内核追踪技术之kprobe

最新推荐文章于 2024-03-21 16:15:12 发布
最新推荐文章于 2024-03-21 16:15:12 发布
阅读量210 收藏
点赞数 1
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/handsometian/article/details/133682893
版权

1、内核模块开发

在内核编程中,module_init(begin_func);是指定begin_func为该模块的入口,而相对应的module_exit(exit_func)指定了模块退出时的出口函数为exit_func,这两者皆为模块加载函数。

printk()是由内核定义的,把要打印的信息输入到系统日志中,可以用dmesg命令查看。

极简Makefile:

obj-m := hellops.o
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
	$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules

2、通过内核编程自己写probe handler(uprobe为例)

可以参考内核代码kprobe_example.c。下面是个upbore的例子,需要自己给出监控函数的偏移量。

#define DEBUGGEE_FILE "/mnt/hgfs/tjs/tmp/kern_uprobe/hello"
#define DEBUGGEE_FILE_OFFSET (0x5b7)
static struct inode *debuggee_inode;

static int uprobe_sample_handler(struct uprobe_consumer *con,
                                 struct pt_regs *regs)
{
    printk("handler is executed, arg0: %s\\n",regs->di);

    return 0;
}

static int uprobe_sample_ret_handler(struct uprobe_consumer *con,
                                     unsigned long func,
                                     struct pt_regs *regs)
{
    printk("ret_handler is executed\\n");
    return 0;
}

static struct uprobe_consumer uc = {
        .handler = uprobe_sample_handler,
        .ret_handler = uprobe_sample_ret_handler
};

static int __init init_uprobe_sample(void)
{
    int ret;
    struct path path;

    ret = kern_path(DEBUGGEE_FILE, LOOKUP_FOLLOW, &path);
    if (ret) {
        return -1;
    }

    debuggee_inode = igrab(path.dentry->d_inode);
    path_put(&path);

    ret = uprobe_register(debuggee_inode,
                          DEBUGGEE_FILE_OFFSET, &uc);
    if (ret < 0) {
        return -1;
    }

    printk(KERN_INFO "insmod uprobe_sample\\n");
    return 0;
}

3、不编程的内核追踪技术(tracepoint)

参考/sys/kernel/debug/tracing目录下available_events内容,在对应的events/GRP/function/enable开启即可,输出内容参考同目录下format文件。

4、不编程的kprobe追踪技术(ftrace)

tracepoint是内核代码静态编写的,提供的是内核代码预期会暴露的东西,稳定性高。但是如果想跟踪任意内核函数,还是需要借助kprobe。前面介绍的内核模块编程实现跟踪kprobe,实现方式比较重,门槛高,对内核稳定性影响比较大。

借助ftrace引入的kprobe追踪技术,就比较方便灵活。

修改/sys/kernel/debug/tracing目录下kprobe_events,添加需要追踪的kprobe。比如官方文档给的例子:echo 'p:myprobe do_sys_open dfd=%ax filename=%dx flags=%cx mode=+4($stack)' > /sys/kernel/debug/tracing/kprobe_events。Linux内部应该是会跟踪debugfs文件系统,识别变化,触发create_trace_kprobe函数执行,按照特定的语法解析 kprobe_event 文件内容,创建一个 kprobe。

kprobe_event文件内容语法如下:

p[:[GRP/]EVENT] [MOD:]SYM[+offs]|MEMADDR [FETCHARGS]-------------------设置一个probe探测点
r[:[GRP/]EVENT] [MOD:]SYM[+0] [FETCHARGS]------------------------------设置一个return probe探测点
-:[GRP/]EVENT----------------------------------------------------------删除一个探测点

实际使用过程中,do_sys_open在Linux高内核版本已经不支持了。高内核版本可以参考这个,echo 'p vfs_open name=+0x38(+0x8($arg1)):string namep=+0(+0x28(+0x8($arg1))):string' >> kprobe_events。

修改kprobe_events后,注意开启对应kprobe的跟踪。

echo 1 > events/kprobes/p_vfs_open_0/enable
echo  1 >events/kprobes/enable
echo 1 > tracing_on

输出日志如下:

cat trace_pipe
			systemd-oomd-595     [000] ..... 115817.344240: p_vfs_open_0: (vfs_open+0x4/0x40) name="meminfo" namep="meminfo"
      bash-10029   [000] ..... 115817.566949: p_vfs_open_0: (vfs_open+0x4/0x40) name="enable" namep="enable"

6、其他kprobe跟踪技术

  1. perf probe

perf probe -x 增加uprobe跟踪, -a增加kprobe跟踪。 perf record -e 记录事件,perf script查看。

perf record开启监控后,即设置标志位(不是ftrace里常用的enable方式),uprobe event 的 probe handler 固定是 uprobe_dispatcher 函数,uprobe_dispatcher 函数会根据 uprobe event 的 flag 属性来判断往哪个 ring buffer 里写追踪数据,kprobe 也是同理,他会直接往 perf event 的 ringbuffer 中写数据。

