Linux内核调试技术——kretprobe使用与实现

最新推荐文章于 2024-03-05 19:16:22 发布
最新推荐文章于 2024-03-05 19:16:22 发布
阅读量8.6k 收藏 21
点赞数 6
分类专栏: Linux Kernel 文章标签: linux kernel 调试 kprobe 内核 kretprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luckyapple1028/article/details/54782659
版权

前两篇博文介绍了kprobes探测技术中kprobe和jprobe的使用与实现。本文介绍kprobes中的最后一种探测技术kretprobe,它同样基于kprobe实现,可用于探测函数的返回值以及计算函数执行的耗时。本文首先通过一个简单的示例程序介绍kretprobe的使用方式,然后通过源码分析它是如何实现的。

内核源码:Linux-4.1.x

实验环境:Fedora25(x86_64)、树莓派1b


1、kretprobe使用示例

使用kretprobe探测函数的返回值同jprobe一样需要编写内核模块,当然内核也提供了一个简单的示例程序kretprobe_example.c(位于sample/kprobes目录),该程序的实现更为通用,用户可以在使用时直接通过模块参数指定需要探测的函数,它在探测函数返回值的同时还统计了被探测函数的执行用时。在分析kretprobe_example.c之前先熟悉一下kretprobe的结构体定义和API接口。

1.1、kretprobe结构体与API介绍

/*
 * Function-return probe -
 * Note:
 * User needs to provide a handler function, and initialize maxactive.
 * maxactive - The maximum number of instances of the probed function that
 * can be active concurrently.
 * nmissed - tracks the number of times the probed function's return was
 * ignored, due to maxactive being too low.
 *
 */
struct kretprobe {
	struct kprobe kp;
	kretprobe_handler_t handler;
	kretprobe_handler_t entry_handler;
	int maxactive;
	int nmissed;
	size_t data_size;
	struct hlist_head free_instances;
	raw_spinlock_t lock;
};
struct kretprobe结构体用于定义一个kretprobe。由于它的实现基于kprobe,结构体中自然也少不了kprobe字段;然后handler和entry_handler分别表示两个回调函数,用户自行定义,entry_handler会在被探测函数执行之前被调用,handler在被探测函数返回后被调用(一般在这个函数中打印被探测函数的返回值);maxactive表示同时支持并行探测的上限,因为kretprobe会跟踪一个函数从开始到结束,因此对于一些调用比较频繁的被探测函数,在探测的时间段内重入的概率比较高,这个maxactive字段值表示在重入情况发生时,支持同时检测的进程数(执行流数)的上限,若并行触发的数量超过了这个上限,则kretprobe不会进行跟踪探测,仅仅增加nmissed字段的值以作提示;data_size字段表示kretprobe私有数据的大小,在注册kretprobe时会根据该大小预留空间;最后free_instances表示空闲的kretprobe运行实例链表,它链接了本kretprobe的空闲实例struct kretprobe_instance结构体表示。 

struct kretprobe_instance {
	struct hlist_node hlist;
	struct kretprobe *rp;
	kprobe_opcode_t *ret_addr;
	struct task_struct *task;
	char data[0];
};
这个结构体表示kretprobe的运行实例,前文说过被探测函数在跟踪期间可能存在并发执行的现象,因此kretprobe使用一个kretprobe_instance来跟踪一个执行流,支持的上限为maxactive。在没有触发探测时,所有的kretprobe_instance实例都保存在free_instances表中,每当有执行流触发一次kretprobe探测,都会从该表中取出一个空闲的kretprobe_instance实例用来跟踪。

kretprobe_instance结构提中的rp指针指向所属的kretprobe;ret_addr用于保存原始被探测函数的返回地址(后文会看到被探测函数返回地址会被暂时替换);task用于绑定其跟踪的进程;最后data保存用户使用的kretprobe私有数据,它会在整个kretprobe探测运行期间在entry_handler和handler回调函数之间进行传递(一般用于实现统计被探测函数的执行耗时)。

1.2、示例kretprobe_example分析与演示

内核提供的kretprobe_example.c示例程序默认探测do_fork函数的执行耗时和返回值,支持通过模块参数指定被探测函数,用户若需要探测其他函数,只需要在加载内核模块时传入自己需要探测的函数名即可,无需修改模块代码。

static char func_name[NAME_MAX] = "do_fork";
module_param_string(func, func_name, NAME_MAX, S_IRUGO);
MODULE_PARM_DESC(func, "Function to kretprobe; this module will report the"
			" function's execution time");
下面详细分析: 

