eBPF示例:x86-64平台上的kprobe

最新推荐文章于 2024-03-29 00:37:01 发布
最新推荐文章于 2024-03-29 00:37:01 发布
阅读量887 收藏 20
点赞数 19
分类专栏: eBPF 文章标签: linux arm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38232169/article/details/135351810
版权

eBPF示例:x86-64平台上的kprobe

文章目录

视频讲解

eBPF示例:x86-64平台上的kprobe

回顾

前面2节视频讲了 eBPF基础 和 libbpf-bootstrap基础,这节视频讲下 libbpf-bootstrap中kprobe在x86-64平台上的示例;

重点讲:

  • BPF_KPROBE 宏展开
  • 低版本内核,不支持CO-RE,如何重新实现kprobe示例功能

kprobe作用

可以在几乎所有的函数中 动态 插入探测点,利用注册的回调函数,知道内核函数是否被调用,被调用上下文,入参以及返回值;

kretprobe 是在 kprobe 的基础上实现;

kprobe原理

在这里插入图片描述

  • 如果用户没有注册kprobe探测点,指令流:指令1(instr1) 顺序执行到 指令4(instr4)
  • 如果用户注册一个kprobe探测点到指令2(instr2)指令2被备份,并把指令2的入口点替换为断点指令,断点指令是CPU架构相关,如x86-64是int3,arm是设置一个未定义指令;
  • 当CPU执行到断点指令时,触发一个 trap,在trap流程中,
    • 首先,执行用户注册的 pre_handler 回调函数;
    • 然后,单步执行前面备份的指令2(instr2)
    • 单步执行完成后,执行用户注册的 post_handler 回调函数;
    • 最后,执行流程回到被探测指令之后的正常流程继续执行;

参考:

https://blog.csdn.net/Rong_Toa/article/details/116643875

https://yoc.docs.t-head.cn/linuxbook/Chapter4/tracing.html

https://github.com/eunomia-bpf/bpf-developer-tutorial

libbpf-bootstrap 中的 kprobe 示例

通过示例代码来了解kprobe的使用方法:

libbpf-bootstrap/examples/c/ 目录下的:
kprobe.bpf.c
kprobe.c
  • kprobe.bpf.c 的功能及演示
  • kprobe示例代码的实现逻辑
  • BPF_KPROBE 宏展开
  • 如果不使用CO-RE,要怎么实现原来的功能

kprobe.bpf.c 的功能及演示

删除文件时,就会打印被删除文件的文件名,以及返回值

rm-12056   [002] ....  4188.004100: 0: KPROBE ENTRY pid = 12056, filename = a.txt
rm-12056   [002] d...  4188.004180: 0: KPROBE EXIT: pid = 12056, ret = 0

do_unlinkat 接口定义

// linux-5.4.150/include/linux/syscalls.h
extern long do_unlinkat(int dfd, struct filename *name);

// linux-5.4.150/include/linux/fs.h
struct filename {
	const char		*name;	/* pointer to actual string */
	const __user char	*uptr;	/* original userland pointer */
	int			refcnt;
	struct audit_names	*aname;
	const char		iname[];
};

kprobe示例代码的实现逻辑

在kprobe.bpf.c 中

SEC("kprobe/do_unlinkat")    //在内核的 do_unlinkat 入口处注册一个 kprobe 探测点
SEC("kretprobe/do_unlinkat") //在内核的 do_unlinkat 返回时注册一个 kretprobe 探测点

// 使用 BPF_KPROBE 和 BPF_KRETPROBE 宏来定义探测点的回调函数

kprobe.c 中的 open, load, attach

BPF_KPROBE 宏展开

clang编译器预编译的示例:

clang -E -c test.c -o test.i

clang编译器预编译 kprobe.bpf.c 得到 BPF_KPROBE 宏展开的结果:


