kprobe_events接口寄存器名字

最新推荐文章于 2023-08-23 22:23:33 发布
最新推荐文章于 2023-08-23 22:23:33 发布
阅读量341 收藏 1
点赞数
分类专栏: linux ftrace 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaka__55/article/details/121048173
版权

之所以想写这篇博客,是因为之前在使用ftrace的kprobe_events调试的时候,输入的寄存器名字一直不对,导致写kprobe_events接口一直报错。之前一直用的arm32,r0,r1这些用的就很方便,但是到了x86平台上,试了rdi,rsi等,一直都不对。索性,就去看看内核代码,确认究竟寄存器名字应该写什么。

下面通过代码演示我的查找步骤,代码基于linux-4.19.195

首先,找到内核注册kprobe_events接口的地方。

static const struct file_operations kprobe_events_ops = {
	.owner          = THIS_MODULE,
	.open           = probes_open,
	.read           = seq_read,
	.llseek         = seq_lseek,
	.release        = seq_release,
	.write		= probes_write,
};
/* Make a tracefs interface for controlling probe points */
static __init int init_kprobe_trace(void)
{
	***

	entry = tracefs_create_file("kprobe_events", 0644, d_tracer,
				    NULL, &kprobe_events_ops);

	***
	return 0;
}
fs_initcall(init_kprobe_trace);

可以看到,注册的回调函数在kprobe_events_ops里,我们写kprobe_events接口的话,自然是去看probes_write函数。

static ssize_t probes_write(struct file *file, const char __user *buffer,
			    size_t count, loff_t *ppos)
{
	return trace_parse_run_command(file, buffer, count, ppos,
				       create_trace_kprobe);
}
ssize_t trace_parse_run_command(struct file *file, const char __user *buffer,
				size_t count, loff_t *ppos,
				int (*createfn)(int, char **))
{
	***
			ret = trace_run_command(buf, createfn);
	***
}

可以看到,最终调用trace_run_command函数去对输入进行处理。createfn是个回调函数,传入的是create_trace_kprobe。trace_run_command里面正是调用了create_trace_kprobe进行了传入命令的处理。

static int create_trace_kprobe(int argc, char **argv)
{
	***
		/* Parse fetch argument */
		ret = traceprobe_parse_probe_arg(arg, &tk->tp.size, parg,
						is_return, true,
						kprobes_fetch_type_table);
		if (ret) {
			pr_info("Parse error at argument[%d]. (%d)\n", i, ret);
			goto error;
		}


	***
}

做了许多检查后,最终调用traceprobe_parse_probe_arg函数。

/* String length checking wrapper */
int traceprobe_parse_probe_arg(char *arg, ssize_t *size,
		struct probe_arg *parg, bool is_return, bool is_kprobe,
		const struct fetch_type *ftbl)
{
	***
	ret = parse_probe_arg(arg, parg->type, &parg->fetch, is_return,
			      is_kprobe, ftbl);

	***
}

/* Recursive argument parser */
static int parse_probe_arg(char *arg, const struct fetch_type *t,
		     struct fetch_param *f, bool is_return, bool is_kprobe,
		     const struct fetch_type *ftbl)
{
	***

	case '%':	/* named register */
		ret = regs_query_register_offset(arg + 1);
		if (ret >= 0) {
			f->fn = t->fetch[FETCH_MTD_reg];
			f->data = (void *)(unsigned long)ret;
			ret = 0;
		}
		break;
	*****
}

/**
 * regs_query_register_offset() - query register offset from its name
 * @name:	the name of a register
 *
 * regs_query_register_offset() returns the offset of a register in struct
 * pt_regs from its name. If the name is invalid, this returns -EINVAL;
 */
int regs_query_register_offset(const char *name)
{
	const struct pt_regs_offset *roff;
	for (roff = regoffset_table; roff->name != NULL; roff++)
		if (!strcmp(roff->name, name))
			return roff->offset;
	return -EINVAL;
}

