eBPF内存泄露检测-arm64

最新推荐文章于 2024-04-18 17:08:31 发布
最新推荐文章于 2024-04-18 17:08:31 发布
阅读量921 收藏 8
点赞数 18
分类专栏: eBPF 文章标签: linux arm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38232169/article/details/135875229
版权

eBPF内存泄露检测-arm64

文章目录

视频讲解:

eBPF内存泄露检测-arm64

目标

把之前在x86-64平台上实现的内存泄露检测工具移植到 arm64 平台;

为什么不移植到 arm32 平台?

因为内存泄露检测工具中使用了blazesym开源代码来解析堆栈指令地址的符号名,文件名,行号;但是blazesym开源代码目前不支持 32bit 系统,非常遗憾;

不过也有解决办法,可以参考 bpf-developer-tutorial: https://github.com/eunomia-bpf/bpf-developer-tutorial 的早期版本中 memleak 的代码实现;我就不详细讲了;

arm64 平台

在 ubuntu18.04 上用 qemu 模拟 arm64 平台

Linux (none) 4.19.304 #2 SMP PREEMPT Sun Jan 14 11:23:36 CST 2024 aarch64 GNU/Linux

网上有很多 qemu 模拟 arm64 平台的教程,我就不详细讲了;

需要交叉编译的库

  • libz - - libbpf-bootstrap 需要使用
  • libelf - - libbpf-bootstrap 需要使用
  • blazesym - - 内存泄露检测工具解析堆栈指令地址时使用

安装交叉编译工具链

arm64 交叉编译工具链下载链接:

https://developer.arm.com/tools-and-software/open-source-software/developer-tools/gnu-toolchain/gnu-a/downloads

# 选择:
x86_64 Linux hosted cross compilers
AArch64 GNU/Linux target (aarch64-none-linux-gnu)

下载后,解压,再 export 出来即可:

# 导出交叉编译工具链
export ARCH=arm64
export CROSS_COMPILE=aarch64-none-linux-gnu-
export PATH=$PATH:/home/zhanglong/Desktop/toolchain/arm64

交叉编译 libz

zlib源码下载链接:http://www.zlib.net/

tar -axf zlib-1.3.tar.gz
cd zlib-1.3
export PATH=$PATH:/home/zhanglong/Desktop/toolchain/arm64
export CC=aarch64-none-linux-gnu-gcc
./configure --prefix=$PWD/_install
make
make install
# 当前目录下的_install,就是编译出来的头文件和lib库
# /home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/zlib-1.3/_install

交叉编译 libelf

elfutils源码下载链接:https://sourceware.org/elfutils/

tar -axf elfutils-latest.tar.bz2
cd elfutils-0.189
# 参考当前目录下的 INSTALL 文档 和 网上资料
# libelf 使用了之前交叉编译好的 zlib 库,
# 需要 CFLAGS 指定 zlib 库的头文件 和 LDFLAGS 指定 zlib 库路径
./configure --prefix=$PWD/_install --build=x86_64-linux-gnu \
	--host=aarch64-none-linux-gnu \
    CC=aarch64-none-linux-gnu-gcc CXX=aarch64-none-linux-gnu-g++ \
    CFLAGS=-I/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/zlib-1.3/_install/include \
    LDFLAGS=-L/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/zlib-1.3/_install/lib \
    LIBS=-lz \
    --disable-nls --disable-rpath --disable-libdebuginfod --disable-debuginfod \
    --with-zlib
make
make install

# 当前目录下的_install,就是编译出来的头文件和lib库
# /home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/elfutils-0.189/_install

交叉编译 blazesym

在之前的视频中讲过 blazesym 依赖的 rust 语言编译环境的安装,就不再重复讲了;

source ~/.cargo/env

# 安装 rust 的交叉编译工具链
rustup target add aarch64-unknown-linux-gnu
# 查看安装好的交叉编译工具链
rustup show

cd libbpf-bootstrap/blazesym/
cd .cargo
mv config config.bak # 不要使用原来的配置文件

touch config.toml
##############################################################
# config.toml 的文件内容
[build]
target = "aarch64-unknown-linux-gnu"

[target.aarch64-unknown-linux-gnu]
linker = "aarch64-none-linux-gnu-gcc"
##############################################################
cd ../
cargo build --release

