kprobe功能的代码实现

最新推荐文章于 2023-04-07 22:44:35 发布
最新推荐文章于 2023-04-07 22:44:35 发布
阅读量529 收藏 2
点赞数
分类专栏: 内核调试 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sydyh43/article/details/127026456
版权

1、可以借助/sys/kernel/debug/tracing目录下的文件,linux提供了kprobes功能,抓取内核函数中的入参和返回值。

kprobes,强大的调试工具_sydyh43的博客-CSDN博客

当某些场景不适合用命令行的方式,就需要考虑使用代码的方式实现相应的功能。借助内核kprobe的功能,编译一个内核驱动ko文件。给目标函数执行前后完成打桩,在打桩函数中获取函数的入参值和返回值,从而实现对某个功能的跟踪,如是否打开了某一个文件。

2、其中kprobe打桩功能实现如下。

当系统执行到目标函数时,触发int3异常,完成执行目标函数前pre_handler的调用;然后执行目标函数;当目标函数执行结束最后一刻,触发异常,完成执行目标函数后post_handler的调用。最后恢复正常上下文。

3、具体的代码实现,以open系统函数为例,对应内核态的函数是do_sys_open

#include <linux/init.h>
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>

#define FN_LEN      128

static int entry_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
    int len = 0;
    char kname[FN_LEN] = {0x00};
    char *filename = NULL;

    memset(kname, 0x00, FN_LEN);
#ifdef CONFIG_X86
    filename = (char *)(regs->si);
#endif
    len = strncpy_from_user(kname, filename, FN_LEN);
	if (unlikely(len < 0)) {
		return -1;
	}
    if (strstr(kname, "abcx.log")) {
        printk("pro_name=%s, kname=%s\n", current->comm, kname);
    }

    return 0;
}
 
static int ret_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
	int fd = regs_return_value(regs);
 
    if (!strcmp(current->comm, "t_open")) {
        printk("fd=%d\n", fd);
    }

    return 0;
}

static struct kretprobe krp = {
    .entry_handler	= entry_handler,
	.handler		= ret_handler,
    .maxactive		= 20,
    .kp.symbol_name = "do_sys_open",
};

static int kretprobe_init(void)
{
	int ret;

	ret = register_kretprobe(&krp);
	if (ret < 0) {
		printk("register_kretprobe failed, returned %d\n", ret);

		return -1;
	}

	printk("Planted return probe at %s: %p\n", krp.kp.symbol_name, krp.kp.addr);

    return 0;
}

static void kretprobe_exit(void)
{
	unregister_kretprobe(&krp);

	printk("kretprobe at %p unregistered\n", krp.kp.addr);

    return;
}

module_init(kretprobe_init);
module_exit(kretprobe_exit);
MODULE_LICENSE("GPL");

 3.1、do_sys_open函数的定义如下

long do_sys_open(int dfd, const char __user *filename, int flags, umode_t mode)

3.2、regs->si就是函数的第二个入参,即filename。不同CPU架构,用于函数入参和返回值的寄存器不一样。此处是x86的架构。

3.3、通过do_sys_open函数定义可知,filename的指针地址是一个用户态的地址,此处是内核态空间,因此不能直接访问,需要借助函数strncpy_from_user实现数据的拷贝。

4、把上面的代码编译成驱动ko文件,insmod到内核,就可以实现用户态open函数调用的跟踪。当用户态打开abcx.log,就可以查看到底是哪个进程在对abcx.log文件进行操作。

