ARM架构kprobe应用及实现分析(7.0 自动显示参数的值)

最新推荐文章于 2023-08-05 08:15:00 发布
最新推荐文章于 2023-08-05 08:15:00 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: kprobe 文章标签: android kernel arm kprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyongming1982/article/details/16832885
版权

通过前面的介绍

知道参数在寄存器及堆栈的位置,我们就有可能显示参数的值

jprobe也可以显示参数的值,但是其有缺点:不能探测函数时加上偏移量

具体上下文请参考: ARM架构kprobe应用及实现分析(3.0 被探测函数说明)

导出参数的函数:

static int dump_arm_parameter(struct pt_regs *regs)
{   
   int i=0;
   unsigned int * sp = regs->uregs[13];
   printk(" func paras maybe : (0x%08x,0x%08x,0x%08x,0x%08x,0x%08x,0x%08x) \n",\
                                    regs->uregs[0],\
                                    regs->uregs[1],\
                                    regs->uregs[2],\
                                    regs->uregs[3],\
                                    *sp,\
                                    *(sp+1)\
                                    );

   return 0;
}

使用情形:

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
        printk("shitshit kprobes name is %s pt_regs size is %d \n",p->symbol_name,sizeof(regs->uregs));
        dump_arm_regs(regs->uregs);
        dump_arm_stack((unsigned int *)regs->uregs[13],5);
        dump_arm_parameter(regs);
	return 0;
}

 

kernel log 输出如下:

func paras maybe : (0x00000011,0x00000022,0x00000033,0xc077c670,0x00000044,0x00000055)

与我们实际传入的一致

 

good luck

 

