ARM架构kprobe应用及实现分析(10 trap中断注册及回调)

最新推荐文章于 2024-04-12 17:36:58 发布
最新推荐文章于 2024-04-12 17:36:58 发布
阅读量2.1k 收藏
点赞数
分类专栏: kprobe 文章标签: android kernel kprobe linux register_kprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyongming1982/article/details/16833289
版权

首先可以看下探测点检测到非法指令时候,产生中断的dump_stack:

symbol<c0011df0>] (dump_backtrace+0x0/0x10c) from [<c0630370>] (dump_stack+0x18/0x1c)
symbol<c0630358>] (dump_stack+0x0/0x1c) from [<bf00c208>] (handler_pre+0x144/0x19c [kk])
symbol<bf00c0c4>] (handler_pre+0x0/0x19c [kk]) from [<c063d174>] (kprobe_handler+0x194/0x234)
symbol<c063cfe0>] (kprobe_handler+0x0/0x234) from [<c063d23c>] (kprobe_trap_handler+0x28/0x54)
symbol<c063d214>] (kprobe_trap_handler+0x0/0x54) from [<c00082ac>] (do_undefinstr+0x118/0x1b0)
symbol<c0008194>] (do_undefinstr+0x0/0x1b0) from [<c063ca68>] (__und_svc+0x48/0x60)
symbol<c00523e0>] (do_fork+0x0/0x464) from [<c0011aec>] (sys_clone+0x34/0x3c)
symbol<c0011ab8>] (sys_clone+0x0/0x3c) from [<c000df20>] (ret_fast_syscall+0x0/0x30)

// 向中断列表注册一个中断回调函数
static struct undef_hook kprobes_arm_break_hook = {
	.instr_mask	= 0x0fffffff,
	.instr_val	= KPROBE_ARM_BREAKPOINT_INSTRUCTION,
	.cpsr_mask	= MODE_MASK,
	.cpsr_val	= SVC_MODE,
	.fn		= kprobe_trap_handler,
};


 

// 目前只有 kgdb , ptrace , kprobe 注册过
// 初始化
int __init arch_init_kprobes()
{
	arm_kprobe_decode_init();
	register_undef_hook(&kprobes_arm_break_hook);
	return 0;
}
// 注册函数很简单,只是往list添加一个节点而已
void register_undef_hook(struct undef_hook *hook)
{
	unsigned long flags;

	raw_spin_lock_irqsave(&undef_lock, flags);
	list_add(&hook->node, &undef_hook);
	raw_spin_unlock_irqrestore(&undef_lock, flags);
}


 

// 当然你也可以注销
void unregister_undef_hook(struct undef_hook *hook)
{
	unsigned long flags;

	raw_spin_lock_irqsave(&undef_lock, flags);
	list_del(&hook->node);
	raw_spin_unlock_irqrestore(&undef_lock, flags);
}


 

//当CPU检测到没有定义的指令时候,ISR中会调用do_undefinstr:
asmlinkage void __exception do_undefinstr(struct pt_regs *regs)
{
	unsigned int instr;
	void __user *pc;
        //获取导致trap的指令
	regs->ARM_pc -= correction;
	pc = (void __user *)instruction_pointer(regs);
	instr = *(u32 *) pc;
        //回调
	if (call_undef_hook(regs, instr) == 0)
		goto do_undefinstr_exit;
}


 

// 查找列表,对已经注册的函数,进行回调
static int call_undef_hook(struct pt_regs *regs, unsigned int instr)
{
	struct undef_hook *hook;
	unsigned long flags;
	int (*fn)(struct pt_regs *regs, unsigned int instr) = NULL;
        // 遍历list,查看哪个注册的指令值与当前的一致
	list_for_each_entry(hook, &undef_hook, node)
                // instr 与注册的要一致的
                // kgdb , ptrace , kprobe 的都不一致
		if ((instr & hook->instr_mask) == hook->instr_val &&
		    (regs->ARM_cpsr & hook->cpsr_mask) == hook->cpsr_val)
                         //回调函数
			fn = hook->fn;

	return fn ? fn(regs, instr) : 1;
}


 