# 相当于kprobe原理中用户定义的回调函数
int do_unlinkat(struct pt_regs *ctx);

static inline int ____do_unlinkat(struct pt_regs *ctx, int dfd, struct filename *name); 

int do_unlinkat(struct pt_regs *ctx) 
{
    return ____do_unlinkat(ctx, (void *)((ctx)->di), (void *)((ctx)->si));
} 

static inline int ____do_unlinkat(struct pt_regs *ctx, int dfd, struct filename *name)
{
    pid_t pid;
    const char *filename;

    pid = bpf_get_current_pid_tgid() >> 32;
    filename = ({ 
        typeof((name)->name) __r; 
        ({ 
            bpf_probe_read_kernel((void *)(&__r), sizeof(*(&__r)), (const void *)__builtin_preserve_access_index(&((typeof(((name))))(((name))))->name)); 
        }); 
        __r; 
    });

    ({ 
        static const char ____fmt[] = "KPROBE ENTRY pid = %d, filename = %s\n"; 
        bpf_trace_printk(____fmt, sizeof(____fmt), pid, filename); 
    });
    return 0;
}
  • 不借助 BPF_KPROBE 宏要怎么实现?
  • do_unlinkat 函数名可改吗?
  • 参数一定要定义2个吗?只有1个行不行?都不要行不行?

不借助BPF_KPROBE

SEC("kprobe/do_unlinkat")
int do_unlinkat(struct pt_regs *ctx)
{
	pid_t pid;
	const char *filename;

	struct filename *name = (struct filename *)((ctx)->si);

	pid = bpf_get_current_pid_tgid() >> 32;
	filename = BPF_CORE_READ(name, name);
	bpf_printk("KPROBE ENTRY pid = %d, filename = %s\n", pid, filename);
	return 0;
}

不使用CO-RE功能

如果内核版本过低,不支持CO-RE,要怎么实现?

// libbpf-bootstrap/examples/c/.output/bpf/bpf_helper_defs.h
long (*bpf_probe_read_user)(void *dst, __u32 size, const void *unsafe_ptr);
long (*bpf_probe_read_kernel)(void *dst, __u32 size, const void *unsafe_ptr);
long (*bpf_probe_read_user_str)(void *dst, __u32 size, const void *unsafe_ptr);
long (*bpf_probe_read_kernel_str)(void *dst, __u32 size, const void *unsafe_ptr);

不使用CO-RE功能的代码实现:

// SPDX-License-Identifier: GPL-2.0 OR BSD-3-Clause
/* Copyright (c) 2021 Sartura */
#define __KERNEL__            //参考: bpf_tracing.h 中的定义
#include <linux/bpf.h>        //参考: minimal_legacy.bpf.c
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

//参考: minimal_legacy.bpf.c
typedef unsigned int u32;
typedef int pid_t;

//拷贝: vmlinux/x86/vmlinux.h 中的定义
struct pt_regs {
        long unsigned int r15;
        long unsigned int r14;
        long unsigned int r13;
        long unsigned int r12;
        long unsigned int bp;
        long unsigned int bx;
        long unsigned int r11;
        long unsigned int r10;
        long unsigned int r9;
        long unsigned int r8;
        long unsigned int ax;
        long unsigned int cx;
        long unsigned int dx;
        long unsigned int si;
        long unsigned int di;
        long unsigned int orig_ax;
        long unsigned int ip;
        long unsigned int cs;
        long unsigned int flags;
        long unsigned int sp;
        long unsigned int ss;
};

char LICENSE[] SEC("license") = "Dual BSD/GPL";