/* per-instance private data */
struct my_data {
	ktime_t entry_stamp;
};

static struct kretprobe my_kretprobe = {
	.handler		= ret_handler,
	.entry_handler		= entry_handler,
	.data_size		= sizeof(struct my_data),
	/* Probe up to 20 instances concurrently. */
	.maxactive		= 20,
};

static int __init kretprobe_init(void)
{
	int ret;

	my_kretprobe.kp.symbol_name = func_name;
	ret = register_kretprobe(&my_kretprobe);
	if (ret < 0) {
		printk(KERN_INFO "register_kretprobe failed, returned %d\n",
				ret);
		return -1;
	}
	printk(KERN_INFO "Planted return probe at %s: %p\n",
			my_kretprobe.kp.symbol_name, my_kretprobe.kp.addr);
	return 0;
}

static void __exit kretprobe_exit(void)
{
	unregister_kretprobe(&my_kretprobe);
	printk(KERN_INFO "kretprobe at %p unregistered\n",
			my_kretprobe.kp.addr);

	/* nmissed > 0 suggests that maxactive was set too low. */
	printk(KERN_INFO "Missed probing %d instances of %s\n",
		my_kretprobe.nmissed, my_kretprobe.kp.symbol_name);
}
程序定义了一个结构体struct my_data,其中唯一的参数entry_stamp用于计算函数执行的时间;同时程序定义了一个struct kretprobe实例,注意其中的私有数据长度为my_data的长度,最大支持的并行探测数为20(即若在某一时刻,do_fork函数同时调用的执行流数量超过20那将不会再进行探测跟踪)。最后在模块的init和exit函数中仅仅调用register_kretprobe和unregister_kretprobe函数对my_kretprobe进行注册和注销,在kretprobe注册完成后就默认启动探测了。 

/* Here we use the entry_hanlder to timestamp function entry */
static int entry_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
	struct my_data *data;

	if (!current->mm)
		return 1;	/* Skip kernel threads */

	data = (struct my_data *)ri->data;
	data->entry_stamp = ktime_get();
	return 0;
}

/*
 * Return-probe handler: Log the return value and duration. Duration may turn
 * out to be zero consistently, depending upon the granularity of time
 * accounting on the platform.
 */
static int ret_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
	int retval = regs_return_value(regs);
	struct my_data *data = (struct my_data *)ri->data;
	s64 delta;
	ktime_t now;

	now = ktime_get();
	delta = ktime_to_ns(ktime_sub(now, data->entry_stamp));
	printk(KERN_INFO "%s returned %d and took %lld ns to execute\n",
			func_name, retval, (long long)delta);
	return 0;
}
函数entry_handler在do_fork函数被调用时触发调用,注意第一个入参不是struct kretprobe结构,而是代表一个探测实例的struct kretprobe_instance结构,它从kretprobe的free_instances链表中分配,在跟踪完本次触发流程后回收。entry_handler函数利用了kretprobe_instance中私有数据,保存do_fork函数执行的开始时间。

函数ret_handler在do_fork函数执行完成返回后被调用,它根据当前的时间减去kretprobe_instance中私有数据保存的起始时间,即可计算出do_fork函数执行的耗时。同时它调用regs_return_value函数获取do_fork函数的返回值,该函数是架构相关的:

static inline long regs_return_value(struct pt_regs *regs)
{
	return regs->ARM_r0;
}
例如arm环境是通过r0寄存器传递返回值的,因此该函数的实现仅仅是返回r0寄存器的值(需要注意的是regs指针传递的是do_fork函数返回时所保存的寄存器信息,这一点后面会分析)。ret_handler函数最后打印出do_fork函数的返回值和执行耗时(单位ns)。

下面在x86_64环境下演示该示例程序的实际效果(环境配置请参考《Linux内核调试技术——kprobe使用与实现》):

