kprobe功能的代码实现

最新推荐文章于 2023-04-07 22:44:35 发布
最新推荐文章于 2023-04-07 22:44:35 发布
阅读量521 收藏 2
点赞数
分类专栏: 内核调试 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sydyh43/article/details/127026456
版权

1、可以借助/sys/kernel/debug/tracing目录下的文件,linux提供了kprobes功能,抓取内核函数中的入参和返回值。

kprobes,强大的调试工具_sydyh43的博客-CSDN博客

当某些场景不适合用命令行的方式,就需要考虑使用代码的方式实现相应的功能。借助内核kprobe的功能,编译一个内核驱动ko文件。给目标函数执行前后完成打桩,在打桩函数中获取函数的入参值和返回值,从而实现对某个功能的跟踪,如是否打开了某一个文件。

2、其中kprobe打桩功能实现如下。

当系统执行到目标函数时,触发int3异常,完成执行目标函数前pre_handler的调用;然后执行目标函数;当目标函数执行结束最后一刻,触发异常,完成执行目标函数后post_handler的调用。最后恢复正常上下文。

3、具体的代码实现,以open系统函数为例,对应内核态的函数是do_sys_open

#include <linux/init.h>
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>

#define FN_LEN      128

static int entry_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
    int len = 0;
    char kname[FN_LEN] = {0x00};
    char *filename = NULL;

    memset(kname, 0x00, FN_LEN);
#ifdef CONFIG_X86
    filename = (char *)(regs->si);
#endif
    len = strncpy_from_user(kname, filename, FN_LEN);
	if (unlikely(len < 0)) {
		return -1;
	}
    if (strstr(kname, "abcx.log")) {
        printk("pro_name=%s, kname=%s\n", current->comm, kname);
    }

    return 0;
}
 
static int ret_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
	int fd = regs_return_value(regs);
 
    if (!strcmp(current->comm, "t_open")) {
        printk("fd=%d\n", fd);
    }

    return 0;
}

static struct kretprobe krp = {
    .entry_handler	= entry_handler,
	.handler		= ret_handler,
    .maxactive		= 20,
    .kp.symbol_name = "do_sys_open",
};

static int kretprobe_init(void)
{
	int ret;

	ret = register_kretprobe(&krp);
	if (ret < 0) {
		printk("register_kretprobe failed, returned %d\n", ret);

		return -1;
	}

	printk("Planted return probe at %s: %p\n", krp.kp.symbol_name, krp.kp.addr);

    return 0;
}

static void kretprobe_exit(void)
{
	unregister_kretprobe(&krp);

	printk("kretprobe at %p unregistered\n", krp.kp.addr);

    return;
}

module_init(kretprobe_init);
module_exit(kretprobe_exit);
MODULE_LICENSE("GPL");

 3.1、do_sys_open函数的定义如下

long do_sys_open(int dfd, const char __user *filename, int flags, umode_t mode)

3.2、regs->si就是函数的第二个入参,即filename。不同CPU架构,用于函数入参和返回值的寄存器不一样。此处是x86的架构。

3.3、通过do_sys_open函数定义可知,filename的指针地址是一个用户态的地址,此处是内核态空间,因此不能直接访问,需要借助函数strncpy_from_user实现数据的拷贝。

4、把上面的代码编译成驱动ko文件,insmod到内核,就可以实现用户态open函数调用的跟踪。当用户态打开abcx.log,就可以查看到底是哪个进程在对abcx.log文件进行操作。