李子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux kprobe调试技术使用
weixin_34383618的博客
10-28 231
kprobe调试技术是为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。 利用kprobe技术,可以在内核绝大多数函数中动态插入探测点,收集调试状态所需信息而基本不影响原有执行流程。 kprobe提供三种探测手段:kprobe、jprobe和kretprobe,其中jprobe和kretprobe基于kprobe实现,分别应用于不同探测场景中。   可以通过两种方式使用kprobe:第一...
Kprobe与内核模块
flyweight_visitor的博客
03-25 626
一、kprobe: Dtrace,或者其他调试工具,是如何获取系统调用的栈信息,为什么能统计系统调用的次数?在linux中,这个问题的答案是kprobe Linux内核调试技术——kprobe使用与实现这篇文章详细介绍了kprobe。抛开各种细节,简单的描述就是:内核提供了一组方法,使用这组方法可以在内核任意一个方法上加一个钩子,每当内核执行到钩子的时候,就可以执行用户自定义的代码。具体的实现原理...
kprobe 原理详细分析
看我眼色行事的博客
08-03 614
内核调试机制 kprobe 原理详细分析,使用 kprobe 可以在内核任意位置设置 hook 并跟踪调试
深入ftrace kprobe原理解析
奇小葩
11-20 3273
至此,我们知道Kprobe实现的本质是breakpoint和single-step的结合,这一点和大多数调试工具一样,比如kgdb/gdb。当 kprobe 被注册后,内核会将对应地址的指令进行拷贝并替换为断点指令(比如 X86 中的int 3)随后当内核执行到对应地址时,中断会被触发从而执行流程会被重定向到我们注册的函数当对应地址的原始指令执行完后,内核会再次执行从而实现指令级别的内核动态监控。也就是说,kprobe 不仅可以跟踪任意带有符号的内核函数,也可以跟踪函数中间的任意指令。
kprobe 和 kretprobe 隐藏的秘密
最新发布
Netfilter
08-05 1万+
很长一段时间跨越很多内核版本,多个 kretprobe_instance 以 hlist_node 的方式挂接在以 task 地址 hash 为 key 的 hlist 上,而对 hlist_node 的 CURD 必然涉及 lock,对于高频调用的热点函数,kretprobe 里的这个 lock 相当于自设的路障,hash 到同一个 bucket 的 task 同时调用一个函数时会被串行化,严重影响性能,甚至使系统 soft/hard lockup。这是一个知道的人很少的秘密。还有吗,还有,但不相关了。
kprobe分析
06-15
kprobe的简单分析,也有不完全的地方
lkdtm.rar_crash_kprobe
09-24
1. **故障排查**:kprobe可以用来检测内核中的问题,比如追踪特定函数的调用路径,检查函数参数,或者监控内核状态的变化。 2. **性能分析**:通过插入kprobe并记录相关数据,可以分析内核性能瓶颈,找出导致系统...
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
【标题】: "kprobe_rootkit: 使用kprobes技术构建的Linux内核Rootkit" 在Linux操作系统中,内核rootkit是一种高级的攻击手段,它允许攻击者隐藏其活动并控制系统的底层层面。其中,"kprobe_rootkit"是一个利用...
kprobe_jprobe
01-22
在Linux内核调试和性能分析领域,`kprobe` 和 `jprobe` 是两种非常重要的工具。它们允许开发者动态地探测内核代码的行为,从而理解系统运行时的内部工作原理,定位潜在的问题或者优化性能。下面我们将深入探讨这两个...
简述API HOOK技术及原理
bing1564的博客
05-01 2085
我们观察内核代码的时候,很多时候一些函数调用都初始化的时候设置成回调函数的,例如上一个例子读取文件目录,那么proc有自己独有的读取目录处理函数,相对于的ext4、ceph、hpfs等等文件系统都有自己的处理函数,那么getdents的时候如何能调用到正确的处理函数呢?而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数又使用各自对应的结构体来初始化后续的调用函数。
获取kprobes嗅探的函数参数
kfy2011的专栏
12-16 2412
获取kprobes嗅探的函数参数 疑问: 我已经用kprobes对一个函数进行嗅探,我需要在pre_handler处理函数里获取被嗅探函数的参数。 被嗅探函数如下: void foobar(int arg, int arg2, int arg3,int arg4, int arg5, int arg6, int arg7, int arg8) {     printk("foobar
ARM架构kprobe应用实现分析(5.0 打印寄存器的)
李子的备忘录
11-17 2485
kp.pre_handler = handler_pre; 在此函数中打印寄存器的,才能对我们分析当时的情况有帮助。(如查看调用函数的参数等) static int handler_pre(struct kprobe *p, struct pt_regs *regs) { printk(" kprobes name is %s pt_regs size is %d \n
利用Kprobe探测内核中的变量
weixin_33909059的博客
01-07 322
  今天遇到一个问题,需要探测内核中buffer cache block的大小。我想到了Kprobe这个神奇的工具,并且很好的探测到了内核中的变量,非常的方便,在此分享一下。   采用dd等工具写设备的时候,是需要经过块设备层的buffer cache,当请求块大小小于buffer cache的block_size时,Linux的策略是首先需要从磁盘load数据至buffer cache,...
ARM架构kprobe应用实现分析(1.0 简单示例)
李子的备忘录
11-16 1912
网络对krpobe的实现机制及扩展都不是特别详细 由于工作需要及个人爱好,正好有这个机会好好学习此模块及应用到实际中 并将整个应用扩展及当时的分析情况,详细记录下来,希望对感兴趣的人有些许帮助 最开始还是先给个具体的栗子:   static struct kprobe kp = { //.symbol_name = "do_fork", .symbol_name =
linux函数参数顺序,linux – 使用kprobes获取函数参数
weixin_42666807的博客
05-03 326
我已经在函数上放了一个kprobe,现在我需要在kprobe的预处理函数中获取它的参数.这是我的功能:void foobar(int arg,int arg2,int arg3,int arg4,int arg5,int arg6,int arg7,int arg8){printk("foobar called\n");}把kprobe放在上面并调用函数:...kp.addr = (kprobe...
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
linux 从入参获取函数名字,linux – 使用kprobes获取函数参数
weixin_31046701的博客
05-04 224
我已经在函数上放了一个kprobe,现在我需要在kprobe的预处理函数中获取它的参数.这是我的功能:void foobar(int arg, int arg2, int arg3, int arg4, int arg5, int arg6, int arg7, int arg8){printk("foobar called\n");}把kprobe放在上面并调用函数:...kp.addr = ...
ftrace kprobe调试
cll__的博客
05-15 4603
内核调试一般可以通过printk打印,这种方式需要重新编译内核,或者模块,如果编译内核还要重启设备才能生效。kprobe是一种内核调试方式,可以在内核执行代码位置中断,并执行我们插入的代码。同时内核提供了另一套接口 kprobe-trace,这个接口的优点是通过proc接口操作,不需要写代码,适合做一些临时的debug打印。
BPF_PROG_TYPE_KPROBE与BPF_PROG_TYPE_SYSCALL的作用有什么不同
04-01
BPF_PROG_TYPE_KPROBE和BPF_PROG_TYPE_SYSCALL都是eBPF程序类型,但它们的作用不同。 BPF_PROG_TYPE_KPROBE是用于内核探测点的eBPF程序类型。它可以被插入到内核函数的入口或出口处,以便监控和调试内核行为。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值