李子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ARM架构kprobe应用实现分析(8.0 register_kprobe实现)
李子的备忘录
11-19 2036
int __kprobes register_kprobe(struct kprobe *p) { int ret = 0; struct kprobe *old_p; struct module *probed_mod; kprobe_opcode_t *addr; //返回要探测的决定地址 addr = kprobe_addr(p); if (IS_
ARM架构kprobe应用实现分析(1.0 简单示例)
李子的备忘录
11-16 1935
网络对krpobe的实现机制及扩展都不是特别详细 由于工作需要及个人爱好,正好有这个机会好好学习此模块及应用到实际中 并将整个应用扩展及当时的分析情况,详细记录下来,希望对感兴趣的人有些许帮助 最开始还是先给个具体的栗子:   static struct kprobe kp = { //.symbol_name = "do_fork", .symbol_name =
ARM架构kprobe应用实现分析(7.0 自动显示参数的值)
李子的备忘录
11-19 1769
通过前面的介绍 知道参数在寄存器及堆栈的位置,我们就有可能显示参数的值 jprobe也可以显示参数的值,但是其有缺点:不能探测函数时加上偏移量 具体上下文请参考: ARM架构kprobe应用实现分析(3.0 被探测函数说明) 导出参数的函数: static int dump_arm_parameter(struct pt_regs *regs) { int i=0;
ARM架构kprobe应用实现分析(6.0 导出堆栈的值)
李子的备忘录
11-17 1601
上篇讲过了导出寄存器的值 但是当函数参数多余4个的话(R0 R1 R2 R3 ),其他的值会保存在堆栈中,所以必须导出SP附近的值才能查看其它参数的值 此函数实现如下: 第一个参数为SP的值,第二个是一SP为中心要打印周围栈的数据 static int dump_arm_stack(unsigned int * _addr , unsigned int addrSize) {
ARM架构kprobe应用实现分析(11 原理)
李子的备忘录
12-03 3143
1 拷贝探测的code , 插入特殊指令(ARM是插入未定义指令) 2 CPU运行到未定义指令,会产生trap, 进入ISR,并保存当前寄出去的状态   通过LINUX的通知机制,会执行“pre_handler”(前提是你已经注册过了) 3 进入单步模式,运行你备份出来的代码  (此代码运行的是拷贝出来的,防止别的CPU也恰巧运行到此位置) 4 单步模式后,运行“post_handler
Linux内核调试利器|kprobe 原理与实现
weixin_60043341的博客
08-12 518
本文主要介绍了 kprobe 的原理与实现,正如本文开始时所说,kprobe 机制的细节很多,所以本文不可能对所有细节进行分析。如果大家对 kprobe 的所有实现细节有兴趣,可以自行阅读源码。
使用crash、funcgraph以及kprobe使用案例 —— 跟踪文件写缺页和脏页回写
pengdonglin137的专栏
11-29 1104
内核版本 linux-6.5 需求 通过mmap将一个文件以SHARE的方式映射到进程的虚拟地址空间,然后写其中一段数据,此时会发生缺页异常,内核会分配页缓存并根据偏移将文件指定位置的内容读到页缓存,最后再修改进程的页表,将这个页缓存映射给用户,不过第一次映射的时候PTE里面RW位是0,当进程真正写的时候,会再次触发缺页,并将对应的文件页设置为脏页,Linux会定期将脏页回写到磁盘上,在回写操作执行之前清除脏页标记,同时也会清除RW位。 下面利用crash、funcgraph以及kprobe结合的方式来学习
bcc.zip_39HP_bcc安装源及安装说明_beganebc
09-20
6. **开发和调试**:bcc提供了一些预定义的脚本和工具,如`tracepoint`、`kprobe`和`uprobe`,帮助开发者轻松地进行系统级别的监控和调试。 7. **安全性**:由于eBPF程序在内核空间执行,因此安全性至关重要。eBPF...
lkdtm.rar_crash_kprobe
09-24
kprobe的实现确保了对系统性能的影响最小,因为它只在探针点被触及时才执行用户定义的代码。 **kprobe在内核调试中的应用** 1. **故障排查**:kprobe可以用来检测内核中的问题,比如追踪特定函数的调用路径,检查...