<6>[ 1217.859349] _do_fork returned 1838 and took 518081 ns to execute
<6>[ 1217.863880] _do_fork returned 1839 and took 223701 ns to execute
<6>[ 1217.865731] _do_fork returned 1840 and took 221746 ns to execute
<6>[ 1220.077508] _do_fork returned 1841 and took 433573 ns to execute
<6>[ 1220.081512] _do_fork returned 1842 and took 362684 ns to execute
<6>[ 1220.083767] _do_fork returned 1843 and took 284184 ns to execute
<6>[ 1220.995537] _do_fork returned 1844 and took 503414 ns to execute
<6>[ 1221.000363] _do_fork returned 1845 and took 427427 ns to execute

加载kretprobe_example.ko,不指定探测函数,默认探测do_fork函数,内核输出以上messages。可见do_fork函数的返回值(新创建进程的pid)是依次递增的,同时函数执行用时也呈现的非常直观。因此,使用kretprobe可以简单的获取一个函数在执行时的返回值,在内核调试时非常有用。探测其他函数方法类似,不再赘述。


2、kretprobe实现分析

kretprobe的实现基于kprobe,因此这里将在前一篇博文《Linux内核调试技术——kprobe使用与实现》的基础之上分析它的实现,主要包括kretprobe注册流程和触发探测流程,涉及kprobe的部分不再详细描。

2.1、kretprobe实现原理

同jprobe类似,kretprobe也是一种特殊形式的kprobe,它有自己私有的pre_handler,并不支持用户定义pre_handler和post_handler等回调函数。其中它的pre_handler回调函数会为kretprobe探测函数执行的返回值做准备工作,其中最主要的就是替换掉正常流程的返回地址,让被探测函数在执行之后能够跳转到kretprobe所精心设计的函数中去,它会获取函数返回值,然后调用kretprobe->handler回调函数(被探测函数的返回地址此刻得到输出),最后恢复正常执行流程。

2.2、注册一个kretprobe

kretprobe探测模块调用register_kretprobe函数向内核注册一个kretprobe实例,代码路径为kernel/kprobes.c,其主要流程如下图:


图1 kretprobe注册流程

int register_kretprobe(struct kretprobe *rp)
{
	int ret = 0;
	struct kretprobe_instance *inst;
	int i;
	void *addr;

	if (kretprobe_blacklist_size) {
		addr = kprobe_addr(&rp->kp);
		if (IS_ERR(addr))
			return PTR_ERR(addr);

		for (i = 0; kretprobe_blacklist[i].name != NULL; i++) {
			if (kretprobe_blacklist[i].addr == addr)
				return -EINVAL;
		}
	}
函数的开头首先处理kretprobe所特有的blacklist,如果指定的被探测函数在这个blacklist中就直接返回EINVAL,表示不支持探测。其中kretprobe_blacklist_size表示队列的长度,kretprobe_blacklist是一个全局结构体数组,每一项都是一个struct kretprobe_blackpoint结构体: 

struct kretprobe_blackpoint {
	const char *name;
	void *addr;
};
其中name字段表示函数名,addr表示函数的运行地址。该kretprobe_blacklist是架构相关的,用于申明该架构哪些函数是不支持使用kretprobe探测的,其中arm架构并没有被定义,而x86_64架构的定义如下: 

struct kretprobe_blackpoint kretprobe_blacklist[] = {
	{"__switch_to", }, /* This function switches only current task, but
			      doesn't switch kernel stack.*/
	{NULL, NULL}	/* Terminator */
};
这表明在x86_64架构下的__switch_to函数不可以被kretprobe所探测(这一点在内核的kprobes.txt中已经有说明)。回到register_kretprobe函数中,在blacklist检测时比较的是函数运行地址addr字段,该字段在kprobes子系统初始化函数init_kprobes中初始化: 

	if (kretprobe_blacklist_size) {
		/* lookup the function address from its name */
		for (i = 0; kretprobe_blacklist[i].name != NULL; i++) {
			kprobe_lookup_name(kretprobe_blacklist[i].name,
					   kretprobe_blacklist[i].addr);
			if (!kretprobe_blacklist[i].addr)
				printk("kretprobe: lookup failed: %s\n",
				       kretprobe_blacklist[i].name);
		}
	}
继续往下分析register_kretprobe注册函数: 

	rp->kp.pre_handler = pre_handler_kretprobe;
	rp->kp.post_handler = NULL;
	rp->kp.fault_handler = NULL;
	rp->kp.break_handler = NULL;