交叉编译 memleak

如果系统自带的 clang 编译器版本过低,

编译之前需要先修改: libbpf-bootstrap/examples/c/Makefile 文件,指定 clang 编译器:

CLANG ?= clang
# 改为:
CLANG ?= /your-clang-version/clang  # your-clang-version 指的是自己下载的clang版本
# /home/zhanglong/Desktop/clang-16/clang

交叉编译命令:

# export 交叉编译工具链的路径
export PATH=$PATH:/home/zhanglong/Desktop/toolchain/arm64

make ARCH=arm64 CROSS_COMPILE=aarch64-none-linux-gnu- \
	EXTRA_CFLAGS="-I/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/zlib-1.3/_install/include -I/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/elfutils-0.189/_install/include" \
	EXTRA_LDFLAGS="-L/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/zlib-1.3/_install/lib -L/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/elfutils-0.189/_install/lib" \
	memleak V=1

为了编译方便,可以写一个shell脚本配置编译环境:

build_env.sh

#!/bin/sh
export PATH=$PATH:/home/zhanglong/Desktop/toolchain/arm64
export ARCH=arm64
export CROSS_COMPILE=aarch64-none-linux-gnu-

# 用 EXTRA_CFLAGS 指定 zlib 和 libelf 库的头文件路径
export EXTRA_CFLAGS="-I/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/zlib-1.3/_install/include -I/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/elfutils-0.189/_install/include"

# 用 EXTRA_LDFLAGS 指定 zlib 和 libelf 的库路径
export EXTRA_LDFLAGS="-L/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/zlib-1.3/_install/lib -L/home/zhanglong/Desktop/ebpf/note/src/arm64/extra_libs/elfutils-0.189/_install/lib"

交叉编译时先执行一次: source build_env.sh

之后就可以简单执行:make clean; make memleak

拷贝x86-64平台上实现的内存泄露检测工具代码

因为这次 arm64 使用的内核版本是 4.19.304,还不支持 BTF,

所以memleak.bpf.c不能直接包含 #include "vmlinux.h",需要手动定义如下的数据类型才能编译通过,

下面的数据类型定义都是从 libbpf-bootstrap/vmlinux/arm64/vmlinux.h 文件中拷贝过来,并简单修改;

#define BPF_NO_GLOBAL_DATA
#include <linux/bpf.h>

typedef __u32 u32;
typedef __u64 u64;
typedef int pid_t;
typedef long unsigned int size_t;

struct user_pt_regs {
    __u64 regs[31];
    __u64 sp;
    __u64 pc;
    __u64 pstate;
};

struct pt_regs {
    union {
        struct user_pt_regs user_regs;
        struct {
            __u64 regs[31];
            __u64 sp;
            __u64 pc;
            __u64 pstate;
        };
    };
    __u64 orig_x0;
    __s32 syscallno;
    __u32 unused2;
    __u64 sdei_ttbr1;
    __u64 pmr_save;
    __u64 stackframe[2];
    __u64 lockdep_hardirqs;
    __u64 exit_rcu;
};

修改:libbpf-bootstrap/examples/c/Makefile

# BZS_APPS 加上 memleak 编译目标
BZS_APPS := profile memleak
###################################################################################
$(LIBBLAZESYM_SRC)/target/release/libblazesym.a::
	$(Q)cd $(LIBBLAZESYM_SRC) && $(CARGO) build --release

$(LIBBLAZESYM_OBJ): $(LIBBLAZESYM_SRC)/target/release/libblazesym.a | $(OUTPUT)
	$(call msg,LIB, $@)
	$(Q)cp $(LIBBLAZESYM_SRC)/target/release/libblazesym.a $@

###### 改为:
$(LIBBLAZESYM_SRC)/target/aarch64-unknown-linux-gnu/release/libblazesym.a::
	$(Q)cd $(LIBBLAZESYM_SRC) && $(CARGO) build --release

$(LIBBLAZESYM_OBJ): $(LIBBLAZESYM_SRC)/target/aarch64-unknown-linux-gnu/release/libblazesym.a | $(OUTPUT)
	$(call msg,LIB, $@)
	$(Q)cp $(LIBBLAZESYM_SRC)/target/aarch64-unknown-linux-gnu/release/libblazesym.a $@

内核需要打开ebpf相关的配置选项

ebpf 内核配置选项 (linux-4.19.304):