SEC("kprobe/do_unlinkat")
int BPF_KPROBE(do_unlinkat, int dfd, void *name)
{
	pid_t pid;
	const char *filename;
	int refcnt;

	pid = bpf_get_current_pid_tgid() >> 32;
	
	bpf_probe_read_kernel(&filename, sizeof(filename), name+0);
	bpf_probe_read_kernel(&refcnt, sizeof(refcnt), name+16);
	
	bpf_printk("KPROBE ENTRY pid = %d, refcnt=%d filename = %s\n", pid, refcnt, filename);
	return 0;
}
张口就问
关注
  • 19
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
eBPF Kprobe,有些事做不到
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-08 1151
记录一段失败的可行性验证方案,历时两天多,探索出eBPF kprobe技术的边界。 要谈eBPF kprobe,那就得从Kprobes聊起。 Kprobes Kprobes内核调试技术,是Linux提供的一种能力。能在内核指令执行过程动态断点,在不影响内核态指令正常运行的过程,收集系统的性能数据。 Kprobes 内核调试技术 原理简单!内核函数方便利用指令向用户态暴露自己的内存地址。 (所有暴露的内核函数地址都在虚拟文件/proc/kallsyms上可找到!这是Kprobes利用的前提条件!) Kpr
论文研究-基于Kprobe的Rootkit检测机制.pdf
09-13
对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统审计工具所得的结果进行交叉视图的比对得到被隐藏对象。在实验阶段选择几种现有流行的Rootkit安装,采用了基于Kprobe的检测方法,通过实验结果表明该机制具有良好的可靠性。
kprobe-examples.tar.gz
12-21
kprobe-examples.tar.gz
kprobes技术介绍+原理,ebpf的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
最新发布
m0_74206992的博客
03-29 1007
kprobes技术介绍+原理,ebpf的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表性C库。 特征 通过聚集内核的连接事件来进行低开销的跟踪。 启用了BPF CO-RE(一次编译–随处运行) 先决条件 编译阶段 libbpf源代码 lang / LLVM> = 9 运行阶段 Linux内核版本> = 5.6(由于对bpf映射的批处理操作) 使用BTF类型信息构建Linux内核。 参见 。 两相共通 libelf和zlib库 go-conntracer-bpf包含Linux内核功能 go-conntracer-bpf利用了Linux内核的一些最新功能。 内核版本4.18的BP
KProbe: an Asus notebook monitor for KDE-开源
07-01
这是一个 KDE 监视器应用程序,用于检查华硕笔记本电脑的状态。
goebpf:库可与GoeBPF程序一起使用
02-03
进入eBPF 使用GoeBPF程序/ perf事件的一种好方法。 要求 转到1.10+ Linux内核4.15+ 支持的eBPF功能 eBPF计划 SocketFilter XDP Kprobe / Kretprobe 表演活动 将来可以添加对其他程序类型/功能的支持。 同时,热烈欢迎您的贡献.. :) 安装 # Main library go get github.com/dropbox/goebpf # Mock version (if needed) go get github.com/dropbox/goebpf/goebpf_mock 快速开始 考虑一个非常简单的读取/加载/附加示例 // In order to be simple this examples does not handle errors bpf := goebpf . NewDefaultEbpfSystem () // Read clang compiled binary bpf . LoadElf ( "test.elf" ) // Load XDP
Linux内核 eBPF基础:kprobe原理源码分析:基本介绍与使用示例
RToax
05-11 5997
Linux内核 eBPF基础 kprobe原理源码分析:基本介绍与使用 荣涛 2021年5月11日
Linux内核 eBPF基础:kprobe原理源码分析:源码分析
RToax
05-12 2112
Linux内核 eBPF基础 kprobe原理源码分析:源码分析 荣涛 2021年5月11日
如何使用ebpf kprobe探测内核函数
c_cppcoder的博客
11-29 1214
使用ebpf kprobe探测内核函数
eBPF程序注入到内核的流程,现在就带你研究(下)
内核工匠