	/* Pre-allocate memory for max kretprobe instances */
	if (rp->maxactive <= 0) {
#ifdef CONFIG_PREEMPT
		rp->maxactive = max_t(unsigned int, 10, 2*num_possible_cpus());
#else
		rp->maxactive = num_possible_cpus();
#endif
	}
此处只指定了kprobe的pre_handler回调函数为pre_handler_kretprobe;然后若用户没有指定最大并行探测数maxactive,这里会计算并设置一个默认的值。 

	raw_spin_lock_init(&rp->lock);
	INIT_HLIST_HEAD(&rp->free_instances);
	for (i = 0; i < rp->maxactive; i++) {
		inst = kmalloc(sizeof(struct kretprobe_instance) +
			       rp->data_size, GFP_KERNEL);
		if (inst == NULL) {
			free_rp_inst(rp);
			return -ENOMEM;
		}
		INIT_HLIST_NODE(&inst->hlist);
		hlist_add_head(&inst->hlist, &rp->free_instances);
	}

	rp->nmissed = 0;
	/* Establish function entry probe point */
	ret = register_kprobe(&rp->kp);
	if (ret != 0)
		free_rp_inst(rp);
	return ret;
}
接下来根据maxactive的值,为各个kretprobe_instance实例分配内存并将它们链接到kretprobe的free_instances链表中,最后调用register_kprobe函数注册内嵌的kprobe。

以上就是kretprobe的注册流程,可见它同jprobe一样也非常的简单,最终依赖的依然是kprobe机制。


2.3、触发kretprobe探测

基于kprobe机制,在执行到指定的被探测函数后,会触发CPU异常,进入kprobe探测流程。首先由kprobe_handler函数调用pre_handler回调函数,此处为pre_handler_kretprobe函数,该函数首先找到一个空闲的kretprobe_instance探测实例并将它和当前进程绑定,然后调用entry_handler回调函数,接着保存并替换被探测函数的返回地址,最后kprobe探测流程结束并回到正常的执行流程执行被探测函数,在函数返回后将跳转到被替换的kretprobe_trampoline,该函数会获取被探测函数的寄存器信息并调用用户定义的回调函数输出其中的返回值,最后函数返回正常的执行流程。


图2 kretprobe触发流程

/*
 * This kprobe pre_handler is registered with every kretprobe. When probe
 * hits it will set up the return probe.
 */
static int pre_handler_kretprobe(struct kprobe *p, struct pt_regs *regs)
{
	struct kretprobe *rp = container_of(p, struct kretprobe, kp);
	unsigned long hash, flags = 0;
	struct kretprobe_instance *ri;

	/*
	 * To avoid deadlocks, prohibit return probing in NMI contexts,
	 * just skip the probe and increase the (inexact) 'nmissed'
	 * statistical counter, so that the user is informed that
	 * something happened:
	 */
	if (unlikely(in_nmi())) {
		rp->nmissed++;
		return 0;
	}

	/* TODO: consider to only swap the RA after the last pre_handler fired */
	hash = hash_ptr(current, KPROBE_HASH_BITS);
	raw_spin_lock_irqsave(&rp->lock, flags);
	if (!hlist_empty(&rp->free_instances)) {
		ri = hlist_entry(rp->free_instances.first,
				struct kretprobe_instance, hlist);
		hlist_del(&ri->hlist);
		raw_spin_unlock_irqrestore(&rp->lock, flags);

		ri->rp = rp;
		ri->task = current;

		if (rp->entry_handler && rp->entry_handler(ri, regs)) {
			raw_spin_lock_irqsave(&rp->lock, flags);
			hlist_add_head(&ri->hlist, &rp->free_instances);
			raw_spin_unlock_irqrestore(&rp->lock, flags);
			return 0;
		}

		arch_prepare_kretprobe(ri, regs);

		/* XXX(hch): why is there no hlist_move_head? */
		INIT_HLIST_NODE(&ri->hlist);
		kretprobe_table_lock(hash, &flags);
		hlist_add_head(&ri->hlist, &kretprobe_inst_table[hash]);
		kretprobe_table_unlock(hash, &flags);
	} else {
		rp->nmissed++;
		raw_spin_unlock_irqrestore(&rp->lock, flags);
	}
	return 0;
}
首先根据当前的进程描述符地址以及KPROBE_HASH_BITS值计算出hash索引值,如果kretprobe的free_instances链表不为空,则从中找到一个空闲的kretprobe_instance实例,然后对其中的rp和task字段赋值,表示将该探测实例和当前进程绑定;然后调用entry_handler回调函数(前文kretprobe_example示例程序中的entry_handler函数在此被调用);接下来调用arch_prepare_kretprobe函数,该函数架构相关,用于保存并替换regs中的返回地址,其中arm架构的实现如下: 

void __kprobes arch_prepare_kretprobe(struct kretprobe_instance *ri,
				      struct pt_regs *regs)
{
	ri->ret_addr = (kprobe_opcode_t *)regs->ARM_lr;