General setup  --->
	[*] Enable bpf() system call
	[*]   Permanently enable BPF JIT and remove BPF interpreter

General architecture-dependent options  --->
	[*] Kprobes

Kernel hacking  --->
	[*] Tracers  --->
		[*]   Enable kprobes-based dynamic events (NEW)
		[*]   Enable uprobes-based dynamic events (NEW)
张口就问
关注
专栏目录
linux内核源码包_使用eBPF过滤Linux内核中的数据包的简介
cumj63710的博客
06-27 628
linux 安装内核 包 1992年,Lawrence Berkeley实验室的Steven McCanne和Van Jacobson提出了一种BSD Unix系统的解决方案,该解决方案通过实现称为Berkeley Packet Filter(BPF)的内核内数据包过滤器,将对用户空间的有害网络数据包副本最小化。 1997年,它在Linux内核版本2.1.75中引入。 BPF的目的是尽早过滤...
Kylin-Desktop-V10-GFB-Release-020-ARM64-cmake 安装包
12-30
Kylin-Desktop-V10-GFB-Release-020-ARM64—cmake 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—cmake 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—cmake 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM...
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(1)
phmatthaus的专栏
03-08 303
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(1)
arm环境内存泄漏检测工具valgrind
03-27
arm环境内存泄漏检测工具valgrind,用于检测arm环境下的内存泄漏
BPF示例在64位ARM上的调试
yeholmes的专栏
10-24 3804
eBPF调试工具 eBPF作为Linux内核中调试功能强大的子系统,相应的应用层调试工具有很多,例如bpftool/bpftrace,以及提供了Lua和Python调试接口的bcc;内核信息收集、性能分析的开源工具SystemTap也用到了内核的eBPF功能。不过笔者希望在嵌入式设备上使用eBPF提供的调试功能,一种方法是使用开源的SDK(例如yocto,笔者未尝试过)自动化构建这些调试工具(否则就需要手动交叉编译);另一种方法是将某个支持arm64架构的Linux发行版(例如运行debian系统的树莓派)
eBPF新手入门,安装 eunomia-bpf 开发工具,跑libbbpf-bootstrap下的示例代码初步学习
最新发布
qq_46274911的博客
04-18 1472
eBPF入门,安装 eunomia-bpf 开发工具,跑libbbpf-bootstrap下的示例代码初步学习
apk文件 kodi-17.6-Krypton-arm64-v8a(电视直播视频)
06-24
apk文件 kodi-17.6-Krypton-arm64-v8a(电视直播视频)apk文件 kodi-17.6-Krypton-arm64-v8a(电视直播视频)apk文件 kodi-17.6-Krypton-arm64-v8a(电视直播视频)apk文件 kodi-17.6-Krypton-arm64-v8a(电视直播...
Kylin-Desktop-V10-GFB-Release-020-ARM64-g++ 安装包
12-30
Kylin-Desktop-V10-GFB-Release-020-ARM64—g++ 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—g++ 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—g++ 安装包 Kylin-Desktop-V10-GFB-Release-020-ARM64—g++...
Kylin-Desktop-V10-SP1-Release-2107-arm64.iso arm麒麟安装包
12-24
arm国产操作系统 Kylin 一个相对稳定的版本 有需要的自取
JDK17-Linux-Arm64
08-05
JDK17-Linux-Arm64 是针对基于Linux操作系统的Arm64架构的Java Development Kit(JDK)版本17的发行版。JDK是Java编程语言的核心工具集,它提供了编译、调试和运行Java应用程序所需的所有组件。在Linux Arm64平台上...
eBPFarm平台上的uprobe
qq_38232169的博客
01-05 1220
讲解 arm 32 平台,libbpf-bootstrap 框架上的 uprobe 使用方法;
libbpf-bootstrap Makefile阅读
