使用kprobes查看内核内部信息

最新推荐文章于 2024-07-25 15:50:18 发布
最新推荐文章于 2024-07-25 15:50:18 发布
阅读量213 收藏
点赞数
分类专栏: 内核 调试 Linux 文章标签: 内核 调试 linux
Linux 同时被 3 个专栏收录
55 篇文章 0 订阅
订阅专栏
内核
17 篇文章 0 订阅
订阅专栏
调试
17 篇文章 0 订阅
订阅专栏

http://blog.chinaunix.net/uid-9543173-id-3571748.html


使用kprobes查看内核内部信息

wushuan10141 2013-04-08 16:50:43

  一、首先内核必须支持kprobes、jprobes:

#makemenuconfig

General setup  --->

[*]Kprobes

使内核支持kprobes。

二、kprobes的使用方法:
1、分配一个kprobe结构体供kprobes运行时使用。
2、在kprobe结构体的addr成员中设置要插入侦测器的函数地址,可以通过查看system.map查找,或者通过proc文件系统查找

# cat/proc/kallsyms | grep "do_execve"

c00bbfb8T do_execve
3、如果不想设置addr成员,可以设置symbol_name成员为"do_execve"(想要侦测的函数),需要内核版本在2.6.19以上才支持。

4、在kprob结构的pre_handler成员设置侦测函数exec_pre_handler。

5、调用register_kprobe函数注册侦测器函数。


以下是一个用kprobes监测do_execve()函数的例子,在每次调用do_execve()函数之前,就会打印当前的进程pid、jiffies值等全局变量信息。#include <linux/module.h>

  1. #include <linux/kprobes.h>
  2. #include <linux/kallsyms.h>

  4. struct kprobe exec_kp;

  6. static int exec_pre_handler(struct kprobe *p, struct pt_regs *regs)
  7. {
  8.     printk("Enter into %s\n", __func__);
  9.     printk("pt_regs:%p, pid:%d, jiffies:%ld\n", regs, current->tgid, jiffies);
  10.     
  11.     return 0;
  12. }

  14. static __init int kprobes_exec_init(void)
  15. {    

  17.     /*设置要检测的函数do_execve()的地址*/
  18.     //exec_kp.addr = (kprobe_opcode_t *)0xc00bbfb8;

  20.     /*如果不想直接给addr成员设置地址,也可以使用符号名*/
  21.     exec_kp.symbol_name = "do_execve";

  23.     exec_kp.pre_handler = exec_pre_handler;

  25.     /*注册kprobes*/
  26.     register_kprobe(&exec_kp);
  27.     
  28.     return 0;
  29. }



  33. static __exit void kprobes_exec_cleanup(void)
  34. {
  35.     /*撤销kprobes注册*/
  36.     unregister_kprobe(&exec_kp);
  37. }

  39. module_init(kprobes_exec_init);
  40. module_exit(kprobes_exec_cleanup);
  41. MODULE_LICENSE("GPL");


编译并insmod上述ko,那么在do_execve()函数执行之前就会先执行kprobes的pre_handler所指向的exec_pre_handler,打印内核的当前进程pid、jiffies等全局变量的值。由于do_exec函数用于生成进程,因此每次执行ls等命令都会显示一次:

pt_regs:c52ebf08,pid:110, jiffies:155286

pt_regs:c5313f08,pid:113, jiffies:159137

pt_regs:c52ebf08,pid:112, jiffies:159137

利用kprobes也可以查看内核函数内部任意位置的信息,此时需要把内核函数反汇编,确定想要查看位置相对于函数起始地址的偏移量,在初始化kprobes时,设置kprobe结构体的offset成员,就可以查看内核内部函数任意位置的信息。

三、jprobes的使用方法

用kprobes可以方便的查看内核内部任意位置的信息,相反,jprobes则是特别为函数开头的侦测准备的,通过jprobes,可以更容易的获取传递给函数的参数。使用jprobes与使用kprobes大体上一样,主要有以下区别:

1、分配给jprobes的结构体是jprobe结构体,并将指针传递给register_jprobe。jprobe结构的成员如下所示,只包括kprobe和entry两者。


