bpftrace -l和kprobes使用

已于 2024-04-29 14:16:55 修改
阅读量304 收藏 1
点赞数 8
分类专栏: 内核运维 文章标签: linux 运维 服务器
于 2024-04-26 12:31:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leiyanjie8995/article/details/138214846
版权

使用kprobe测试时,会发现有些接口无法使用。

比如do_execveat_common这个接口,在另一个版本接近的内核源码中可以看到,但实际注册提示找不到这个接口。

有可能是因为内核源码不完全一致,也可能是因为有的接口在编译时被优化掉了?

1、bpftrace -l

所以bpftrace -l这个查询接口就十分重要。

#bpftrace -l 'kprobe:*exec*'

会列出很多exec相关的支持kprobe功能的接口,最终配合源码,选择跟踪bprm_execve这个接口。

2、bpftrace使用kprobe跟踪

#!/usr/bin/env bpftrace

#include <linux/fs.h>

//kprobe:do_execveat_common
kprobe:bprm_execve
{
    printf("filename:%s\n", str(((struct filename *)arg2)->name));

}

结果就是可以跟踪系统通过exec启动的二进制程序。

执行效果如下:

/home/leiyanjie/test/bpftrace # bpftrace exec.bt
Attaching 1 probe...
filename:/bin/sh
filename:/bin/tr
filename:/bin/cat
filename:/bin/sh
filename:/bin/tr
filename:/bin/cat
filename:/taihang/bin/regcmd
filename:/taihang/bin/regcmd

3、bpftrace增加过滤条件

如果想只看某个特殊的二进制程序呢?那就可以比对filename和期望的二进制程序路径就可以了。

#!/usr/bin/env bpftrace

#include <linux/fs.h>

//kprobe:do_execveat_common
kprobe:bprm_execve
{
    if(str(((struct filename *)arg2)->name) == "/taihang/bin/regcmd") {
        printf("filename:%s\n", str(((struct filename *)arg2)->name));
    }
}

执行效果如下:

/home/leiyanjie/test/bpftrace # bpftrace exec.bt
Attaching 1 probe...
filename:/taihang/bin/regcmd
filename:/taihang/bin/regcmd
filename:/taihang/bin/regcmd
filename:/taihang/bin/regcmd
filename:/taihang/bin/regcmd
filename:/taihang/bin/regcmd

4、count()

count()的值需要记录到一个map,一般是分类计数的时候使用。

比如我们统计每个进程执行过多少次bprm_execve接口。

test/bpftrace # bpftrace -e "k:bprm_execve { @count[comm] = count(); }"
Attaching 1 probe...
^C

@count[crond]: 1
@count[libvirtd]: 1
@count[kworker/u32:1]: 1
@count[python3]: 2
@count[python]: 2
@count[taihang_sdpcie_]: 3
@count[ioemu_cli]: 4
@count[bash]: 4
@count[ipmitool]: 6
@count[sh]: 11
@count[node_exporter]: 18