2. ebpf

ebpf程序本身就是一个非内核模块的probe handler。参考内核代码bpf_load.c,也是通过sys_perf_event_open打开的。id需要从events/kprobes/EVENT/id中去取。

if (strncmp(event, "sys_", 4) == 0) {
			snprintf(buf, sizeof(buf),
				 "echo '%c:__x64_%s __x64_%s' >> /sys/kernel/debug/tracing/kprobe_events",
				 is_kprobe ? 'p' : 'r', event, event);
 id = atoi(buf);
	attr.config = id;

	efd = sys_perf_event_open(&attr, -1/*pid*/, 0/*cpu*/, -1/*group_fd*/, 0);
	if (efd < 0) {
		printf("event %d fd %d err %s\n", id, efd, strerror(errno));
		return -1;
	}

这样eBPF 内核态程序附加到 perf event。每个 perf event 的 kprobe probe handler 都是 kprobe_dispatch 函数,他会去 perf event 中获取注册在当前 perf event 的回调函数列表并依次执行,同时将指向 perf ringbuffer 的指针的传递给 eBPF 程序,eBPF 程序可以通过 libbpf 封装好的 PT_REGS_PARAMx 宏定义来获取缓冲区中的数据。

不论是 kprobes、tracepoint 类型的 eBPF 程序,都是复用 perf event 来实现 probe handler 注入,在某个内核版本,eBPF 的负责人 Alex 提出了一个新的方式 Raw Tracepoint,不需要依赖 perf event,eBPF 程序直接作为 probe handler 注册到 tracepoint 上。eBPF 程序接受到的数据是由 perf probe 传递过来的。tracepoint 关联的函数的参数会写到 perf ringbuffer 缓冲区,perf probe 会将指向缓冲区的指针传递给 eBPF 程序。

perf probe 传递了指向缓冲区的指针,eBPF 也无法直接使用指针访问内存上的数据,各个内核函数的参数不一样,在不知道数据的类型、长度,无法保证安全访问,所以需要借助 bpf 辅助函数读取数据。再说回 raw tracepoint 类型的 eBPF 程序,从使用上来说,它的函数参数结构体变成了 struct bpf_raw_tracepoint_args,不在需要我们定义 tracepoint 关联的结构体了。SEC 声明也改成 raw_traceoint,其他的在使用上和 tracepoint 类型的 eBPF 程序保持一致。

对于 tracepoint 类型 eBPF 程序,是 perf event 在 ringbuffer 中分配一块内存空间,然后内核会将函数的参数写到这个内存空间中,perf probe 再把这个内存空间的地址传递给 eBPF 程序,而原始访问则是,直接把函数参数全部转换为 u64 类型,得到一个数组,并把数组传递给 eBPF 程序。更短的调用链和跳过参数处理,相比于 tracepoint ,raw tracepoint 有更好的性能。

5、总结

内核模块,kprobetrace,perf probe,ebpf都是为kprobe内核追踪技术提供probe handler的方式。各项技术之间有相互使用,继承迭代的关系。

参考文档:

Linux内核编程入门 | Magic's Blog

万字长文解读Linux 内核追踪机制_语言 & 开发_InfoQ精选文章

Linux perf probe 的使用(三)_perf probe 使用-CSDN博客

深入ftrace kprobe原理解析_奇小葩的博客-CSDN博客

Kprobe-based Event Tracing — The Linux Kernel documentation

handsometian
关注
lkdtm.rar_crash_kprobe
09-24
1. **故障排查**:kprobe可以用来检测内核中的问题,比如追踪特定函数的调用路径,检查函数参数值,或者监控内核状态的变化。 2. **性能分析**:通过插入kprobe并记录相关数据,可以分析内核性能瓶颈,找出导致系统...
内核调试之kprobe
苟浩的博客
03-22 1744
trace-kprobe 简介 在调试内核的时候要跟踪函数有没有执行或者返回值等等,kprobe可以实现这些,用代码写的kprobe模块还可以修改返回值。这篇主要介绍kprobe在trace下的使用。 本文以 do_filp_open 函数为例,来看一下kprobe在trace里的基本使用,do_filp_open代码如下: struct file *do_filp_open(int dfd, struct filename *pathname, const struct open_flags *op)
Linux eBPF:bcc 用法和原理初探之 kprobes 注入
RToax
04-11 3338
作者简介:Daemon.Wu, Linux 内核性能优化工程师,就职于某微小手机厂从事手机性能优化。座右铭:知行合一。 原创雄文:由泰晓读者投递的各类社区原创好文。 版权声明:本文最先发表于“泰晓科技” 微信公众号,欢迎转载,转载时请在文章的开头保留本声明。 目录 1. 安装和使用 2. 调用过程分析 2.1 通过bpf()系统调用加载 bpf 程序 2.2 通过perf_event_open系统调用启动 perf 性能分析 2.3 通过 perf_event 的 ioctl ...
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5136
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
深入ftrace uprobe原理和功能介绍
生活需要深度
03-13 312
我们以ubuntu为试验环境,使用uprobe一般都是编写内核驱动,在模块中定义uprobe_consumer ,然后调用uprobe的API(uprobe_register)来进行注册uprobe。regiseter_uprobe_event: 将 probe 添加到全局列表中,并创建对应的 uprobe debugfs 目录,即上文示例中的 p_test_0x115a。本章的我们来学习uprobe ,顾名思义,相对于内核函数/地址的监控,主要用于用户态函数/地址的监控。
深入理解Linux 内核追踪机制
youzhangjing_的博客
07-26 1316
Linux 存在众多 tracing tools,比如 ftrace、perf,他们可用于内核的调试、提高内核的可观测性。众多的工具也意味着繁杂的概念,诸如 tracepoint、trace events、kprobe、eBPF 等,甚至让人搞不清楚他们到底是干什么的。本文尝试理清这些概念。
kprobe_rootkit:使用 kprobesLinux 内核 rootkit(来自 http
06-18
【标题】: "kprobe_rootkit: 使用kprobes技术构建的Linux内核Rootkit" 在Linux操作系统中,内核rootkit是一种高级的攻击手段,它允许攻击者隐藏其活动并控制系统的底层层面。其中,"kprobe_rootkit"是一个利用...
kprobe-jprobe用例
11-27
Linux系统中,kprobe和jprobe是内核调试工具,用于动态地追踪内核代码的行为,无需重新编译内核。这两个工具是基于kprobes框架,它提供了一种安全且灵活的方式来观察和干预内核执行过程。下面将详细解释kprobe和...
Linux tracing之基于uprobe/kprobe的调试调优浅析
tugouxp的专栏
06-23 1503
uprobe与krobe对应,动态附加到用户态调用函数的切入点称为uprobe,相比如kprobe 内核函数的稳定性,uprobe 的函数由开发者定义。uprobe是用户态的探针,它和kprobe是相对应的,kprobe是内核态的探针。uprobe需要制定用户态探针在执行文件中的位置,插入探针的原理和kprobe类似。下面是对uprobe使用方法的简单介绍。Makefile分别编译地址加载无关和地址相关两个版本的应用程序,分别抓取其PROBE结果。之后使用如下命令查看注册的EVENT事件。
给kprobe添加字符数据显示方式
pengdonglin137的专栏
12-13 39
目前kprobe不支持单个字符的输出显示方式,下面的patch给kprobe增加了一种%c的数据显示方式: From aafaf9fde1e72fb734a48840645ec43dce56661d Mon Sep 17 00:00:00 2001 From: Donglin Peng <dolinux.peng@gmail.com> Date: Tue, 13 Dec 2022 0...
Linux 内核静态追踪技术的实现
标子 的专栏
11-14 1831
前言:最近在探索 Node.js 调试和诊断方向的内容,因为 Node.js 提供的能力有时候可能无法解决问题,比如堆内存没有变化,但是 rss,一直上涨。所以需要深入一点去了解更多的排查问题方式。而这些方向往往都涉及到底层的东西,所以就自然需要去了解内核提供的一些技术内核提供的能力,经过多年的发展,可谓是百花齐放,而且非常复杂。本文简单分享一下内核的静态追踪技术的实现。追踪,其实就是收集代码在执行时的一些信息,以便协助排查问题。 1 Tracepoint Tracepoints 是一种静态插桩的技术,实
uprobe使用简介
最新发布
weixin_42136255的博客
03-21 1309
uprobe使用简介
trace系列4 - kprobe学习笔记
HZero
10-30 2832
1.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明function trace kprobe的工作原理,此处的kprobe是基于function trace来实现。 kernel版本:5.10 平台:arm64 2. function trace钩子函数替换过程 2.1 编译阶段 同Linux ftrace学习笔记中编
linux内核模块开发笔记一
szfhy的博客
11-03 6118
内核模块开发: 如果将所有的组件都编译进内核,会造成内核文件过大,修改组件后,需要重新编译整个内核,效率比较低。内核模块就相当于补丁,在需要的时候才会起作用,模块本身不被编译进内核文件,在运行期间动态的添加和卸载。 模块加载函数: 安装内核模块时,内核模块加载函数被调用,通过module_init宏指定内核模块加载函数。 模块卸载函数: 卸载内核模块时,调用模块卸载函数,通过module
使用kprobe监控linux内核提权(cred方法)
SHELLCODE_8BIT的博客
10-26 539
结论,每个fork和exec都会调用该程序。
Linux内核调试技术——kprobe使用与实现(一)
Linux知识积累
06-17 556
Linux kprobes调试技术内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术内核开发人员可以在内核的绝大多数指...
内核函数跟踪
Free Bar
11-06 2409
Ftrace 的整体构架: 图 1. ftrace 组成 Ftrace有两大组成部分,一是 framework,另外就是一系列的 tracer 。每个 tracer 完成不同的功能,它们统一由 framework管理。 ftrace 的 trace 信息保存在 ring buffer 中,由 framework 负责管理。 Framework 利用debugfs 系统在 /debugf
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
深入探索:kprobe内核调试技术分析
本文档主要探讨了kprobe技术Linux内核中的应用及其基本原理。kprobe是一种强大的动态跟踪工具,允许开发者在内核代码的特定位置设置探测点,以便在运行时捕获和分析内核事件。kprobe的引入极大地简化了内核调试...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值