uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)

已于 2024-04-15 01:05:44 修改
阅读量1.3k 收藏 25
点赞数 23
分类专栏: ebpf 文章标签: memcached 数据库 缓存
于 2024-03-30 11:57:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74206992/article/details/137150292
版权

目录

uprobes

介绍

示例代码

ebpf的uprobe

介绍

运行情况 

代码解释 

.bpf.c

源码

语法 

SEC("uprobe")

SEC("uprobe//proc/self/exe:uprobed_sub")

.c

源码

语法 

asm volatile ("");

LIBBPF_OPTS(bpf_uprobe_opts, uprobe_opts);

uprobe_opts.func_name

uprobe_opts.retprobe

bpf_program__attach_uprobe_opts()

skel->links.uprobe_add

/proc/self/exe

修改内核层写法

介绍

.bpf.c

.c

将两个用户函数单拎到一个文件里

介绍

新建.c文件 

.c

运行情况 

如果去掉写有用户函数的进程的符号链接

介绍

问题 

解决 

uprobes

介绍

在 Linux 内核中,uprobes(用户空间探针)是一种动态追踪技术

  • uprobe 允许用户在不修改程序源代码或重新编译的情况下,动态地向用户空间程序中注入代码,从而实现对程序行为的监视和调试
  • 它依赖于内核中的 uprobes 子系统

示例代码

#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/syscall.h>
#include <linux/unistd.h>
#include <sys/uio.h>
#include <stdlib.h>
#include <string.h>

static int __attribute__((noinline)) my_function(int x) {
    printf("my_function called with argument: %d\n", x);
    return x * 2;
}

int main() {
    int result;
    pid_t pid = getpid();

    // Attach uprobe to my_function
    long ret = syscall(__NR_uprobe, "/path/to/my_binary", "my_function", 0);

    if (ret < 0) {
        perror("Failed to attach uprobe");
        exit(EXIT_FAILURE);
    }

    // Call my_function
    result = my_function(42);
    printf("Result: %d\n", result);

    return 0;
}

使用syscall将uprobes附加到某个路径下的可执行文件"my_binary"中的"my_function"函数中

除了上面这种使用系统调用的方式,也可以使用之前介绍kprobes时的register_kprobe的方式,调用register_uprobe来实现

ebpf的uprobe

介绍

它允许用户在用户空间中动态地插入和观察程序的探针,以便监视应用程序的行为、性能和调试信息

  • 和linux中的uprobes技术功能类似,但它拥有更灵活、更高效的用户空间函数监视功能
  • 通过 libbpf 库来实现,并且可以与其他 eBPF 功能和工具链集成
  • 和kprobe类似,都可以在代码中动态插入探测点
  • 但作用对象不一样,kprobe用于插入内核函数,uprobe插入用户空间函数

 

下面介绍的,是libbpf-bootstrap库中example下的uprobe代码: 

运行情况 

相当于是用户层定义了俩函数,分别计算加减法

内核层在两个函数的出,入口放置了探测点

  • 在入口打印两个参数的值
  • 在出口打印返回值(也就是经过运算后的值)

代码解释 

.bpf.c

源码

// SPDX-License-Identifier: GPL-2.0 OR BSD-3-Clause
/* Copyright (c) 2020 Facebook */
#include "vmlinux.h"
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

char LICENSE[] SEC("license") = "Dual BSD/GPL";

SEC("uprobe")
int BPF_KPROBE(uprobe_add, int a, int b)
{
	bpf_printk("uprobed_add ENTRY: a = %d, b = %d", a, b);
	return 0;
}

SEC("uretprobe")
int BPF_KRETPROBE(uretprobe_add, int ret)
{
	bpf_printk("uprobed_add EXIT: return = %d", ret);
	return 0;
}

SEC("uprobe//proc/self/exe:uprobed_sub")
int BPF_KPROBE(uprobe_sub, int a, int b)
{
	bpf_printk("uprobed_sub ENTRY: a = %d, b = %d", a, b);
	return 0;
}