qq_45675153的博客
09-02 623
此Makefile可以看做使用libbpf构建C项目的指南,也可帮助理解libbpf的工作方式Linux内核入门及WSL2上的重编译笔记_postKamous的博客-CSDN博客重新编译内核主要是为了使用libbpf,日后也可以再使用rust::redbpf。
【译】eBPF 概述:第 4 部分:在嵌入式系统运行
dwh0403的专栏
09-29 846
本系列导航: eBPF 概述:第 1 部分:介绍 eBPF 概述:第 2 部分:机器和字节码 eBPF 概述:第 3 部分:软件开发生态 eBPF概述:第 4 部分:在嵌入式系统运行S eBPF概述:第 5 部分:追踪用户进程 原文地址:https://www.collabora.com/news-and-blog/blog/2019/05/06/an-ebpf-overview-part-4-working-with-embedded-systems/ 首发地址:https://ebpf.top/p
一文教你如何使用 eBPF 检测分析用户态程序
youzhangjing_的博客
11-05 1160
eBPF 彻底改变了 Linux 内核中的可观察性。在我之前的系列文章中,我介绍了eBPF 生态系统的基本构建模块,简要介绍了XDP,并展示了它与 eBPF 基础设施如何密切合作,以便在网络堆栈中引入一个快速处理的数据路径。然而,eBPF 并不只是用在内核空间跟踪。如果我们可以在生产环境中运行的应用程序上也能享受 eBPF 驱动的跟踪的,这是不是很好呢?这就是uprobes发挥作用的地方。可以将它们看作是一种kprobes,它加载到了用户空间跟踪点而不是内核符号。
基于eBPF检测非法调试行为
李老板的移动安全杂货铺
12-02 609
2. 编写eBPF程序:使用C语言编写eBPF程序,该程序将在内核中执行。以上示例代码仅展示了如何在eBPF程序中检测TCP目标端口是否为1234,真正的非法调试检测逻辑和ARM调试寄存器的监测需要根据具体需求进行自定义。同时,编写适用于ARM架构的eBPF程序需要根据ARM的体系结构进行适配和调整。3. 构建和加载内核模块:将eBPF程序编译为字节码,并构建一个内核模块,用于加载和运行eBPF程序。5. 测试和调试:在加载内核模块后,进行相应的测试和调试,确保eBPF程序能够正确地监测ARM调试寄存器。
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(2)
phmatthaus的专栏
03-08 131
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(2)
内存泄漏检测相关内容
cs的专栏
06-05 108
通过拦截 malloc,free函数,然后以宏定义的方式,改造malloc, free: malloc的时候根据指针地址写一个文件,free的时候根据指针地址删除这个文件。最后根据留下的文件就可以知道哪个new没有释放内存了。_malloc__FILE____LINE___free__FILE____LINE__方法1的弊端是,最好是用在一个.c文件中,如果文件较多的话就不太适用。
交叉编译笔记
BGK112358的专栏
01-07 2414
常常需要交叉编译一些linux系统工具,如下使用elfutils和ltrace举两个例子 ltrace依赖elfutils,所以先编译elfutils elftuils的makefile配置文件是configure,在不同的交叉编译工具和环境下需要采用不同的configure参数 情况1:iMX6的交叉编译 iMX6已经有做好的环境environment-setup-cortexa9hf-...
kylin-arm64
07-28
Kylin-arm64是一个针对ARM64架构的操作系统,它是中国自主研发的开源操作系统项目。kylin-arm64是基于Kylin操作系统的ARM64版本,旨在为ARM64架构的设备提供稳定、安全和高效的操作系统。 kylin-arm64的开发目标是能够在ARM64架构的硬件平台上运行,并支持多种不同类型的应用程序。它可以应用于手机、平板电脑、物联网设备以及服务器等领域。 kylin-arm64具有以下特点: 1. 高性能:kylin-arm64经过优化,能够充分利用ARM64架构的优势,提供高性能的计算能力和响应速度。 2. 安全性:kylin-arm64采用多种安全措施,包括安全启动、权限控制等,保证用户数据的安全和隐私的保护。 3. 稳定性:kylin-arm64经过严格的测试和验证,能够保持系统的稳定运行,减少崩溃和错误的发生。 4. 兼容性:kylin-arm64兼容ARM64架构的硬件设备,并支持多种应用程序和软件库。它可以运行基于Android的应用程序,同时还支持Linux上常用的开发工具和框架。 5. 可定制性:kylin-arm64的设计允许用户根据自己的需求进行定制和扩展。用户可以根据自己的应用场景,选择不同的功能模块和驱动程序。 总之,kylin-arm64是一个全面支持ARM64架构的功能强大的操作系统,它为ARM64设备提供了稳定、安全和高效的运行环境。该操作系统具有高性能、安全性、稳定性、兼容性和可定制性等优势,适用于多种应用场景和领域。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值