light_forest
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bpftrace 使用笔记
奋斗中拥有
07-16 4866
bpftrace 使用笔记 bpftrace 是基于BPF和BCC的开源系统跟踪工具. bpftrace 自带了许多性能工具,同时还提供一个高级编程语言环境,用于创建自定义的工具. 一般Linux发行版都可直接通过安装包安装使用, 我自己的环境由于升级了KERNEL导致不能正常使用, 只能通过源码重新构建使用. 环境准备: $ uname -a Linux fc29 5.12.7-300.fc29.x86_64 #1 SMP Fri May 28 13:45:39 CST 2021 x86_64 x86_6
The Amazing World of Kprobes-2016.pdf
10-22
The Amazing World of Kprobes-2016.pdf
Linux性能工具-bpftrace入门
spquan的博客
04-21 6505
一、bpftrace简介 bpftrace 是基于ebpf内核vm扩展出来的trace工具。 bpftrace 是 Linux 高级追踪工具和语言。该工具基于 eBPF 和 BBC 实现了通过探针机制采集内核和程序运行的信息,然后用图表等方式将信息展示出来,帮助开发者找到隐藏较深的 Bug、安全问题和性能瓶颈。github主页介绍如下:bpftrace 是一种基于 Linux 的eBPF高级跟踪语言,可用于最新的 Linux 内核 (4.x)。bpftra...
bpftrace参考指南
qq_40711766的博客
03-25 5679
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、名词解释二、使用示范1. help2. Hello World3. One-Liners程序4. 列出可跟踪点5. 调试输出6. 输出详情7. 环境变量8. 其它选项三、语法格式1. 程序结构{...}2. 过滤/.../3. 注释//, /**/4. 常量5. c结构体访问:->6. 结构体定义: struct7. 三元操作符 ?::8. 条件语句 if () {..} else {..}9. 循环语句unroll.
bpftrace(一):bpftrace介绍
legend050709的专栏
12-14 1951
bpftrace
Linux内核跟踪eBPF:bpftrace一行教程
RToax
04-14 4879
bpftrace一行教程 该教程通过12个简单小节帮助你了解bpftrace使用。每一小节都是一行的命令,你可以立马运行并看到运行效果。该教程系列用来 介绍bpftrace的概念。关于bpftrace的完整参考,见bpftrace完整参考。 该教程贡献者是Brendan Gregg, Netflix (2018), 基于他的DTrace教程系列 [DTrace Tutorial](https://wiki.freebsd.org/DTrac e/Tutorial)。 1. 列出所有探针 bpftrace
bpftrace(二):bpftrace使用方法
legend050709的专栏
12-14 2400
bpftrace使用方法
浅谈动态追踪:从SystemTap到bpfTrace
李兆龙的博客
09-30 1359
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。 本作品 (李兆龙 博文, 由 李兆龙 创作),由 李兆龙 确认,转载请注明版权。 文章目录引言介绍工具30秒排查问题Top/Uptimedmesg -T | tail -n xvmstatmpstatpidstatiostatsar细化排错动态追踪SystemTapkprobes/uprobes原理kprobes特点与使用限制tapsets种类安全与保护措施有趣的命令行参数bpfTrace总结 引言 这篇文章的内容是Xiyo
bpftrace:简便输出调试信息
大昱的博客
08-07 624
bpftrace是一种用于Linux增强型伯克利包过滤器(eBPF)的高级跟踪语言,使用LLVM作为后端将脚本编译为BPF字节码,并利用BCC与Linux BPF系统进行交互,以及现有的Linux跟踪功能:内核动态跟踪(kprobes)、用户级动态跟踪(uprobes)、和跟踪点(tracepoint)。bpftrace语言的灵感来自awkh、C、DTrace和SystemTap等前身跟踪器。上一篇实现了tracepoint定义及函数调用,本篇也以这个示例和官方提供示例为基础讲述。...
擎创技术流 | 深入浅出运维可观测工具(二):eBPF应用中常见问题
智能运维及数据中台探索
07-29 343
上期跟大家聊了下eBPF的发展历史还有特性,这期主要跟大家分享下eBPF在应用过程中可能出现的问题,希望能帮到遇到类似问题的朋友,话不多说,我们进入正题。
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和...
kprobes-test.rar_One Three One
09-20
The arguments given to test cases can be one of three types.
kprobes example
07-08
kprobes example dump_stack
Linux调试技术制kprobes
11-18
Kprobe是linux的一种动态调试的技术
linux---进程通信
最新发布
m0_74979625的博客
05-17 551
提示:以下是本篇文章正文内容,下面案例可供参考。
【Linux】Centos7安装Redis
m0_72166275的博客
05-17 317
Reid 官网下载 Redis 7.2。
Linux动静态库
2301_80163789的博客
05-14 629
在程序翻译的链接阶段,其实就是把一堆.o文件链接在一起形成.exe文件。如果一个程序中需要链接很多个.o文件,那么这些.o文件就需要被打包才方便管理,**库文件本质就是把.o文件打包。**库文件是一种提高开发效率的手段。对于静态库,使用静态库形成可执行程序后,静态库被加载到了可执行程序的代码里,不需要让系统知道静态库在哪里;但对于动态库,由于动态库不加载到可执行程序里,而是动态加载到内存中,所以使用动态库要告诉系统动态库在哪(因为是系统来加载动态库)。动态库在编译时代码不会被复制到可执行文件中,而是。
Linux 三十六章
一怀明月的博客
05-17 986
信号量 sem_init sem_destroy sem_wait sem_post 基于环形队列的CP问题 环形队列的生产者消费者模型 线程池 localtime时间戳转化 mkdir系统调用 bind绑定成员函数 懒汉饿汉单例模式 懒汉模式: 饿汉模式: 懒汉和饿汉相同点: 线程池源码实现
通过Kprobes模拟Linux的内核态内存故障,详细描述其前置步骤、指令和过程
05-30
通过Kprobes模拟Linux的内核态内存故障,可以采取以下步骤: 1. 前置步骤 在开始模拟之前,需要确保系统中已经安装了Kprobes工具,并且已经启用了内核调试选项。可以使用以下命令来检查系统中是否安装了Kprobes工具: ``` which kprobe ``` 如果输出了路径信息,则表示系统中已经安装了Kprobes工具。 2. 指令和过程 接下来,可以使用以下指令和过程来模拟内核态内存故障: (1)编写测试代码 首先,需要编写一个测试代码,该代码会故意访问非法的内存地址,触发内核态内存故障。例如,可以在代码中使用以下指令: ``` char *ptr = NULL; *ptr = 'a'; ``` 这段代码会将空指针ptr所指向的内存地址写入字符'a',由于ptr为NULL,因此会导致内存访问非法。 (2)为测试代码添加Kprobe 接下来,可以使用Kprobes工具为测试代码添加Kprobe。Kprobe是一种在内核函数执行前或执行后插入代码的机制,可以用来跟踪和分析内核代码的执行过程。可以使用以下指令为测试代码添加Kprobe: ``` echo 'p:myprobe do_fault_error_handler' > /sys/kernel/debug/tracing/kprobe_events ``` 这段指令会在内核态故障处理函数do_fault_error_handler执行前插入一段代码,用于捕获内存故障。 (3)运行测试代码 最后,可以运行测试代码,触发内核态内存故障。可以使用以下指令来编译和运行测试代码: ``` gcc -o test test.c ./test ``` 运行测试代码后,Kprobes会捕获内核态内存故障,并且可以在/var/log/messages中查看相关日志信息。 需要注意的是,在使用Kprobes进行内核态内存故障模拟时,一定要注意对系统的影响,并且遵守安全操作规范,避免数据丢失或者系统崩溃等问题。同时,也要保证故障不会对生产环境造成影响。操作时应当十分小心谨慎。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值