libbpf-bootstrap开发指南:用户态探针 - uprobe

最新推荐文章于 2024-04-25 14:19:26 发布
原创 最新推荐文章于 2024-04-25 14:19:26 发布 · 772 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#性能优化

文章详细分析了一个使用BPF(BerkeleyPacketFilter)技术进行用户态程序跟踪的示例。代码定义了针对uprobed_add和uprobed_sub函数的uprobe及uretprobe,通过/proc/self/maps文件获取函数偏移量,并在程序运行时触发BPF跟踪点,打印出函数的入口和退出信息。主要涉及Linux内核探针技术以及libbpf库的使用。

目录

代码分析

BPF 程序分析

功能分析

头文件引入

SEC("uprobe//proc/self/exe:uprobed_sub")

BPF_KPROBE&BPF_KRETPROBE

用户态程序分析

功能说明

/proc/self/maps 文件

执行效果

代码分析

BPF 程序分析
// SPDX-License-Identifier: GPL-2.0 OR BSD-3-Clause
/* Copyright (c) 2020 Facebook */
#include <linux/bpf.h>
#include <linux/ptrace.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

char LICENSE[] SEC("license") = "Dual BSD/GPL";

SEC("uprobe")
int BPF_KPROBE(uprobe_add, int a, int b)
{
	bpf_printk("uprobed_add ENTRY: a = %d, b = %d", a, b);
	return 0;
}

SEC("uretprobe")
int BPF_KRETPROBE(uretprobe_add, int ret)
{
	bpf_printk("uprobed_add EXIT: return = %d", ret);
	return 0;
}

SEC("uprobe//proc/self/exe:uprobed_sub")
int BPF_KPROBE(uprobe_sub, int a, int b)
{
	bpf_printk("uprobed_sub ENTRY: a = %d, b = %d", a, b);
	return 0;
}

SEC("uretprobe//proc/self/exe:uprobed_sub")
int BPF_KRETPROBE(uretprobe_sub, int ret)
{
	bpf_printk("uprobed_sub EXIT: return = %d", ret);
	return 0;
}
功能分析

主要定义了一些 uprobe 和 uretprobe 函数,用于在用户空间程序的特定函数进入和返回时进行跟踪。

头文件引入
  1. #include <linux/bpf.h>: 这个头文件定义了 BPF 的基本数据类型和函数,如 bpf_map_update_elem、bpf_map_lookup_elem 等。此外,它还定义了 BPF 程序类型(如 BPF_PROG_TYPE_KPROBE)和一些宏(如 BPF_ANY、BPF_NOEXIST 等)。
  2. #include <linux/ptrace.h>: 这个头文件定义了 struct pt_regs 结构体,这个结构体在 BPF 程序中常用于访问 CPU 寄存器的值。在你的 BPF 程序中,struct pt_regs 是 BPF_KPROBE 和 BPF_KRETPROBE 函数的参数类型。
  3. #include <bpf/bpf_helpers.h>: 这个头文件定义了一些 BPF 辅助函数,如 bpf_printk。在你的 BPF 程序中,bpf_printk 函数用于打印调试信息。
  4. #include <bpf/bpf_tracing.h>: 这个头文件定义了一些宏,这些宏用于从 struct pt_regs 结构体中提取参数和返回值。在你的 BPF 程序中,例如 PT_REGS_PARM1(ctx) 和 PT_REGS_RC(ctx) 使用了这个头文件提供的宏。
SEC("uprobe//proc/self/exe:uprobed_sub")

SEC 宏用于定义 BPF 程序的一个 section,这个 section 的名字是 "uprobe//proc/self/exe:uprobed_sub"。

"uprobe//proc/self/exe:uprobed_sub" 这个字符串有三部分:

  1. "uprobe": 这表示这个 section 是一个 uprobe 类型的 BPF 程序。
  2. "/proc/self/exe": 这是目标程序的路径。/proc/self/exe 是一个在 Linux 系统中的特殊路径,它是一个符号链接,指向当前进程的可执行文件。
  3. "uprobed_sub": 这是目标程序中要跟踪的函数的名字。

所以,SEC("uprobe//proc/self/exe:uprobed_sub") 这段代码的意思是:定义一个 uprobe 类型的 BPF 程序,用于在当前进程的可执行文件中的 uprobed_sub 函数入口处设置一个跟踪点。