sydyh43
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内核态调测工具(一) kprobe
cui841923894的博客
08-23 2108
Kprobe介绍 Kprobe是一种内核调测手段,它可以动态地跟踪内核的行为、收集debug信息和性能信息。可以跟踪内核几乎所有的代码地址(almost:不允许跟踪的名单blacklist在/sys/kernel/debug/kprobes/blacklist),并且当断点被击中后会响应处理函数。 Kprobe有三个子功能Kprobes:几乎可以插入内核的任何指令; Jprobes:可...
kprobe_jprobe
01-22
kprobe基于内核的`__kprobes`子系统实现,其工作原理是将探测点注册为中断处理程序,当执行流经过探测点时,会触发预先设定的回调函数。 使用kprobe的基本步骤包括: 1. **选择探测点**:确定需要插入探测点的内核...
linux 从入参获取函数名字,linux – 使用kprobes获取函数参数
weixin_31046701的博客
05-04 225
我已经在函数上放了一个kprobe,现在我需要在kprobe的预处理函数中获取它的参数值.这是我的功能:void foobar(int arg, int arg2, int arg3, int arg4, int arg5, int arg6, int arg7, int arg8){printk("foobar called\n");}把kprobe放在上面并调用函数:...kp.addr = ...
linux kprobe使用
qq_42931917的博客
02-28 589
kprobe
Linux内核中Kprobes调试技术的实现
liwg06
02-19 345
内核调试技术―Kprobes, Kprobes是一个轻量级的内核调试工具,利用Kprobes技术可以在运行的内核中动态的插入探测点,在探测点处执行用户预定义的操作。本文首先根据Kprobes在Linux内核中的源码实现,针对Linux CPU异常技术,single-step技术,Loadable Kernel Module技术以及RCU同步技术在Kprobes中的应用进行了研究。其次,针对Kprobes目前所支持的kprobe,jprobe,kretprobe等三种调试手段的实现进行了详细的分析研究。
linux内核调试工具之kprobe
10-24 2263
kprobe 可以在系统运行期间,自定义回调函数,动态插入探测点。2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),使用grep检索所需要查询的信息。测试程序打开/home/kprobe.c 测试在kprobe探测能否探测到。在输出信息中可以看到函数的地址、打开的文件名、函数执行的时间40ns等信息。
linux内核调试工具之kprobe(二)
10-27 1002
前一章使用kprobe编程,需要编码手动编译。本章使用trace追踪技术,在任何函数上设置动态kprobe(通过kprobe事件)。
lkdtm.rar_crash_kprobe
09-24
kprobe实现确保了对系统性能的影响最小,因为它只在探针点被触及时才执行用户定义的代码。 **kprobe在内核调试中的应用** 1. **故障排查**:kprobe可以用来检测内核中的问题,比如追踪特定函数的调用路径,检查...
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
1. **kprobes**:kprobes是Linux内核的一个功能,允许动态地在内核代码的任何位置插入探测点,用于观察或修改程序执行流。它支持两种类型:kprobes(针对动态指令地址)和kretprobes(用于跟踪函数返回)。 2. **...
内核bpftrace的实现原理
最新发布
08-08
其核心是BPF,一种内核虚拟机,能够安全地在内核中执行代码。 首先,我们来看一下BPFtrace的基本用法。在提供的示例中,`bpftrace`命令被用来监听各种系统调用,如`BEGIN`和`END`事件,以及`accept`、`connect`、`...
获取kprobes嗅探的函数参数
kfy2011的专栏
12-16 2425
获取kprobes嗅探的函数参数 疑问: 我已经用kprobes对一个函数进行嗅探,我需要在pre_handler处理函数里获取被嗅探函数的参数值。 被嗅探函数如下: void foobar(int arg, int arg2, int arg3,int arg4, int arg5, int arg6, int arg7, int arg8) {     printk("foobar
Linux内核 eBPF基础:perf(3)用户态指令分析
RToax
05-19 1537
Linux内核 eBPF基础 perf基础(3)用户态指令分析 荣涛 2021年5月19日 本文相关注释代码:https://github.com/Rtoax/linux-5.10.13 Linux内核性能架构:perf_event 1. strace perf stat分析 执行strace perf stat ls可以得到如下输出: execve("/usr/bin/perf", ["perf", "stat", "ls"], [/* 65 vars */]) = 0 [...] open(
【调试】kprobes(二)使用方法
嵌入式与Linux那些事的博客
04-07 3293
上一节介绍了kprobe的基本概念,下面我们将使用几个具体的例子,看下kprobe在实际使用中有那些应用场景。ARM32,ARM64,X86寄存器及访问方式。
关于kprobe的几种使用
cybertan的专栏
10-07 7429
1:探测schedule()函数,在探测点执行前后分别输出当前正在运行的进程、所在的CPU以及preempt_count(),当卸载该模块时将输出该模块运行时间以及发生的调度次数 /* kprobe-exam.c */ #include #include #include #include #include #include static struct kp
内核热探测工具--kprobe
C_JLMPC2009的博客
11-01 810
前言 本文为原创,可能会存在一些知识点或理解上的问题,欢迎切磋和交流 ^_^ 1. 为什么要用kprobe调试工具 定位和复现内核挂死问题,如果要分析内核vfs层代码,需要在函数接口中添加一些调试日志,如果只是单纯的使用printk、pr_info或dout这些打印函数来打印相关参数值,需要重编内核,从时间成本、定位根因上考虑,该方法不利于快速定位问题。 Kprobe作为一种内核热补丁...
kprobe(一)
程序猿Ricky的日常干货
05-04 1334
Kprobe config CONFIG_KPROBES=y CONFIG_KALLSYMS=y or CONFIG_KALLSYMS_ALL=y Kprobe struct struct kprobe { struct hlist_node hlist; /* list of kprobes for multi-handler support */ ...
kprobes,强大的调试工具
sydyh43的博客
12-31 514
1、问题:如何查看某一时间段打开了哪些文件 2、针对上面问题,打开文件都会走open接口,如下 open.c - fs/open.c - Linux source code (v5.15.12) - Bootlin 其中,do_sys_open函数的第二个参数就是打开的文件路径名,因此只需要抓取do_sys_open的第二个参数值即可。不同的处理器,入参对应的寄存器也不一样。 其中X86-64处理器 其中ARM-32处理器 3、本文以X86-64为例,因此需要捕捉寄存器%rsi即可 4
Linux下 kprobe工具的使用
YSBJ123的博客
04-11 3213
此处转载: 一、Kprobe简介 kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。 kprobe实现
内核调试神器SystemTap — 探测点与语法(二)
weixin_30716141的博客
05-28 875
a linux trace/probe tool. 官网:https://sourceware.org/systemtap/ 探测点 SystemTap脚本主要是由探测点和探测点处理函数组成的,来看下都有哪些探测点可用。 The essential idea behind a systemtap script is to name events, and to give...
inline hook look_up系统调用,代码实现
04-29
.entry = (kprobe_opcode_t *)my_look_up, .kp = { .symbol_name = "path_lookup", }, }; static int __init my_init(void) { int ret; ret = register_jprobe(&my_jprobe); if (ret ) { printk(KERN_INFO...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值