SEC("uretprobe//proc/self/exe:uprobed_sub")
int BPF_KRETPROBE(uretprobe_sub, int ret)
{
	bpf_printk("uprobed_sub EXIT: return = %d", ret);
	return 0;
}

语法 

SEC("uprobe")

一个BPF程序的section声明,表明以下的函数用于uprobe

  • 如果采取这样的写法,那么就只给内核提供了该函数是有关uprobe的,但没有提供该探测点要放置在哪个进程的哪个函数
  • 所以,需要在用户层代码里手动提供这些信息
SEC("uprobe//proc/self/exe:uprobed_sub")

这是Kprobe中SEC的另一种写法 -- ("uprobe形式//接口所在的可执行路径:要挂接的用户空间函数名")

  • 如果采取这种写法,uprobe所需的条件就全部满足了,那么在用户层代码里就不需要手动处理了

.c

源码

// SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause)
/* Copyright (c) 2020 Facebook */
#include <errno.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/resource.h>
#include <bpf/libbpf.h>
#include "uprobe.skel.h"

static int libbpf_print_fn(enum libbpf_print_level level, const char *format, va_list args)
{
	return vfprintf(stderr, format, args);
}

/* It's a global function to make sure compiler doesn't inline it. To be extra
 * sure we also use "asm volatile" and noinline attributes to prevent
 * compiler from local inlining.
 */
__attribute__((noinline)) int uprobed_add(int a, int b)
{
	asm volatile ("");
	return a + b;
}

__attribute__((noinline)) int uprobed_sub(int a, int b)
{
	asm volatile ("");
	return a - b;
}

int main(int argc, char **argv)
{
	struct uprobe_bpf *skel;
	int err, i;
	LIBBPF_OPTS(bpf_uprobe_opts, uprobe_opts);

	/* Set up libbpf errors and debug info callback */
	libbpf_set_print(libbpf_print_fn);

	/* Load and verify BPF application */
	skel = uprobe_bpf__open_and_load();
	if (!skel) {
		fprintf(stderr, "Failed to open and load BPF skeleton\n");
		return 1;
	}

	/* Attach tracepoint handler */
	uprobe_opts.func_name = "uprobed_add";
	uprobe_opts.retprobe = false;
	/* uprobe/uretprobe expects relative offset of the function to attach
	 * to. libbpf will automatically find the offset for us if we provide the
	 * function name. If the function name is not specified, libbpf will try
	 * to use the function offset instead.
	 */
	skel->links.uprobe_add = bpf_program__attach_uprobe_opts(skel->progs.uprobe_add,
								 0 /* self pid */, "/proc/self/exe",
								 0 /* offset for function */,
								 &uprobe_opts /* opts */);
	if (!skel->links.uprobe_add) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

	/* we can also attach uprobe/uretprobe to any existing or future
	 * processes that use the same binary executable; to do that we need
	 * to specify -1 as PID, as we do here
	 */
	uprobe_opts.func_name = "uprobed_add";
	uprobe_opts.retprobe = true;
	skel->links.uretprobe_add = bpf_program__attach_uprobe_opts(
		skel->progs.uretprobe_add, -1 /* self pid */, "/proc/self/exe",
		0 /* offset for function */, &uprobe_opts /* opts */);
	if (!skel->links.uretprobe_add) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

	/* Let libbpf perform auto-attach for uprobe_sub/uretprobe_sub
	 * NOTICE: we provide path and symbol info in SEC for BPF programs
	 */
	err = uprobe_bpf__attach(skel);
	if (err) {
		fprintf(stderr, "Failed to auto-attach BPF skeleton: %d\n", err);
		goto cleanup;
	}

	printf("Successfully started! Please run `sudo cat /sys/kernel/debug/tracing/trace_pipe` "
	       "to see output of the BPF programs.\n");

	for (i = 0;; i++) {
		/* trigger our BPF programs */
		fprintf(stderr, ".");
		uprobed_add(i, i + 1);
		uprobed_sub(i * i, i);
		sleep(1);
	}

cleanup:
	uprobe_bpf__destroy(skel);
	return -err;
}

看着好像挺长的,其实我们可以把这份用户层代码分成个部分:

  • 两个用户空间函数(即将被挂接的函数)
  • ebpf程序的一些初始化
  • 手动提供uprobe使用时需要的条件
  • 挂载bpf程序
  • for循环里调用那两个要被探测的函数

语法 

asm volatile ("");

LIBBPF_OPTS(bpf_uprobe_opts, uprobe_opts);

定义了一个 bpf_uprobe_opts结构体,用于传递uprobe的选项,例如要跟踪的函数名称、是否是返回探针等

struct bpf_uprobe_opts {
	/* size of this struct, for forward/backward compatibility */
	size_t sz;
	/* offset of kernel reference counted USDT semaphore, added in
	 * a6ca88b241d5 ("trace_uprobe: support reference counter in fd-based uprobe")
	 */
	size_t ref_ctr_offset;
	/* custom user-provided value fetchable through bpf_get_attach_cookie() */
	__u64 bpf_cookie;
	/* uprobe is return probe, invoked at function return time */
	bool retprobe;
	/* Function name to attach to.  Could be an unqualified ("abc") or library-qualified
	 * "abc@LIBXYZ" name.  To specify function entry, func_name should be set while
	 * func_offset argument to bpf_prog__attach_uprobe_opts() should be 0.  To trace an
	 * offset within a function, specify func_name and use func_offset argument to specify
	 * offset within the function.  Shared library functions must specify the shared library
	 * binary_path.
	 */
	const char *func_name;
	/* uprobe attach mode */
	enum probe_attach_mode attach_mode;
	size_t :0;
};
  • 可以将这些选项传递给BPF程序的加载和附加函数,以实现相应的功能
  • 这就是我们上面介绍的,为uprobe提供需要的条件
uprobe_opts.func_name

指定要跟踪的目标函数的函数名

uprobe_opts.retprobe

用于指示是否为返回探针

bpf_program__attach_uprobe_opts()

将bpf程序与用户空间探针(uprobe)相关联.并在指定的目标函数入口或返回处插入探针

  • struct bpf_link *bpf_program__attach_uprobe_opts(struct bpf_program *prog, pid_t pid,
const char *binary_path, uint64_t offset,const struct bpf_uprobe_opts *opts);
  • 就像这样传参:
  • 返回一个struct bpf_link结构的指针,表示创建的 BPF 程序链接
skel->links.uprobe_add

还记得我们的kprobe_bpf结构体吗,它会自动根据内核层代码生成结构体定义:

其中,progs结构体存放了探针函数的结构体指针

links结构体表示一个 BPF 程序与内核中特定探针(uprobe)的链接

  • 存放的字段用于描述 BPF 程序与内核探针之间的关系,以及与之相关的资源信息
/proc/self/exe

一个进程的绝对地址

  •  
  • 和之前在进程那里介绍过的cwd文件(工作目录)在同一个目录下:

修改内核层写法

介绍

所以我们考虑将减法那种提前提供好信息的写法改成需要手动绑定的加法

  • 多练点没坏处嘛

.bpf.c

首先将减法这里的信息删掉,只剩下指定uprobe形式

SEC("uprobe")
int BPF_KPROBE(uprobe_sub, int a, int b)
{
	bpf_printk("uprobed_sub ENTRY: a = %d, b = %d", a, b);
	return 0;
}

SEC("uretprobe")
int BPF_KRETPROBE(uretprobe_sub, int ret)
{
	bpf_printk("uprobed_sub EXIT: return = %d", ret);
	return 0;
}