09-01 644
”系列目录1. 疑惑2. vfsstat_bpf__open3. bpf_object__load_skeleton加载bpf4. bpf_object__attach_skeleton附着bpf程序5. 触发bpf程序6 .总结eBPF程序注入到内核的流程,现在就带你研究(上)3. bpf_object__load_skeleton加载bpfvfsstat_bpf__load调用的就是bpf_...
Linux eBPF:bcc 用法和原理初探之 kprobes 注入
RToax
04-11 3111
作者简介:Daemon.Wu, Linux 内核性能优化工程师,就职于某微小手机厂从事手机性能优化。座右铭:知行合一。 原创雄文:由泰晓读者投递的各类社区原创好文。 版权声明:本文最先发表于“泰晓科技” 微信公众号,欢迎转载,转载时请在文章的开头保留本声明。 目录 1. 安装和使用 2. 调用过程分析 2.1 通过bpf()系统调用加载 bpf 程序 2.2 通过perf_event_open系统调用启动 perf 性能分析 2.3 通过 perf_event 的 ioctl ...
eBPF内核实现之TRACING
qq_17045267的博客
07-06 2415
eBPF目前被广泛应用于Linux系统的各个领域,包括网络、安全、性能、调测等。其,内核trace算是eBPF比较早所支持的特性。最早的用于内核trace的eBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于trace的eBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
eBPF Talk: 比 kprobe 更好的 trampoline
u010102162的专栏
11-02 425
trampoline 是内核函数和 eBPF 程序之间的桥梁。
初识 eBPF(功能、原理、及一些应用)
叮当猫的喵i
07-19 3989
一般来说可编程性的支持通常会带来一些新的问题,比如内核模块其实也是为了解决这个问题,但是他没有提供很好的边界,导致内核模块会影响内核本身的稳定性,在不同的内核版本需要做适配等。eBPF通过kprobe,tracepoints跟踪机制兼具内核和用户的跟踪能力,这种端到端的跟踪能力可以快速进行故障诊断,与此同时eBPF支持以更加高效的方式透出profiling的统计数据,而不需要像传统系统需要将大量的采样数据透出,使得持续地实时profiling成为可能。息,所以我们复用了这部分能力。.........
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 4825
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
ebpf 学习梳理和测试使用
黑光技术
03-23 1258
前言周五下午在公司的服务网格月度讨论会上,一位同事为大家分享了在服务网格使用 ebpf 来优化提升服务网格 istio sidecar 和 RS 间的通信效率。听过之后手痒难,想测...
eBPF学习记录(一)eBPF介绍
热门推荐
jianjian的博客
02-18 1万+
一、什么是eBPF eBPF, 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。BPF 提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,这就让非内核开发人员也可以对内核进行控制。随着内核的发展,BPF 逐步从最初的数据包过滤扩展到了网络、内核、安全、跟踪等,而且它的功能特性还在快速发展,这种扩展后的 BPF 被简称为 eBPF
还能更深入的介绍ebpf
06-01
当然可以!除了上面提到的基本原理,eBPF 还有一些重要的特性和机制,下面我将更深入地介绍它们。 1. eBPF Map:eBPF Map 是一种数据结构,它可以在内核空间和用户空间之间共享数据。eBPF Map 可以用于存储统计信息、过滤规则、路由表等数据,而且它们可以被多个 eBPF 程序共享和访问。 2. eBPF Program Type:eBPF 程序有多种类型,包括 Socket Filter、Kprobe、Tracepoint、XDP 等。每种类型的程序都有不同的入口点和上下文环境,从而可以实现不同的功能。 3. eBPF JIT:eBPF JIT(Just-In-Time)是一种动态代码编译技术,它可以将 eBPF 程序编译成本地机器码,从而提高程序执行的速度。eBPF JIT 通常会在 eBPF 程序第一次执行时进行编译,并将编译后的代码缓存起来,以便后续的执行。 4. eBPF Helper Function:eBPF Helper Function 是一组内置的函数,它们可以被 eBPF 程序调用以实现一些常见的操作,例如内存访问、网络 I/O、时间戳等。eBPF Helper Function 由内核提供,而且它们可以在运行时动态地扩展和更新。 总之,eBPF 是一种非常强大和灵活的技术,它可以在内核层面上进行编程,从而实现高效的网络数据包过滤、统计和分析。eBPF 在多个领域都有广泛的应用,例如容器、云计算、安全监控等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值