kretprobe kretprobe_instance私有数据区

最新推荐文章于 2024-04-28 06:16:36 发布
最新推荐文章于 2024-04-28 06:16:36 发布
阅读量872 收藏 19
点赞数 21
分类专栏: Linux 内核 文章标签: linux kretprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/136486987
版权
本文解析了Linux内核中的kretprobe机制,涉及entry_handler和ret_handler的调用过程,kretprobe_instance结构的使用,以及register_kretprobe函数中内存分配策略。特别关注了多个进程共享data内存的情况和内存管理细节。
摘要由CSDN通过智能技术生成

entry_handler

static int entry_handler(struct kretprobe_instance *ri, struct pt_regs *regs)

ret_handler

static int ret_handler(struct kretprobe_instance *ri, struct pt_regs *regs)

其中结构体kretprobe_instance可以用来在entry_handler和ret_handler之间传递参数。

struct kretprobe_instance {
	struct hlist_node hlist;
	struct kretprobe *rp;
	kprobe_opcode_t *ret_addr;
	struct task_struct *task;
	char data[0];
};

char data[0]的大小是在register_kretprobe时根据设定的data_size来设定。

register_kretprobe() returns 0 on success, or a negative errno otherwise.
User’s return-probe handler (rp->handler)::
#include <linux/kprobes.h>
#include <linux/ptrace.h>
int kretprobe_handler(struct kretprobe_instance *ri,
struct pt_regs *regs);
regs is as described for kprobe.pre_handler. ri points to the
kretprobe_instance object, of which the following fields may be
of interest:

  • ret_addr: the return address
  • rp: points to the corresponding kretprobe object
  • task: points to the corresponding task struct
  • data: points to per return-instance(实例) private data; see “Kretprobe entry-handler” for details.
    The regs_return_value(regs) macro provides a simple abstraction to extract the return value from the appropriate register as defined by
    the architecture’s ABI.

看完下边这段解释就会明白data的作用以及如何使用。

Multiple entry and return handler invocations are matched using the unique
kretprobe_instance object associated with them. Additionally, a user
may also specify per return-instance private data to be part of each
kretprobe_instance object. This is especially useful when sharing private
data between corresponding user entry and return handlers. The size of each
private data object can be specified at kretprobe registration time by
setting the data_size field of the kretprobe struct. This data can be
accessed through the data field of each kretprobe_instance object.

char data[0]的size由结构体struct kretprobe的成员data_size来初始化。

/*
 * Function-return probe -
 * Note:
 * User needs to provide a handler function, and initialize maxactive.
 * maxactive - The maximum number of instances of the probed function that
 * can be active concurrently.
 * nmissed - tracks the number of times the probed function's return was
 * ignored, due to maxactive being too low.
 *
 */
struct kretprobe {
	struct kprobe kp;
	kretprobe_handler_t handler;
	kretprobe_handler_t entry_handler;
	int maxactive;	// 可以同时活动的被探测函数的最大实例数。
	int nmissed;
	size_t data_size;
	struct hlist_head free_instances;
	raw_spinlock_t lock;
};

是不是同一个进程公用一个kretprobe_instance结构体?

comm df private addr = 0xffff88867513b570
comm df private addr = 0xffff88867513b2b0
comm ls private addr = 0xffff88867513b570

答:从打印的信息来看并不是,多个进程会访问同一段内存。

为什么存在多个进程共用data内存的场景?