	/* Replace the return addr with trampoline addr. */
	regs->ARM_lr = (unsigned long)&kretprobe_trampoline;
}
这里将regs->ARM_lr保存到了ri->ret_addr中,然后原始值被替换成了kretprobe_trampoline函数的地址。注意regs->ARM_lr值的含义是原始代码流程调用被探测函数后的下一条指令的地址(由于regs中指向的是执行被探测函数入口指令时所保存的寄存器值,因此lr寄存器中的内容为执行被探测函数的返回地址),经过这一替换,原始执行流程在执行完整个被探测函数后将跳转到kretprobe_trampoline函数执行,整个函数稍后分析。在来看x86_64架构的函数实现: 

void arch_prepare_kretprobe(struct kretprobe_instance *ri, struct pt_regs *regs)
{
	unsigned long *sara = stack_addr(regs);

	ri->ret_addr = (kprobe_opcode_t *) *sara;

	/* Replace the return addr with trampoline addr */
	*sara = (unsigned long) &kretprobe_trampoline;
}
整体大同小异,x86_64架构的函数调用栈同arm的不同,它将返回地址保存在栈顶空间中(即sp指向的位置),因此保存和替换的方式同arm架构略有不同。

继续回到pre_handler_kretprobe函数中,接下来将本此使用的kretprobe_instance链接到全局kretprobe_inst_table哈希表中,该哈希表在init_kprobes中初始化。最后如果kretprobe的free_instances链表为空,则说明被探测函数的并行触发流程超过了指定的maxactive上限,仅增加nmissed值不进行探测跟踪。

pre_handler_kretprobe函数返回后,kprobe流程接着执行singlestep流程并返回到正常的执行流程,被探测函数(do_fork)继续执行,直到它执行完毕并返回。由于返回地址被替换为kretprobe_trampoline,所以跳转到kretprobe_trampoline执行,该函数架构相关且有嵌入汇编实现,具体分析一下。

1)arm架构实现:

/*
 * When a retprobed function returns, trampoline_handler() is called,
 * calling the kretprobe's handler. We construct a struct pt_regs to
 * give a view of registers r0-r11 to the user return-handler.  This is
 * not a complete pt_regs structure, but that should be plenty sufficient
 * for kretprobe handlers which should normally be interested in r0 only
 * anyway.
 */
void __naked __kprobes kretprobe_trampoline(void)
{
	__asm__ __volatile__ (
		"stmdb	sp!, {r0 - r11}		\n\t"
		"mov	r0, sp			\n\t"
		"bl	trampoline_handler	\n\t"
		"mov	lr, r0			\n\t"
		"ldmia	sp!, {r0 - r11}		\n\t"
#ifdef CONFIG_THUMB2_KERNEL
		"bx	lr			\n\t"
#else
		"mov	pc, lr			\n\t"
#endif
		: : : "memory");
}
该函数在栈空间构造出一个不完整的pt_regs结构体变量,仅仅填充了r0~r11寄存器(由于kretprobe所关注的仅是函数返回值r0,这已经足够了),然后跳转到trampoline_handler函数执行: 

/* Called from kretprobe_trampoline */
static __used __kprobes void *trampoline_handler(struct pt_regs *regs)
{
	struct kretprobe_instance *ri = NULL;
	struct hlist_head *head, empty_rp;
	struct hlist_node *tmp;
	unsigned long flags, orig_ret_address = 0;
	unsigned long trampoline_address = (unsigned long)&kretprobe_trampoline;

	INIT_HLIST_HEAD(&empty_rp);
	kretprobe_hash_lock(current, &head, &flags);

