
m0_74282605的博客
11-14 1032
当进程再次被调度回来的时候,通过cpu_context中保存的ip回到了cpu_switch_to的下一条指令继续执行,而由于cpu_context中保存的sp导致当前进程回到自己的内核栈,经过一系列的内核栈的出栈处理,最后将原来保存在pt_regs中的通用寄存器的值恢复到了通用寄存器,这样进程回到用户空间就可以继续沿着被中断打断的下一条指令开始执行,用户栈也回到了被打断之前的位置,而进程访问的指令数据做地址转化也都是从自己的pgd开始进行一切对用户来说就好像没有发生一样。文件的层级表示关系。
linux内核访问外设IO内存方法
04-30
详细介绍了LINUX如何访问外设IO内存的方法,包括动态访问和静态映射
内核查找符号指针函数kallsyms_lookup_name
yongjong的专栏
08-03 3802
openEuler linux kernel kallsyms_lookup_name
kallsyms_lookup_name使用简介
microsko的专栏
11-25 3233
使用kallsyms_lookup_name函数,可以在内核态实现类似动态链接的功能,是的模块之间的依赖进一步解耦合。
LVS中使用toa模块遇到的坑
frankzfz的专栏
03-24 914
在LVS中的fullnat模式中,为了获取client的IP地址,会使用到LVS中的toa模块,该模块的作用就是替代系统中的getname系统调用,在rs端通过getname的系统调用获取到client的IP地址。在toa模块中使用到kallsyms_lookup_name函数,该函数的作用就是获取sock_def_readable函数的地址。但是在一些内核发行版中kallsy...
Linux内核未导出符号使用方法
qq_42931917的博客
08-19 7049
Linux内核未导出符号使用方法 一、背景 在写内核驱动程序的过程中,往往可以看到一些内核并没有被导出,而刚好在做开发的过程中需要用到,这个时候就要想办法使用内核未导出函数,但是处于linux内核代码段的函数,这里简单分享下怎么处理这些函数。 二、实例分析涉及函数 kallsyms_lookup_name() //内核函数原型,为导出函数,用于找到输入函数名所对应的函数入口地址 #include <linux/kallsyms.h> /* Lookup the address for this
LWN:不再export kallsyms_lookup_name()!
Linux News搬运工
03-16 4174
关注了就能看到更多这么棒的文章哦~Unexporting kallsyms_lookup_name()ByJonathan CorbetFebruar...
linux内核模块包含函数,linux 内核模块链接过程
weixin_34668147的博客
04-30 315
原标题:linux 内核模块链接过程学无止境,一直在做内核开发,却从来没有仔细想过这个过程。因为所有的程序都有个编译,链接的过程。在linux内核模块中,我们可以使用很多内核export出的函数,来实现我们的功能,作为内核附属功能的扩展。但是这些export出来的函数在hook的时候是远远不够用的,所以我们往往还要获取一些没有export出来的函数。使用这些没有export出来的函数就要我们清楚的...
操作系统面经-什么是系统调用
最新发布
weixin_65113709的博客
03-23 1669
处于用户态的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。说白了,系统调用其实就是函数调用,只不过调用的是内核态的函数。控制寄存器的第 16 位是写保护位,若设置为零,则允许超级权限往内核中写入数据。是一份内核符号表,包含了内核中的变量名和函数名地址,在每次编译内核时,自动生成。当应用程序需要调用一个系统调用时,首先需要将要调用的系统调用号(也就是系统调用所在。了解了系统调用的原理后,要拦截系统调用就很简单了。是内核提供给应用程序使用的功能函数,由于应用程序一般运行在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值