BPF_KPROBE&BPF_KRETP
最低0.47元/天 解锁文章
6.7 LIBBPF API(六,bpf_tracing.h 定义)
从0到1,突破自己
05-28 456
bpf_tracing.h 函数列表
6.10 Libbpf-bootstrap(一,简介)
最新发布
从0到1,突破自己
05-29 1407
在看完前面的介绍,是不是感觉看了也就看了。但是,如果想要像BCC那样使用libbpf编写BPF程序,该怎么开始呢?那么这就需要libbpf-bootstrap了。libbpf-bootstrap是官方推荐的一个范式,就像我们写PPT的模版。简单来说可以简化我们的BPF开发流程,它可以帮助我们快速开发编写自己的BPF程序。这也就为什么把这个项目叫做bootstrap了。就像你需要使用一台电脑环境写个贪吃蛇游戏,那么你不需要在去买显卡,CPU,主板去组装一台电脑;而是只需要按下电源键即可。通过使用。
BPF内核调试开发坏境的搭建
yeholmes的专栏
10-17 4320
BPF的内核调试方法 一直以来,笔者对BPF功能的认知一直停留在与tcpdump工具进行网络抓包相关;最近几年BPF已成为内核的顶级子系统,从网络抓包的内核支持模块演进成为内核调试、性能跟踪的复杂模块。其对内核的调试(也可用于应用的调试)是动态的;不过该动态调试过程并不需要编译内核模块并加载之,而是将调试应用编译成为eBPF字节码,并通过bpf系统调用将该字节码加载到内核中的BPF虚拟机中解析执行,或由内核中的BPF Jit编译为机器码后运行。这一调试机制使得其与传统的GDB调试方法相比,具有更低的延时和更
eBPF示例:x86-64平台上的uprobe
qq_38232169的博客
01-04 870
讲解 libbpf-bootstrap 框架上的 uprobe 示例代码; 函数符号被 strip 后的 uprobe 处理方法;
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
m0_74206992的博客
03-30 3147
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
libbpf-bootstrap开发指南:静态跟踪点 - UTSD
阿呆的隐秘角落
07-16 1240
做全网最好的libbpf-bootstrap 开发指南
libbpf-bootstrap开发指南:第一个tracepoint 监测demo - minimal
阿呆的隐秘角落
07-15 1463
做全网最好的libbpf-bootstrap 开发指南
libbpf-bootstrap开发指南:适用于docker等虚拟环境的进程监测 - minimal_ns
阿呆的隐秘角落
07-15 1645
最全网最好的libbpf-bootstrap开发指南
libbpf-bootstrap开发指南:内核态探针- kprobe
阿呆的隐秘角落
07-16 874
做全网最好的libbpf-bootstrap开发指南
eBPF 入门开发实践指南五:在 eBPF 中使用 uprobe 捕获 bash 的 readline 函数调用
云微的blog
01-23 1950
uprobe是一种用户空间探针uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
【Linux】BPF学习笔记 - 调试技术[4]
Linoy
03-01 1628
【BPF】学习笔记 - 调试技术[4] 本学习笔记来自于阅读 Brendan Gregg的《BPF Performance Tools》 一、 KPROBES kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。它可以在生产环境中实时进行此操作,无需重新重启系统或以任何特殊模式运行内核。这意味着我们可以在内核的绝大多数指定函数中动态的插入探测点(动态...
BPF之事件源
大吉
01-02 1671
基础 1. BPF和eBPF概念 BPF 原是 Berkeley Packet Filter(伯克利数据包过滤器)的缩写,1992诞生,用于网络包过滤。2014经过修改并入 Linux 内核主线,从此 BPF 变成了一个更通用的执行引擎,主要用于网络、可观测性和安全。将来可能会拓展到更多应用领域,比如控制 scheduler 的行为。 eBPF 是扩展后的 BPF,增加了更多的寄存器,增加 BPF 映射型存储(map)、设计成可即时编译 JIT 方式使用,不过官方缩写通常不带"e",内核中只有一个执行引擎
透视Linux内核 神奇的BPF二
02-26 2005
一 前言对于第一次BPF的介绍,只是简单介绍了BPF,写了一个没啥用的例子,如何利用BCC写一个有点用的程序以及BCC中有哪些牛逼的工具,是本篇需要介绍的。二 BPF程序开发一般流程再来回...
eBPF挂载函数小结
qq_43573047的博客
04-25 1008
在C或C++应用程序中,可以使用DTrace或SystemTap的API定义USDT探针,如下通过安装之后,就能通过使用宏来定义usdt,最多可以包含有12个参数。// 触发 USDT 跟踪点return 0;
可观测性项目对 uprobe 的需求理解与实现
eBPF_Kindling的博客
12-06 940
uprobe是一种用户空间探针uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
深入ftrace uprobe原理和功能介绍
奇小葩
11-24 6549
上一章我们学习了,kprobe 可以实现动态内核的注入,基于中断的方法在任意指令中插入追踪代码,并且通过 pre_handler/post_handler去接收回调。另一个 kprobe 的同族是,只不过是针对函数级别的内核监控,根据用户注册时提供的和来分别在函数进入时和返回前进行回调。本章的我们来学习uprobe ,顾名思义,相对于内核函数/地址的监控,主要用于用户态函数/地址的监控。听起来是不是有点神奇,内核怎么监控用户态函数的调用呢?
eBPF示例:x86-64平台上的kprobe
qq_38232169的博客
01-02 1626
讲解 libbpf-bootstrap 中 kprobe 在x86-64平台上的示例代码; 重点讲: BPF_KPROBE 宏展开; 低版本内核,不支持CO-RE,如何重新实现kprobe示例功能;
libbpf-bootstrap开发指南:使用map结构进行参数传递 - minimal_legacy
阿呆的隐秘角落
07-15 1591
做全网最好的libbpf-bootstrap 开发指南
eBPF内存泄露检测代码实现<完整版>
qq_38232169的博客
01-14 1634
1.完整支持用户态内存分配接口的内存泄露检测:malloc, calloc, realloc, mmap, memalign, valloc, pvalloc, aligned_alloc, posix_memalign; 2.支持C++中的new内存泄露检测; 3.实现可执行文件一启动就开始内存泄露检测;
libbpf-bootstrap
08-23
libbpf-bootstrap是一个工具,它提供了一些样例程序和模板,帮助开发者理解如何使用libbpf创建、加载、管理eBPF程序,并与这些程序进行交互。它还提供了集成到构建系统的模板,方便编译和链接eBPF程序。libbpf-bootstrap支持BPF CO-RE(Compile Once - Run Everywhere),这是一种让eBPF程序能够在不同版本的Linux内核上运行的技术。它还展示了如何从用户空间程序发送数据到eBPF程序,并从eBPF程序返回数据到用户空间。此外,libbpf-bootstrap还提供了详细的文档,包括安装指南、样例程序的使用方法以及如何创建自己的eBPF程序等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [libbpf-bootstrap 开发指南:概念与如何安装](https://blog.csdn.net/qq_32378713/article/details/131744499)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ym影子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值