不同的进程ri->data也会指向同一个地址?从内核代码出发,看看在注册kretprobe的时候是怎么分配内存的?

int register_kretprobe(struct kretprobe *rp)
{
	/*****/
	INIT_HLIST_HEAD(&rp->free_instances);
    // 根据设定的最大实例数来分配data_size内存,且内存没有进行置零操作。
	for (i = 0; i < rp->maxactive; i++) {
		inst = kmalloc(sizeof(struct kretprobe_instance) +
			       rp->data_size, GFP_KERNEL);
		if (inst == NULL) {
			free_rp_inst(rp);
			return -ENOMEM;
		}
		INIT_HLIST_NODE(&inst->hlist);
		hlist_add_head(&inst->hlist, &rp->free_instances);
	}

	rp->nmissed = 0;
	/* Establish function entry probe point */
	ret = register_kprobe(&rp->kp);
	if (ret != 0)
		free_rp_inst(rp);
	return ret;
}
EXPORT_SYMBOL_GPL(register_kretprobe);

从上述内存申请的逻辑来看,被跟踪的实例是存在限制的,在注册kretprobe时可以根据实际情况进行调整。

这段初始化申请的内存是所有kretprobe实例共用的,也就是说是轮转使用的,所以在ret_handler使用完这段内存之后,需要将私有数据区的相关字段set为0。