sydyh43
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
m0_74206992的博客
03-29 1242
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
linux kprobe使用
qq_42931917的博客
02-28 605
kprobe
Linux内核中Kprobes调试技术的实现
liwg06
02-19 354
内核调试技术―Kprobes, Kprobes是一个轻量级的内核调试工具,利用Kprobes技术可以在运行的内核中动态的插入探测点,在探测点处执行用户预定义的操作。本文首先根据Kprobes在Linux内核中的源码实现,针对Linux CPU异常技术,single-step技术,Loadable Kernel Module技术以及RCU同步技术在Kprobes中的应用进行了研究。其次,针对Kprobes目前所支持的kprobe,jprobe,kretprobe等三种调试手段的实现进行了详细的分析研究。
linux内核调试工具之kprobe(二)
10-27 1024
前一章使用kprobe编程,需要编码手动编译。本章使用trace追踪技术,在任何函数上设置动态kprobe(通过kprobe事件)。
kprobe 的 3 种使用
Network/Storage/Linux Kernel
06-17 4999
知识背景:会编写基础内核模块 kprobe用处:用来跟踪、记录、打桩。最常见的使用就是需要打印内核函数的执行流程,比如排查问题时、或者学习内核流程时需要用到。 准备工作:找一份和自己linux系统相同版本的源码(方法自行Google,ubuntu、centos、redhat各自有各自方法) 内核模块跟踪指定函数 官方文档: https://www.kernel.org/doc/Documentation/kprobes.txt 在 内核源码目录samples/kprobes/有几个kprobe模块例子,.
linux内核调试工具之kprobe
10-24 2287
kprobe 可以在系统运行期间,自定义回调函数,动态插入探测点。2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),使用grep检索所需要查询的信息。测试程序打开/home/kprobe.c 测试在kprobe探测能否探测到。在输出信息中可以看到函数的地址、打开的文件名、函数执行的时间40ns等信息。
关于kprobe的几种使用
cybertan的专栏
10-07 7434
1:探测schedule()函数,在探测点执行前后分别输出当前正在运行的进程、所在的CPU以及preempt_count(),当卸载该模块时将输出该模块运行时间以及发生的调度次数 /* kprobe-exam.c */ #include #include #include #include #include #include static struct kp
如何使用ebpf kprobe探测内核函数
c_cppcoder的博客
11-29 1245
使用ebpf kprobe探测内核函数
内核热探测工具--kprobe
C_JLMPC2009的博客
11-01 817
前言 本文为原创,可能会存在一些知识点或理解上的问题,欢迎切磋和交流 ^_^ 1. 为什么要用kprobe调试工具 定位和复现内核挂死问题,如果要分析内核vfs层代码,需要在函数接口中添加一些调试日志,如果只是单纯的使用printk、pr_info或dout这些打印函数来打印相关参数值,需要重编内核,从时间成本、定位根因上考虑,该方法不利于快速定位问题。 Kprobe作为一种内核热补丁...
获取kprobes嗅探的函数参数
kfy2011的专栏
12-16 2468
获取kprobes嗅探的函数参数 疑问: 我已经用kprobes对一个函数进行嗅探,我需要在pre_handler处理函数里获取被嗅探函数的参数值。 被嗅探函数如下: void foobar(int arg, int arg2, int arg3,int arg4, int arg5, int arg6, int arg7, int arg8) {     printk("foobar
【调试】kprobes(二)使用方法
最新发布
嵌入式与Linux那些事的博客
04-07 3303
上一节介绍了kprobe的基本概念,下面我们将使用几个具体的例子,看下kprobe在实际使用中有那些应用场景。ARM32,ARM64,X86寄存器及访问方式。
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
kprobe原理与实现笔记
weixin_34224941的博客
03-25 559
很久以前挖的坑, 现在还没填上, 也许以后再详细分析吧. kprobe是内核提供的代码跟踪工具, 其使用方法见Documentation/kprobes.txt, 此处做个简要说明. kprobe允许你在任何内核程序位置动态打断并收集调试信息. 你可以在几乎热河内核代码地址陷入中断, 指定断点触发时的处理程序. 当前有三类探测方式: kprobes, jprobes与kretprobes(也叫r...
kprobe(一)
程序猿Ricky的日常干货
05-04 1345
Kprobe config CONFIG_KPROBES=y CONFIG_KALLSYMS=y or CONFIG_KALLSYMS_ALL=y Kprobe struct struct kprobe { struct hlist_node hlist; /* list of kprobes for multi-handler support */ ...
内核调测工具kprobe之实践篇
Peter的专栏
02-08 2040
【推荐阅读】深入探究Linux Kprobe机制eBPF在android上的使用这才是kprobe工作的本质Kprobe介绍debug内核函数变量的时候最常用的是添加log,用printk...
内核态调测工具(一) kprobe
cui841923894的博客
08-23 2109
Kprobe介绍 Kprobe是一种内核调测手段,它可以动态地跟踪内核的行为、收集debug信息和性能信息。可以跟踪内核几乎所有的代码地址(almost:不允许跟踪的名单blacklist在/sys/kernel/debug/kprobes/blacklist),并且当断点被击中后会响应处理函数。 Kprobe有三个子功能Kprobes:几乎可以插入内核的任何指令; Jprobes:可...
kprobes,强大的调试工具
sydyh43的博客
12-31 518
1、问题:如何查看某一时间段打开了哪些文件 2、针对上面问题,打开文件都会走open接口,如下 open.c - fs/open.c - Linux source code (v5.15.12) - Bootlin 其中,do_sys_open函数的第二个参数就是打开的文件路径名,因此只需要抓取do_sys_open的第二个参数值即可。不同的处理器,入参对应的寄存器也不一样。 其中X86-64处理器 其中ARM-32处理器 3、本文以X86-64为例,因此需要捕捉寄存器%rsi即可 4
Linux内核模块分析(module_init宏)
人人都懂物联网
05-17 1万+
我们在学习Linux驱动开发时,首先需要了解Linux的模块化机制(module),但是module并不仅仅用于支撑驱动的加载和卸载。一个最简单的模块例子如下:// filename: HelloWorld.c#include <linux/module.h> #include <linux/init.h>static int hello_init(void) { printk(KERN_A
内核调试之kprobe
苟浩的博客
03-22 1623
trace-kprobe 简介 在调试内核的时候要跟踪函数有没有执行或者返回值等等,kprobe可以实现这些,用代码写的kprobe模块还可以修改返回值。这篇主要介绍kprobe在trace下的使用。 本文以 do_filp_open 函数为例,来看一下kprobe在trace里的基本使用,do_filp_open代码如下: struct file *do_filp_open(int dfd, struct filename *pathname, const struct open_flags *op)
深入探索:kprobe内核调试技术分析
kprobe的核心功能在于能够在运行时动态插入探针,当执行流到达预设的探测点时,会触发预先定义的处理函数。这使得开发者可以观察到内核内部的活动,如函数调用、数据结构的变化等,对于理解复杂系统行为或调试内核...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值