.c

然后照猫画虎,给uprobe_opts提供相应的数据

以及使用bpf_program__attach_uprobe_opts函数将bpf程序与用户空间探针相关联

最后将返回值赋给skel的links结构

/* Attach tracepoint handler */
	uprobe_opts.func_name = "uprobed_sub";
	uprobe_opts.retprobe = false;
	/* uprobe/uretprobe expects relative offset of the function to attach
	 * to. libbpf will automatically find the offset for us if we provide the
	 * function name. If the function name is not specified, libbpf will try
	 * to use the function offset instead.
	 */
	skel->links.uprobe_sub = bpf_program__attach_uprobe_opts(skel->progs.uprobe_sub,
								 0 /* self pid */, "/proc/self/exe",
								 0 /* offset for function */,
								 &uprobe_opts /* opts */);
	if (!skel->links.uprobe_sub) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

	/* we can also attach uprobe/uretprobe to any existing or future
	 * processes that use the same binary executable; to do that we need
	 * to specify -1 as PID, as we do here
	 */
	uprobe_opts.func_name = "uprobed_sub";
	uprobe_opts.retprobe = true;
	skel->links.uprobe_sub = bpf_program__attach_uprobe_opts(
		skel->progs.uprobe_sub, -1 /* self pid */, "/proc/self/exe",
		0 /* offset for function */, &uprobe_opts /* opts */);
	if (!skel->links.uprobe_sub) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

将两个用户函数单拎到一个文件里

介绍

其实需要探测的用户空间函数和我们的bpf程序不在一个文件里的可能性更大,所以我们也需要学习该如何插入探测点到不在一个文件的函数

新建.c文件 

放置我们的用户函数并调用

(可以限制一下a和b的大小,更方便看一些)

#include <stdio.h>
#include <unistd.h>

/* It's a global function to make sure compiler doesn't inline it. To be extra
 * sure we also use "asm volatile" and noinline attributes to prevent
 * compiler from local inlining.
 */
__attribute__((noinline)) int uprobed_add(int a, int b)
{
	return a + b;
}

__attribute__((noinline)) int uprobed_sub(int a, int b)
{
	return a - b;
}

int main()
{
	int i = 0;
	for (i = 0;; i++) {
		/* trigger our BPF programs */
		uprobed_add(i, i + 1);
		uprobed_sub(i * i, i);
		if (i >= 10) {
			i = 0;
		}
	}
	return 0;
}

.c

然后将.c文件里有关这两个函数的代码删除

并且要在代码里提供用户函数所在的可执行文件的信息(通过命令行传入)

  • 可执行文件的路径
  • 进程pid(因为这里已知函数所在的进程,所以直接传入pid)
if (argc != 2) {
		fprintf(stderr, "./uprobe pid\n");
		return 0;
	}
	int pid = atoi(argv[1]);
	char path[20];
	snprintf(path, sizeof(path) - 1, "/proc/%s/exe", argv[1]);
    
    ...

	skel->links.uprobe_add = bpf_program__attach_uprobe_opts(skel->progs.uprobe_add,
								 pid /* self pid */, path,
								 0 /* offset for function */,
								 &uprobe_opts /* opts */);

    ...
    }

运行情况 

将用户函数所在程序以后台任务的形式启动(其实都行,但后台方便一点,而且还会自动显示自己的pid):

将pid传入uprobe进程,即可指定bpf程序需要和哪个进程交互:

如果去掉写有用户函数的进程的符号链接

介绍

当可执行文件被 "strip" 后,符号表信息被去除

  • 那么其他程序无法直接通过符号名称来访问其中的函数或变量

如果去掉了符号链接,那么里面包含的函数的符号也没有了

那其他程序将无法访问该函数,自然ebpf程序就无法在那两个函数的出入口放探测点

  • 所以,我们需要手动链接
  • 其实就是手动找到函数汇编代码的所在地址

问题 

我们先来验证一下,被strip的用户函数程序,是否还能让bpf成功插入探测点

首先先备份一份可执行文件:

然后启动被strip的可执行文件:

启动bpf程序:

  • 发现显示无法找到可执行文件的符号表,自然也无法找到add函数的符号

解决 

通过未被strip的程序找到用户函数符号的汇编地址:

  • 对没有strip的可执行文件进行反汇编,并查找 uprobe_add 和 uprobe_sub 符号的汇编指令地址
  • 然后找到那两个函数的符号:

既然符号链接已经没有了,说明函数名已经没有用了,就需要在bpf程序中删除:

  • (如果是修改后的.c文件,需要注释四处这句代码)

然后手动链接bpf程序和用户函数:

  • func_offset 参数赋值 = 获取的函数符号汇编指令地址

重新编译后启动bpf程序:

沐风ya
关注
  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
eBPF挂载函数小结
qq_43573047的博客
04-25 354
在C或C++应用程序中,可以使用DTrace或SystemTap的API定义USDT探针,如下通过安装之后,就能通过使用宏来定义usdt,最多可以包含有12个参数。// 触发 USDT 跟踪点return 0;
可观测性项目对 uprobe 的需求理解与实现
eBPF_Kindling的博客
12-06 675
uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
基于Linux内核的应用探测: uprobe
yeholmes的专栏
03-13 4033
基于Linux内核的应用性能分析技术 Linux内核有良好的分设计,但了解并实时跟踪内核的行为并不容易。为此,Linux内核开发者实现了跟踪点(tracepoint)、性能监测(perf_event)、函数跟踪(ftrace)等功能,用于Linux的调试和性能分析。最近几年已经成熟的eBPF内核子系统带来了内核性能分析技术的飞跃,常用的主要有bcc、bpftrace;二者同属于github的iovisor用户,直译出来即为“输入输出监测”,即性能监测。这些工具同样可用于应用的性能分析,这是笔者关注的功能
eBPF 入门开发实践指南五:在 eBPF 中使用 uprobe 捕获 bash 的 readline 函数调用
云微的blog
01-23 1711
uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
uprobe的使用浅析
LiWang112358的专栏
10-15 1864
uprobe是linux内核提供的一种trace用户函数的机制,可以在不对二进制重新编译的情况下进行trace特定函数,本文描述了uprobe的基本使用方法
uprobe
yunlianglinfeng的专栏
10-15 750
项目上需要分析用户程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe的使用,小结如下: 1.编写小测试程序如下: #include <stdlib.h> #include <s.
uprobes介绍
M120674的专栏
12-14 964
一 功能 uprobes提供了用户程序的动态插桩, 注意与kprobes的 区别 二 接口 (1)基于Ftrace,通过/sys/kernel/debug/tracing/uprobe_events写入特定字符串打开关闭uprobes,具体方法参考如下文档: uprobetracer.rst - Documentation/trace/uprobetracer.rst - Linux source code (v4.17.18) - Bootlin 注意和kprobe不同的是...
深入ftrace uprobe原理和功能介绍
奇小葩
11-24 4477
上一章我们学习了,kprobe 可以实现动态内核的注入,基于中断的方法在任意指令中插入追踪代码,并且通过 pre_handler/post_handler去接收回调。另一个 kprobe 的同族是,只不过是针对函数级别的内核监控,根据用户注册时提供的和来分别在函数进入时和返回前进行回调。本章的我们来学习uprobe ,顾名思义,相对于内核函数/地址的监控,主要用于用户函数/地址的监控。听起来是不是有点神奇,内核怎么监控用户函数的调用呢?
Linux 内核代码风格 中+英原版.rar
04-08
《Linux内核代码风格》是一本深入探讨Linux内核编程规范和最佳实践的书籍,它为开发者提供了关于如何编写高效、可读且易于维护的内核代码的指导。该书包含英文原版和中文译版两个版本,对于中文读者来说,既能理解...
编程技术_高通操作系统内核代码分析-综合文档