最终走进了regs_query_register_offset函数里,可以看到,对于百分号%后面字符串的解析,是通过strcmp进行的,对比的是regoffset_table,我们来看下regoffset_table。

static const struct pt_regs_offset regoffset_table[] = {
#ifdef CONFIG_X86_64
	REG_OFFSET_NAME(r15),
	REG_OFFSET_NAME(r14),
	REG_OFFSET_NAME(r13),
	REG_OFFSET_NAME(r12),
	REG_OFFSET_NAME(r11),
	REG_OFFSET_NAME(r10),
	REG_OFFSET_NAME(r9),
	REG_OFFSET_NAME(r8),
#endif
	REG_OFFSET_NAME(bx),
	REG_OFFSET_NAME(cx),
	REG_OFFSET_NAME(dx),
	REG_OFFSET_NAME(si),
	REG_OFFSET_NAME(di),
	REG_OFFSET_NAME(bp),
	REG_OFFSET_NAME(ax),
#ifdef CONFIG_X86_32
	REG_OFFSET_NAME(ds),
	REG_OFFSET_NAME(es),
	REG_OFFSET_NAME(fs),
	REG_OFFSET_NAME(gs),
#endif
	REG_OFFSET_NAME(orig_ax),
	REG_OFFSET_NAME(ip),
	REG_OFFSET_NAME(cs),
	REG_OFFSET_NAME(flags),
	REG_OFFSET_NAME(sp),
	REG_OFFSET_NAME(ss),
	REG_OFFSET_END,
};