	/*
	 * It is possible to have multiple instances associated with a given
	 * task either because multiple functions in the call path have
	 * a return probe installed on them, and/or more than one return
	 * probe was registered for a target function.
	 *
	 * We can handle this because:
	 *     - instances are always inserted at the head of the list
	 *     - when multiple return probes are registered for the same
	 *       function, the first instance's ret_addr will point to the
	 *       real return address, and all the rest will point to
	 *       kretprobe_trampoline
	 */
	hlist_for_each_entry_safe(ri, tmp, head, hlist) {
		if (ri->task != current)
			/* another task is sharing our hash bucket */
			continue;

		if (ri->rp && ri->rp->handler) {
			__this_cpu_write(current_kprobe, &ri->rp->kp);
			get_kprobe_ctlblk()->kprobe_status = KPROBE_HIT_ACTIVE;
			ri->rp->handler(ri, regs);
			__this_cpu_write(current_kprobe, NULL);
		}

		orig_ret_address = (unsigned long)ri->ret_addr;
		recycle_rp_inst(ri, &empty_rp);

		if (orig_ret_address != trampoline_address)
			/*
			 * This is the real return address. Any other
			 * instances associated with this task are for
			 * other calls deeper on the call stack
			 */
			break;
	}

	kretprobe_assert(ri, orig_ret_address, trampoline_address);
	kretprobe_hash_unlock(current, &flags);

	hlist_for_each_entry_safe(ri, tmp, &empty_rp, hlist) {
		hlist_del(&ri->hlist);
		kfree(ri);
	}

	return (void *)orig_ret_address;
}
由于前面的kprobe执行流程已经完全退出了,因此这里无法通过传参的手段来获取所触发的到底是哪一个kretprobe_instance,所以只能通过前面的全局kretprobe_inst_table哈希表和current进程描述符指针来确定kretprobe_instance实例。所以函数首先遍历kretprobe_inst_table哈希表,找到和当前进程绑定的kretprobe_instance。找到了以后会临时修改current_kprobe的值和kprobe的状态值,表明又进入了kprobe的处理流程,防止冲突。接着调用handler回调函数,传入的第二个入参就是前面kretprobe_trampoline函数构造出来的pt_regs,注意其中的r0寄存器保存的是函数的返回值。

handler回调函数执行完毕以后,调用recycle_rp_inst函数将当前的kretprobe_instance实例从kretprobe_inst_table哈希表释放,重新链入free_instances中,以备后面kretprobe触发时使用,另外如果kretprobe已经被注销则将它添加到销毁表中待销毁:

void recycle_rp_inst(struct kretprobe_instance *ri,
		     struct hlist_head *head)
{
	struct kretprobe *rp = ri->rp;

	/* remove rp inst off the rprobe_inst_table */
	hlist_del(&ri->hlist);
	INIT_HLIST_NODE(&ri->hlist);
	if (likely(rp)) {
		raw_spin_lock(&rp->lock);
		hlist_add_head(&ri->hlist, &rp->free_instances);
		raw_spin_unlock(&rp->lock);
	} else
		/* Unregistering */
		hlist_add_head(&ri->hlist, head);
}
回到trampoline_handler函数中,接下来有一种情况需要注意,由于此处在查找kretprobe_instance时采用的时遍历全局哈希表的方法,同时可能会存在多个kretprobe实例同当前进程绑定的情况,因为在一个被探测函数的调用流程中是可能会调用到其他的被探测函数的,例如下面这种情况: 

int b(void)
{
	int ret;
	
	...
	
	return ret;
}

int a(void)
{
	int ret;
	
	ret = b();
	...
	
	return ret;
}
如果对a函数和b函数同时注册了kretprobe,就会出现多kretprobe_instance绑定同一进程的情况。对于这种多绑定的情况,在处理b函数返回值时可能会错误的找到绑定到a函数的kretprobe_instance实例,导致探测出现错误。那如何避免这种错误?其实在注释中已经给出说明。这里采用了一种非常巧妙的方法,首先每次插入kretprobe_inst_table表时都是从头插入的,在取出的时候也是从头获取,类似一个堆栈,其次在循环的最后给出了一个break条件,那就是如果函数的原始返回地址不等于kretprobe_trampoline函数的地址,那就break,不再循环查找下一个kretprobe_instance实例。我们知道在一般的情况下这break条件必然满足,所以这里找到的必然是流程上最后一次触发kretprobe探测的实例。

回到trampoline_handler函数最后遍历empty_rp销毁需要释放的kretprobe_instance实例。最后返回被探测函数的原始返回地址,执行流程再次回到kretprobe_trampoline函数中:

		"mov	lr, r0			\n\t"
		"ldmia	sp!, {r0 - r11}		\n\t"
#ifdef CONFIG_THUMB2_KERNEL
		"bx	lr			\n\t"
#else
		"mov	pc, lr
接下来从r0寄存器中取出原始的返回地址,然后恢复原始函数调用栈空间,最后跳转到原始返回地址执行,至此函数调用的流程就回归正常流程了,整个kretprobe探测结束。

2)x86_64架构实现 

/*
 * When a retprobed function returns, this code saves registers and
 * calls trampoline_handler() runs, which calls the kretprobe's handler.
 */
static void __used kretprobe_trampoline_holder(void)
{
	asm volatile (
			".global kretprobe_trampoline\n"
			"kretprobe_trampoline: \n"
#ifdef CONFIG_X86_64
			/* We don't bother saving the ss register */
			"	pushq %rsp\n"
			"	pushfq\n"
			SAVE_REGS_STRING
			"	movq %rsp, %rdi\n"
			"	call trampoline_handler\n"
			/* Replace saved sp with true return address. */
			"	movq %rax, 152(%rsp)\n"
			RESTORE_REGS_STRING
			"	popfq\n"
#else
			"	pushf\n"
			SAVE_REGS_STRING
			"	movl %esp, %eax\n"
			"	call trampoline_handler\n"
			/* Move flags to cs */
			"	movl 56(%esp), %edx\n"
			"	movl %edx, 52(%esp)\n"
			/* Replace saved flags with true return address. */
			"	movl %eax, 56(%esp)\n"
			RESTORE_REGS_STRING
			"	popf\n"
#endif
			"	ret\n");
}
实现的原理同arm是一致的,这里会调用SAVE_REGS_STRING把寄存器压栈,构造出pt_regs变量,然后调用trampoline_handler函数,这个函数基本同arm的一模一样,就不贴了,最后kretprobe_trampoline_holder恢复栈空间和原始返回地址,跳转到正常的执行流程中继续执行。

3、总结

kretprobe探测技术基于kprobe实现,是kprobes探测技术中的最后一种,内核开发人员可以通过它来动态的探测函数执行的返回值,并且也可以做一些定制话的动作,例如检测函数的执行时间等,使用非常方便。本文介绍了kretprobe探测工具的使用方式及其原理,并通过源码分析了arm架构和x86_64架构下它的实现方式。