Documentation/kprobes.txt

Configure-Handler
关注
  • 21
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核态调测工具(一) kprobe
cui841923894的博客
08-23 2109
Kprobe介绍 Kprobe是一种内核调测手段,它可以动态地跟踪内核的行为、收集debug信息和性能信息。可以跟踪内核几乎所有的代码地址(almost:不允许跟踪的名单blacklist在/sys/kernel/debug/kprobes/blacklist),并且当断点被击中后会响应处理函数。 Kprobe有三个子功能: Kprobes:几乎可以插入内核的任何指令; Jprobes:可...
static_hrnet18_ocr48_rsbuilding_instance
03-19
在压缩包“static_hrnet18_ocr48_rsbuilding_instance”中,很可能包含了训练好的HRNet18s_OCR48模型权重、预处理和后处理代码、以及相关的数据集或示例图像。用户可以利用这些资源,快速部署模型到自己的遥感图像...
Linux内核调试技术——kretprobe使用与实现
My Linux Journey
02-02 8394
前两篇博文介绍了kprobes探测技术中kprobe和jprobe的使用与实现。本文介绍kprobes中的最后一种探测技术kretprobe,它同样基于kprobe实现,可用于探测函数的返回值以及计算函数执行的耗时。本文首先通过一个简单的示例程序介绍kretprobe的使用方式,然后通过源码分析它是如何实现的。
Linux 下的一个全新的性能测量和调式诊断工具 Systemtap,第 1 部分: kprobe
hnllei的专栏
04-28 1354
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1/index.html kprobe 的原理、编程接口、局限性和使用注意事项 杨 燚 (yang.y.yi@gmail.com), 计算机科学硕士, Intel 简介: 本系列文章详细地介绍了一个Linux下的全新的调式、诊断和性能测量工具Systemtap和它所依
kretprobes
jason的笔记
07-06 856
kretprobes 主要用于在函数返回时调用处理函数,主要用于调试函数的返回值,也可以用于计算函数运行占用的时间。 例如下例就是通过kretprobes来计算调用_do_fork 占用的时间 static char func_name[NAME_MAX] = "_do_fork"; module_param_string(func, func_name, NAME_MAX, S_IRU
Linux kretprobe使用和原理
小立仔
07-28 2038
Linux kretprobe的简单使用和原理
Linux内核数据学习总结
kyokusanagl的专栏
01-31 2642
目录 1. 进程相关数据结构 1) struct task_struct 2) struct cred 3) struct pid_link 4) struct pid 5) struct signal_struct 6) struct rlimit 2. 内核中的队列/链表对象 1) singly-linked lists
Linux kprobe原理
最新发布
m0_v648374的博客
04-28 608
系统遇到debug异常时,执行do_debug函数,然后执行通知链上的回调函数kprobe_exceptions_notify,对于debug 指令就是post_kprobe_handler函数,然后执行用户态的回调函数post_handler。小结:kprobe原理类似与GDB中断点调试和单步调试:对于x86平台涉及到cpu的两个异常机制指令就是:断点异常 int3 指令,debug 中的单步异常 int1 指令。
Linux kprobe原理(1)
m0_v648374的博客
04-28 938
enum {//当 CPU 遇到断点指令时,会发生陷阱,保存 CPU 的寄存器,并通过 notifier_call_chain 机制将控制权传递给 Kprobes。goto exit;return 1;if (!
RPL_simple_instance.rar_ RPL_contiki RPL_rpl_rpl instance_rpl_in
09-14
在“RPL_contiki RPL_rpl instance_rpl_in”中,我们可能看到如何创建和管理这些实例。 5. **RPL模式**:RPL有向上和向下两种模式。向上模式用于节点向DODAG根发送DIO消息,而向下模式则用于节点接收来自其父节点的...
s3c_mfc_instance.rar_FIMV_samsung mfc
09-24
5. **队列管理**:为了确保数据流的顺畅,可能会有输入和输出缓冲队列的管理代码,用于存放待处理的视频帧或编码后的结果。 6. **同步机制**:为了防止数据竞争和死锁,文件中可能会包含互斥锁、信号量等同步原语...
aws_instance_launcher
04-17
aws_instance_Launcher 该角色创建一个AWS实例,并在创建之后自动将AWS ec2实例作为组名grp_name以及组连续IP地址,ansible_user,ansible_key_file和ansible_connection的每个条目写入清单文件。 这一切都很快完成...
test_instance
03-04
在IT行业中,Shell是一种至关重要...这可能包括了系统配置、数据处理、自动化任务调度等多方面内容。由于没有具体脚本,以上只是基于一般情况的分析。如果需要进一步解析,请提供"test_instance-main"脚本的详细内容。
Linux 编译debug内核
qq_42931917的博客
12-28 7480
0x01:下载内核源码 a.官方网站: https://www.kernel.org/ b.ftp服务器下载: http://ftp.sjtu.edu.cn/sites/ftp.kernel.org/pub/linux/kernel/ 下载内核源码版本:5.3.1 0x02:编译带调试信息内核做 解压内核代码,我这里下载linux 内核压缩包为linux-5.3.1.tar.gz,解压方式tar -zxvf linux-5.3.1.tar.gz make menuconfig -> kernel d
Linux x86架构内核Hook实现
qq_42931917的博客
12-27 5192
Linux x86架构内核Hook实现 一、内核函数 text_poke()函数用于在内核动态替换opcode,从而达到Inline Hook的效果。 /** * text_poke - Update instructions on a live kernel * @addr: address to modify * @opcode: source of the copy * @len: length to copy * * Only atomic text poke/set should be
linux ext4文件系统为什么目录大小是4k?
qq_42931917的博客
10-18 4143
Why does every directory have a size 4096 bytes (4 K)?](https://askubuntu.com/questions/186813/why-does-every-directory-have-a-size-4096-bytes-4-k) To understand this, you’d better have some basic knowledge of the following (file system): inode (contains
einj 注入内存ue/ce故障
qq_42931917的博客
11-29 3203
einj 注入内存ue/ce故障
Linux 中的进程与线程(一)
qq_42931917的博客
11-04 2588
在中断服务程序、内核软中断服务程序以及其他设备驱动程序的设计中,注意不能让这些函数嵌套太深,不宜使用太多、太大的局部变量,入以下例子; int function() { char buf [1024]; //buf为局部变量,在堆栈中消耗了1KB ............... } 进程task_struct结构以及系统空间堆栈的特殊安排,决定了内核中的一些宏定义; #define THREAD_SIZE (2*PAGE_SIZE) //2的1次方个PAGE_SIZE #define alloc.
DUPM_Instance数据
05-11
DUMPS_Instance是一个开源的数据集,其中包含了来自各种不同的开源软件项目的代码示例,用于支持代码复现和软件工程研究。该数据集包含了来自GitHub上5000个活跃的开源软件项目的代码示例,这些代码示例经过了过滤和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值