  1. struct jprobe {
  2.     struct kprobe kp;
  3.     void *entry;    /* probe handling code to jump to */
  4. };


struct kprobe kp成员设置的是要侦测函数的符号或地址,entry中为通过JPROBE_ENTRY()宏处理过的侦测器处理程序。

2、侦测器处理程序的参数应当与需要侦测的函数的参数相同,这样可以方便的打印被侦测函数的形参。使用kprobes时,必须通过寄存器或者栈才能计算出参数的值。而计算方法还依赖于cpu架构,如果使用jprobes,则无须了解架构的详细知识,也能查看参数的值。
3、侦测器处理函数的尾部必须加上jprobe_return();


以下是使用jprobes打印do_execve函数的参数的例子,每次调用do_execve之前,都会打印相应的参数:

  1. #include <linux/module.h>
  2. #include <linux/kprobes.h>
  3. #include <linux/kallsyms.h>

  5. struct jprobe exec_jp;


  8. int jp_do_execve(const char * filename,
  9.     const char __user *const __user *argv,
  10.     const char __user *const __user *envp,
  11.     struct pt_regs * regs)
  12. {
  13.     int cnt = 0;

  15.     printk("filename = %s\n", filename);

  17.     for(; *argv != NULL;argv++,cnt++)
  18.         printk("argv[%d] = %s\n", cnt, *argv);

  20.     jprobe_return();
  21.     return 0;
  22. }


  25. static __init int jprobes_exec_init(void)
  26. {    
  27.     exec_jp.kp.symbol_name = "do_execve";

  29.     exec_jp.entry = JPROBE_ENTRY(jp_do_execve);

  31.     /*注册jprobes*/
  32.     register_jprobe(&exec_jp);
  33.     
  34.     return 0;
  35. }



  39. static __exit void jprobes_exec_cleanup(void)
  40. {
  41.     /*撤销jprobes注册*/
  42.     unregister_jprobe(&exec_jp);
  43. }

  45. module_init(jprobes_exec_init);
  46. module_exit(jprobes_exec_cleanup);
  47. MODULE_LICENSE("GPL");

每次执行ls时都会调用do_execve函数,具体的打印如下:

# ls

filename = /bin/ls

argv[0] = ls


因上努力果上随缘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kprobes_使用Kprobes进行内核调试
cuxiong8996的博客
07-07 840
KprobesLinux中的一种简单轻量级的机制,它允许您将断点插入正在运行的内核中。 Kprobes提供了一个接口,可闯入任何内核例程并从中断处理程序中无中断地收集信息使用Kprobes可以轻松收集调试信息,例如处理器寄存器和全局数据结构。 开发人员甚至可以使用Kprobes修改寄存器值和全局数据结构值。 为此,Kprobes通过在正在运行的内核中的给定地址处动态编写断点指令来插入...
kprobes使用例子
cybertan的专栏
01-17 1317
1: ifneq ($(KERNELRELEASE),)  obj-m = myjprobe.o # Otherwise we were called directly from the command # line; invoke the kernel build system. else KERNELDIR ?= /lib/modules/$(shell uname -r)/bui
Linux内核调试方法总结之Kprobes
zmjames2000 Just record
03-12 370
come from :https://www.cnblogs.com/justin-y-lin/p/5424582.html Kprobes 【用途】【参考kernel/Documentation/kprobes.txt帮助文档】 Kprobes是一个轻量级内核调试工具,同时又是其他一些更高级的内核调试工具(如perf和systemtap)的基础,在Linux 4.0内核版本中,eBPF特...
Linux kprobe的使用
小立仔
07-21 3660
Linux kprobe的简单使用
kprobes example
07-08
总结来说,kprobes结合`dump_stack`为我们提供了一种强大的内核调试手段,让我们能够在不干扰正常系统运行的情况下,深入了解内核内部工作细节。这在优化性能、排查错误或研究内核行为时都极其有价值。通过理解和...
北大内部课程linux内核定制与裁剪
10-04
- **课程定位**:本课程为北京大学内部开设的专业课程,旨在深入学习Linux内核的基础知识及其定制与裁剪技术。 - **教学目标**:通过该课程的学习,使学生能够掌握Linux内核的基本原理、编译流程、模块开发、内核...
kprobes-test.rar_One Three One
09-20
测试过程中,每个kprobe会在特定的内核函数或指令执行时被触发,捕获相关信息,如执行时间、上下文信息等。通过对这些数据的分析,可以评估kprobes机制在不同条件下的响应速度和资源消耗。 kprobes-test.h文件则...
深入理解linux内核(第三版中文)
04-23
10. **调试技术**:书中还将教授如何使用工具如GDB、SystemTap和kprobes进行内核级别的调试,这对于解决问题和改进内核性能至关重要。 总之,《深入理解Linux内核》(第三版中文)为读者提供了全面的内核洞察,无论...
深入理解linux内核-5
06-13
《深入理解Linux内核》是Linux开发者和爱好者的一本经典之作,中文第三版更是结合了最新的Linux内核版本,提供了详尽且深入的...通过学习这一章,读者将能更深入地了解Linux内核内部运作,从而更好地优化和调试系统。
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
ftrace kprobe调试
cll__的博客
05-15 4615
内核调试一般可以通过printk打印,这种方式需要重新编译内核,或者模块,如果编译内核还要重启设备才能生效。kprobe是一种内核调试方式,可以在内核执行代码位置中断,并执行我们插入的代码。同时内核提供了另一套接口 kprobe-trace,这个接口的优点是通过proc接口操作,不需要写代码,适合做一些临时的debug打印。
Linux内核调试技术——kprobe使用与实现(一)
Linux知识积累
06-17 544
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指...
kprobe工作原理
liwg06
02-19 976
Kprobes 提供了一个强行进入任何内核例程并从中断处理器无干扰地收集信息的接口。使用 Kprobes可以收集处理器寄存器和全局数据结构等调试信息。开发者甚至可以使用 Kprobes 来修改寄存器值和全局数据结构的值。基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。kprobe实现了三种类型的探测点: kprobes, jprobes和kretprobes (也叫返回探测点)。 kprobes是可以被插
内核调试神器SystemTap — 更多功能与原理(三)
weixin_30402085的博客
05-28 511
a linux trace/probe tool. 官网:https://sourceware.org/systemtap/ 用户空间 SystemTap探测用户空间程序需要utrace的支持,3.5以上的内核版本默认支持。 对于3.5以下的内核版本,需要自己打相关补丁。 更多信息:http://sourceware.org/systemtap/wiki/utrace...
关于kprobe的几种使用
cybertan的专栏
10-07 7434
1:探测schedule()函数,在探测点执行前后分别输出当前正在运行的进程、所在的CPU以及preempt_count(),当卸载该模块时将输出该模块运行时间以及发生的调度次数 /* kprobe-exam.c */ #include #include #include #include #include #include static struct kp
kprobe(一)
程序猿Ricky的日常干货
05-04 1345
Kprobe config CONFIG_KPROBES=y CONFIG_KALLSYMS=y or CONFIG_KALLSYMS_ALL=y Kprobe struct struct kprobe { struct hlist_node hlist; /* list of kprobes for multi-handler support */ ...
Linux玩转指南
qq_43535970的博客
07-25 1006
Linux是一个类Unix操作系统,最初由Linus Torvalds于1991年发布。它是基于开源的内核,并结合了大量的开源软件,形成了完整的操作系统。Linux的设计理念强调开源和自由,使得它在全球范围内得到广泛应用,从个人电脑到服务器、嵌入式系统,甚至超级计算机。
Linux初学基本命令
最新发布
yuan20010401的博客
07-25 809
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
Linux内核调试技术详解:printk()、KDB与Kprobes
Kprobes允许开发者在内核例程中设置断点,中断处理器并在不干扰系统运行的情况下收集所需的调试信息,如处理器寄存器状态和全局数据结构,这极大地简化了内核调试流程,无需频繁编译和重启系统。 Linux内核调试涉及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值