ARM架构kprobe应用实现分析(2.0 register_kprobe error 38)
李子的备忘录
11-16 2276
最开始 register_kprobe 的时候,返回错误,一直注册不成功,且返回错误号为38 最后发现是一些kernel编译的配置没有打开导致的. 所以当你编译kernel之前请确保下面选项是打开支持的:    general setup         --> kprobes CONFIG_OPTPROBES=y CONFIG_PREEMPT=y CONFIG_OPTPROBES=
ARM架构kprobe应用实现分析(9.0 arch_prepare_kprobe平台相关注册)
李子的备忘录
11-19 2023
// ARM 架构注册kprobe int __kprobes arch_prepare_kprobe(struct kprobe *p) { kprobe_opcode_t insn; kprobe_opcode_t tmp_insn[MAX_INSN_SIZE]; unsigned long addr = (unsigned long)p->addr; bool thumb
kprobe(一)
程序猿Ricky的日常干货
05-04 1350
Kprobe config CONFIG_KPROBES=y CONFIG_KALLSYMS=y or CONFIG_KALLSYMS_ALL=y Kprobe struct struct kprobe { struct hlist_node hlist; /* list of kprobes for multi-handler support */ ...
linux内核对于指令异常的处理
多媒体开发者
01-11 3870
1.处理流程以arm64来介绍一下流程,如果在用户层发生指令异常时,首先进入入口el0_undef( arch/arm64/kernel/entry.s )el0_undef: /* * Undefined instruction */ // enable interrupts before calling the main handler enable_
ARMv8 异常处理之el1_undef
最新发布
suyanqiangqq的博客
04-12 408
ARMv8 异常处理之el1_undef
ARM(S3C2440 )下解决的非法指令问题(Illegal instruction)
xuweigaoqin的专栏
11-13 2045
最近在学习和做项目的时候需要搭建s3c2440的环境,遇到了一些问题(非法指令)和大家分享一下修正错误的过程。 一、我先介绍一下我们的实验环境: 内核版本:kernel-2.6.27-android_ok 编绎器:arm-2010q1-202-arm-none-linux-gnueabi 硬件:(S3C2440) 支持armv4t 指令, busybox版本:busybox-1.1
中断和异常的区别
youngchang的开发博客
09-21 8185
4.6.7 中断描述符表 中断描述符表(Interrupt Descriptor Table,IDT)将每个异常或中断向量分别与它们的处理过程联系起来。与GDT和LDT表类似,IDT也是由8字节长描述符组成的一个数组。与GDT 不同的是,表中第1项可以包含描述符。为了构成IDT表中的一个索引值,处理器把异常或中断的向量号乘以8。因为最多只有256个中断或异常向量,所以 IDT无需包含多于25
ARM 架构 dump_stack 实现分析(1.0 具体实例)
李子的备忘录
11-15 3087
dump_stack也就是我们平时说的backtrace对分析,对异常或crash发生的时候,具有重要的意义   每种架构会有或多或少的区别,如现在linux kernel支持如下架构: alpha  avr32     c6x   frv    hexagon    m68k        mips     openrisc  powerpc  score  sparc  um  
深入探索:kprobe内核调试技术分析
kprobe在Linux 2.6.14版本中已经得到了支持,但不幸的是,该版本的kprobe并不适用于ARM架构,仅支持i386、x86_64、ppc64、ia64和sparc64等平台。这意味着对于ARM平台的使用者,需要进行kprobe的移植工作。然而,本文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值