05-19
在深入探讨高通操作系统的内核代码之前,我们先来理解一下操作系统...《编程技术_高通操作系统内核代码分析》这份文档将是一个宝贵的参考资料,它将引导读者逐步揭开高通内核的神秘面纱,掌握其中的关键技术和技巧。
weaver:使用uprobeseBPF跟踪Go程序执行
04-07
编织者 请阅读! -我目前正在将Weaver重构为使用libbpf而不是bcc,这将包括其他许多重大改进。 如果您当前使用的是weaver,请注意,在进行重大重构之前,功能/错误修复一直处于推迟状态。 这将在分支“重构”中进行跟踪 Weaver是一个CLI工具,可让您跟踪Go程序,以检查将哪些值传递给指定的函数。 它利用附加到升级上的eBPF。 快速开始 有两种操作模式,一种使用“功能文件”,另一种从传递的二进制文件中提取符号表并通过Go包进行过滤。 有关功能的更多信息。 功能文件 采取以下示例程序: test_prog.go package main //go:noinline func test_function ( int , [ 2 ] int ) {} //go:noinline func other_test_function ( rune , int64 ) {} fu
Ptrace, Utrace, Uprobes: Lightweight, Dynamic Tracing of User Apps
08-27
IBM经典论文,主要介绍几个调试工具的底库的比较。关注点主要放在Utrace上,介绍了Utrac相对gdb传统调试底库ptrace的优势。 学习使用ptrace必看
Mzf主动防御(包括用户内核代码)
05-10
《Mzf主动防御系统详解——用户内核代码剖析》 Mzf主动防御系统是一种先进的安全解决方案,旨在提供全面的计算机保护,包括用户内核代码防御。这种防御机制的设计目的是在多面拦截和抵御恶意软件...
Linux内核代码情景分析_linuxc++_buanc_
10-02
《Linux内核代码情景分析》是一本专为深度学习Linux内核的读者精心编写的书籍,特别适合那些想要理解操作系统核心运作原理的C++程序员和Linux爱好者。这本书以其独特的"情景分析"方法,帮助读者深入浅出地探索...
《深入分析Linux内核代码
06-13
《深入分析Linux内核代码》 第一章 走进Linux 第二章 Linux运行的硬件基础 第三章 中断机制 第四章 进程描述 第五章 进程调度与切换 第六章 Linux 内存管理 第七章 进程间通信 第八章 虚拟文件系统 第九章 Ext2 ...
使用eBPF 技术进行四网络监测
luisun66666的博客
11-17 1379
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七、五、四网络结构。七,五、四的概念,只是人为的划分而已,是为了区分出哪一是干什么用的。今天咱们主要讲“四网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四网络结构 :应用、传输、网络、网络接口eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
Uprobes: userspace probes >= Linux 3.5
weixin_33755554的博客
05-09 109
https://lwn.net/Articles/499190/ https://github.com/andreoli/fulltrace  Prominent features in Linux 3.5 1.1. ext4 metadata checksums Modern filesystems such as ZFS and Btrfs have proved that ensuring ...
通过实例了解uprobe及其对性能的影响
最新发布
老宅的虚拟空间
01-25 1377
通过实例了解uprobe及其对性能的影响
c获取函数地址_bcc之基于uprobe探测用户函数实现原理分析
weixin_39783857的博客
11-28 473
1. 引言 基于bcc来探测内核的文章已经很多,但讲得都是如何探测内核系统调用函数。 本文重点讲bcc是如何利用upobe来探测用户函数的,了解了背后的实珮原理,对于高手来说更能够更自由发挥去调试需要跟踪的函数,而不是等着别人在网上写了什么就用什么。 和往常一样,不是每个人都关心分析这个问题的过程和细节,因此这儿先将自己的理解在这儿总结一下:bcc能够探测用户函数基于设置断点的原理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值