最后,本文连同前两篇博文较为详细的分析了kprobes的三种函数探测技术,灵活的使用这三种调试技术能够大大的提高内核开发与问题定位的效率。



luckyapple1028
关注
专栏目录
Linux内核调试工具——devmem
Donge's Blog
08-11 6759
我们在底层开发过程中,经常需要在终端查看或者修改设备寄存器的值,有这样一个工具----devmem,可用于读取或者修改物理寄存器的值,非常方便!简而言之,devmem就是在Linux命令行模式下,直接操作我们设备寄存器的值!......
Linux网络体系结构_Linux内核中网络协议的设计与实现.pdf
11-20
详细描述了linux2.4/2.6内核版本中的网络子系统。解释了协议的工作方式、建立了Linux网络体系结构中的多种重要概念——从设备驱动程序概念一直到应用程序接口的概念。能帮助读者更容易理解 Linux网络架构的进程和...
kprobe 和 kretprobe 隐藏的秘密
热门推荐
Netfilter
08-05 1万+
很长一段时间跨越很多内核版本,多个 kretprobe_instance 以 hlist_node 的方式挂接在以 task 地址 hash 为 key 的 hlist 上,而对 hlist_node 的 CURD 必然涉及 lock,对于高频调用的热点函数,kretprobe 里的这个 lock 相当于自设的路障,hash 到同一个 bucket 的 task 同时调用一个函数时会被串行化,严重影响性能,甚至使系统 soft/hard lockup。这是一个知道的人很少的秘密。还有吗,还有,但不相关了。
Linux内核调试技术——kprobe使用实现(五)
Linux知识积累
06-22 793
Linux内核调试技术——kprobe使用实现(一)Linux内核调试技术——kprobe使用实现(二)Linux内核调试技术——kprobe使用实现(三)Linu...
Linux kretprobe使用和原理
小立仔
07-28 2221
Linux kretprobe的简单使用和原理
kretprobes
jason的笔记
07-06 864
kretprobes 主要用于在函数返回时调用处理函数,主要用于调试函数的返回值,也可以用于计算函数运行占用的时间。 例如下例就是通过kretprobes来计算调用_do_fork 占用的时间 static char func_name[NAME_MAX] = "_do_fork"; module_param_string(func, func_name, NAME_MAX, S_IRU
rprobe、kretprobe使用例子
zheng的博客
10-06 597
背景: Linux协议栈处理发送流程时,在发送驱动函数前会通过__netdev_pick_tx选择一个发送队列,当选择好一个发送队列后,协议栈会将其设置到sk->sk_tx_queue_mapping,这样后续的发送流程就不需要再去选择。 static u16 __netdev_pick_tx(struct net_device *dev, struct sk_buff *skb) { struct sock *sk = skb->sk; int queue_index = s..
Linux kprobe的使用
小立仔
07-21 3963
Linux kprobe的简单使用
Linux内核调试技术——进程D状态死锁检测-List_linux-亚虎娱乐博客 - 亚虎娱乐1
08-03
Linux内核调试技术——进程D状态死锁检测》 在Linux操作系统中,进程的状态管理是内核核心功能的一部分,而死锁问题则是系统稳定性和性能的重要考量因素。本文将探讨Linux内核如何通过hung task机制来检测和处理...
kprobes/kretprobes介绍
M120674的专栏
12-14 806
一 功能 (1)kprobe/kretprobes提供了针对内核的动态插桩支持。 (2)kprobes可以对任何内核函数(入口或函数内部指令)进行插桩 (3)kretprobes用来对内核函数返回时进行插桩以获取返回值等 二 接口 三种接口方式: (1)kprobe API:register_kprobe/register_kretprobe 该API接口是内核提供的,一般在定制化调试的驱动模块中调用API注册kprobe事件。 具体信息可以参考如下内核文档: kprobe...
使用kretprobes来查找耗时长的中断处理函数
chensong_2000的博客
07-17 439
在实时系统中,如果top half时间过长,会导致实时任务得不到调度,产生比较高的延时。使用kretprobes可以查看中断处理的时间,代码如下(参考kretprobe_sample.c做了一些改动): /* * kretprobe_example.c * * Here's a sample kernel module showing the use of return probes to * report the return value and total time taken for pro...
kprobe
cassper的专栏
11-22 1419
kprobe是内核提供的探测内核代码的一种机制,有助于开发人员跟踪内核代码运行状态。1,three types--Kprobes, Jprobes, Return Probes2, arch support--- i386---arm---... 3,configs--CONFIG_KPROBES --CONFIG_MODULES--CONFIG_M
trace系列5 - kretprobe学习笔记
HZero
11-01 1283
0.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明kprobe的工作原理,此处的kretprobe是基于trace event来实现,同时使用了ftrace的框架。 1. kprobe的总体原理 2. kretprobe领域模型 同 trace系列3 - kretprobe学习笔记 3. kretprobe创建 在执行如下
kretprobe 使用
already_skb的专栏
01-15 1774
Kretporbe使用
kretprobe kretprobe_instance私有数据区
最新发布
qq_42931917的博客
03-05 883
这段初始化申请的内存是所有kretprobe实例共用的,也就是说是轮转使用的,所以在ret_handler使用完这段内存之后,需要将私有数据区的相关字段set为0。从上述内存申请的逻辑来看,被跟踪的实例是存在限制的,在注册kretprobe时可以根据实际情况进行调整。从内核代码出发,看看在注册kretprobe的时候是怎么分配内存的?的大小是在register_kretprobe时根据设定的data_size来设定。的size由结构体struct kretprobe的成员data_size来初始化。
kprobe钩子详细介绍
kfy2011的专栏
12-14 4273
Kprobe钩子介绍 kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。 kprobe实现了三种类型的探测点:kp
linux-5.10.13/Documentation/trace/kprobes.rst
RToax
05-11 303
======================= Kernel Probes (Kprobes) ======================= :Author: Jim Keniston <jkenisto@us.ibm.com> :Author: Prasanna S Panchamukhi <prasanna.panchamukhi@gmail.com> :Author: Masami Hiramatsu <mhiramat@redhat.com> .. CONT
[monitor] 8. Linux kprobe(内核探针)
pwl999的博客
10-13 3316
1、kprobe概念kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。kprobe实现了三种类型的探测点: kprobe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值