原来regoffset_table数组就是寄存器表,把之前写的%rdi改成%di,%rsi改成%si,写入kprobe_events接口,果然成功了。

kaka__55
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ftrace kprobe调试
cll__的博客
05-15 4586
内核调试一般可以通过printk打印,这种方式需要重新编译内核,或者模块,如果编译内核还要重启设备才能生效。kprobe是一种内核调试方式,可以在内核执行代码位置中断,并执行我们插入的代码。同时内核提供了另一套接口 kprobe-trace,这个接口的优点是通过proc接口操作,不需要写代码,适合做一些临时的debug打印。
论文研究-基于Kprobe的Rootkit检测机制.pdf
09-13
对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统中审计工具所得的结果进行交叉视图的比对得到被隐藏对象。在实验阶段选择几种现有流行的Rootkit安装,采用了基于Kprobe的检测方法,通过实验结果表明该机制具有良好的可靠性。
浅析Linux追踪技术之kprobe:基于kprobes的Event Tracing
最新发布
Aspiresky的专栏
08-23 569
常规的Event Tracing(事件追踪)是通过散落在Linux内核代码各处的Tracepoint来实现的,这些Tracepoint数量有限,在出现问题时,往往不能覆盖到要追踪的函数;而利用kprobes机制,则可以实现对所有支持kprobes插入的代码点进行追踪。这种方式是 kprobe 和 ftrace 结合使用,通过 kprobe 来优化 ftrace 来跟踪函数的调用。
Linux ftrace 2.3、kprobe event的使用
pwl999的博客
05-24 6176
原始的trace event插桩是静态的:使用TRACE_EVENT()定义tracepoint,并且在代码中显式调用tracepoint。而kprobe机制可以实现在内核运行时动态的插桩,利用kprobe机制我们可以动态的插入trace event,实现和静态trace event同样的功能。 参考原文:Kprobe-based Event Tracing 1、Overview 这些e...
Kprobe-based Event Tracing
HZero
01-04 499
前言 本文是对内核文档 《Kprobe-based Event Tracing》的翻译和整理。 kprobe可以在except those with __kprobes/nokprobe_inline annotation and those marked NOKPROBE_SYMBOL的任何函数设置trace event。 使用前需要打开内核选项:CONFIG_KPROBE_EVENTS=y. 可以通过/sys/kernel/debug/tracing/kprobe_events来增加kprobe跟踪点,
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
kprobe_events shell模式使用教程
2301_78287784的博客
06-02 270
ARM架构下传参寄存器分别代表探测函数的第2,3,4个参数,用于给自定义字段赋值。先对第3个参数进行取值操作,然后+14个字节的偏移。定义数据类型为u32,如果字段为字符串可定义为。模式下也可以对探测函数的返回值进行过滤.仅输出type值为1的条目,在。为探测点的名称,可以任意命名。如果有多个探测点可以将重定向。模式,代表探测函数的返回值。kprobe输出字段的含义。对第3个参数进行取值操作。对探测结果进行条件过滤。需要内核启用以下配置。
linux内核调试工具之kprobe(二)
10-27 965
前一章使用kprobe编程,需要编码手动编译。本章使用trace追踪技术,在任何函数上设置动态kprobe(通过kprobe事件)。
trace系列4 - kprobe学习笔记
HZero
10-30 2582
1.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明function trace kprobe的工作原理,此处的kprobe是基于function trace来实现。 kernel版本:5.10 平台:arm64 2. function trace钩子函数替换过程 2.1 编译阶段 同Linux ftrace学习笔记中编
Linux ftrace 1.4、kprobe event
pwl999的博客
06-14 2449
从前面几章看:trace event使用静态tracepoint插桩,function tracer使用“bl _mcount”的插桩点来动态插桩。既然都是插桩,为什么我们不使用功能强大的kprobe机制? kprobe event就是这样的产物。krpobe event和trace event的功能一样,但是因为它采用的是kprobe插桩机制,所以它不需要预留插桩位置,可以动态的在任何位置进行...
kprobe_example.c
09-05
used to dump a stack trace and selected registers when do_fork() is called.
kprobe_jprobe
01-22
kprobe,jprobe test, kprobe,jprobe testkprobe,jprobe test
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
kprobe原理解析
weixin_33963189的博客
07-19 378
kprobe是什么? 如何高效的调试内核?printk是一种方法,但是printk终归是毫无选择的全量输出,某些场景下不适用,于是你可以试一下tracepoint,我使能tracepoint机制的时候才输出。对于傻傻的放置printk来输出信息的方式,tracepoint是个进步,但是tracepoint只是内核某些特定行为(比如进程切换)上部署...
内核调试之kprobe
苟浩的博客
03-22 1546
trace-kprobe 简介 在调试内核的时候要跟踪函数有没有执行或者返回值等等,kprobe可以实现这些,用代码写的kprobe模块还可以修改返回值。这篇主要介绍kprobe在trace下的使用。 本文以 do_filp_open 函数为例,来看一下kprobe在trace里的基本使用,do_filp_open代码如下: struct file *do_filp_open(int dfd, struct filename *pathname, const struct open_flags *op)
内核调测工具kprobe之实践篇
Peter的专栏
02-08 1916
【推荐阅读】深入探究Linux Kprobe机制eBPF在android上的使用这才是kprobe工作的本质Kprobe介绍debug内核函数变量的时候最常用的是添加log,用printk...
Linux内核调试技术——kprobe使用与实现(二)
Linux知识积累
06-18 1031
Linux内核调试技术——kprobe使用与实现(一)在上一篇文章中介绍了内核加载的方式使用kprobe的方法,现在介绍一下使用debugfs接口使用kprobe的方法。...
内核态调测工具(一) kprobe
cui841923894的博客
08-23 2095
Kprobe介绍 Kprobe是一种内核调测手段,它可以动态地跟踪内核的行为、收集debug信息和性能信息。可以跟踪内核几乎所有的代码地址(almost:不允许跟踪的名单blacklist在/sys/kernel/debug/kprobes/blacklist),并且当断点被击中后会响应处理函数。 Kprobe有三个子功能: Kprobes:几乎可以插入内核的任何指令; Jprobes:可...
BPF_PROG_TYPE_KPROBE与BPF_PROG_TYPE_SYSCALL的作用有什么不同
04-01
BPF_PROG_TYPE_KPROBE和BPF_PROG_TYPE_SYSCALL都是eBPF程序类型,但它们的作用不同。 BPF_PROG_TYPE_KPROBE是用于内核探测点的eBPF程序类型。它可以被插入到内核函数的入口或出口处,以便监控和调试内核行为。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值