对ftrace源码的阅读学习ptrace等获取函数调用

最新推荐文章于 2024-07-30 15:47:32 发布
最新推荐文章于 2024-07-30 15:47:32 发布
阅读量644 收藏
点赞数
分类专栏: linux 文章标签: linux ptrace ftrace
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014288349/article/details/84247761
版权

https://github.com/leviathansecurity/ftrace

http://blog.51cto.com/haidragon/2134709?tdsourcetag=s_pctim_aiomsg

 

 

 

1、解析elf,获取SHT_SYMTAB和SHT_DYNSYM符号的

st_name目标文件的符号字符串表的索引,其中包含符号名称的字符

st_value

  • 在可重定位文件中,st_value 包含所定义符号的节偏移。st_value 表示从 st_shndx 所标识的节的起始位置的偏移。
  • 在可执行文件和共享目标文件中,st_value 包含虚拟地址。为使这些文件的符号更适用于运行时链接程序,节偏移(文件解释)会替换为与节编号无关的虚拟地址(内存解释)
  • 获取.plt节动态链接表 的地址,并替换对应动态链接地址

2、获取/proc/%d/maps堆栈信息包括(第一个基地址、[heap]、[stack]、其他的)地址与地址范围大小

3、ptrace单步运行程序,获取寄存器值(PTRACE_GETREGS),对eip指针进行追踪,并且在程序基址范围内

ptrace (PTRACE_SINGLESTEP, h->pid, NULL, NULL);

(1)对程序函数调用顺序的追踪,主要是查看跳转指令如下:

struct branch_instr branch_table[64] = {

            {"jo",  0x70},

            {"jno", 0x71},  {"jb", 0x72},  {"jnae", 0x72},  {"jc", 0x72},  {"jnb", 0x73},

            {"jae", 0x73},  {"jnc", 0x73}, {"jz", 0x74},    {"je", 0x74},  {"jnz", 0x75},

            {"jne", 0x75},  {"jbe", 0x76}, {"jna", 0x76},   {"jnbe", 0x77}, {"ja", 0x77},

            {"js",  0x78},  {"jns", 0x79}, {"jp", 0x7a},    {"jpe", 0x7a}, {"jnp", 0x7b},

            {"jpo", 0x7b},  {"jl", 0x7c},  {"jnge", 0x7c},  {"jnl", 0x7d}, {"jge", 0x7d},

            {"jle", 0x7e},  {"jng", 0x7e}, {"jnle", 0x7f},  {"jg", 0x7f},  {"jmp", 0xeb},

            {"jmp", 0xe9},  {"jmpf", 0xea}, {NULL, 0}

};

(2)控制流追踪: 判断eip是否为跳转指令(并且在程序基址范围,本程序函数跳转)->单步执行进入函数->

//获取地址所在节的节名

                    sh_src = get_section_by_range(h, eip);

                    //获取地址所在节的节名

                    sh_dst = get_section_by_range(h, current_ip);

                    //输出信息

                    printf("%s(CONTROL FLOW CHANGE [%s]):%s Jump from %s 0x%lx into %s 0x%lx\n",    YELLOW, branch->mnemonic, WHITE,

                    !sh_src?"<unknown section>":sh_src, eip,

                    !sh_dst?"<unknown section>":sh_src, current_ip);

(3)函数返回值和参数的获取:判断函数调用call(e8)->计算函数地址(eip + offset + 5) ->判断函数地址是经过重定位的还是本地库的(重定位符号取值:

for (i = 0; i < ehdr64->e_shnum; i++) {

                                if (!strcmp(&h->elf64->StringTable[shdr64[i].sh_name], ".plt")) {

                                        for (k = 0, j = 0; j < shdr64[i].sh_size; j += 16) {

                                                if (j >= 16) {

                            h->dsyms[k++].value = shdr64[i].sh_addr + j;

                                                }

                                        }

                    break;

                                }

)->对函数汇编code进行追踪(根据获取的函数地址,读取堆栈的值)->根据函数调用约定(

/* X86Y64只支持这一点,基本上在这里解析这个调用约定:

            mov    %rsp,%rbp

            mov    $0x6,%r9d

            mov    $0x5,%r8d

            mov    $0x4,%ecx

            mov    $0x3,%edx

            mov    $0x2,%esi

            mov    $0x1,%edi

            callq  400144 <func>

    */

)读取mov    %rsp,%rbp向下的参数的值,并且转换为字符串->遍历读取寄存器(获取参数)->函数的返回地址就等于函数调用前的eip的下一个地址(calldata.retaddr = eip + 5;)->获取到参数后在返回地址手动下个断点->继续ptrace单步运行程序直到到返回地址的断点处断下->获取eax的值(返回值)(

if (calldp->retaddr == eip) {

                    snprintf(output, sizeof(output), "%s(RETURN VALUE) %s%s = %lx\n", RED, WHITE, calldp->string, eax);

)

(4)获取elf缺失的符号调用:只需要不判断符号地址就ok

(5)通过信号结束程序调用,如:ctrl+c

小夥子
关注
专栏目录
【SemiDrive源码分析】【X9芯片启动流程】30 - AP1 Android Kernel 启动流程 start_kernel 函数详细分析(一)
|~~~热爱生活、努力学习的小伙汁~~~|
06-14 2604
【SemiDrive源码分析】【X9芯片启动流程】30 - AP1 Android Kernel 启动流程
Linux创建进程的源码分析
huzai9527的博客
05-21 465
进程的创建 进程创建流程 a. do_fork主要处理clone、fork、vfork系统调用 1. 先检查父进程的ptrace字段,如果父进程被跟踪了,则根据clone_flag的信息,对子进程进行相关操作 2. 调用copy_process()函数将fork()之前的信息复制一份给 子进程。这里包含了出现异常nr=0的情况 3. 如果是vfork的话,直接初始化完成处理信息。 4. 用wake_up_new_task()函数将新创建的进程加入到调度器中,为其
ftrace的源代码
09-03
ftrace的源代码,可以跟踪linux 内核
linux性能工具--ftrace使用
奇小葩
08-11 9193
Ftrace设计作为一个内部的tracer提供给系统的开发者和设计者,帮助他们弄清kernel正在发生的行为,它能够调式分析延迟和性能问题。对于前一章节,我们学习了Ftrace发展到现在已经不仅仅是作为一个function tracer了,它实际上成为了一个通用的trace工具的框架 一方面已经从function tracer扩展到irqsoff tracer、preemptoff tracer 另一方面静态的trace event也成为trace的一个重要组成部分 通过前面两节的学习,我们知道了什么是
使用 Ftrace 跟踪内核函数调用,内核调试必备!
最新发布
weixin_51342637的博客
07-30 479
最近使用eBPF做可观测性的项目,接触到了一些内核跟踪工具,其中就包括Ftrace。FtraceLinux 内核自带的跟踪工具,能够追踪内核中的函数调用、上下文切换、中断处理等。通过 Ftrace,开发人员可以详细了解内核的运行状态,从而更好地优化和调试内核模块。Ftrace 的配置和使用非常灵活,可以通过命令行工具和配置文件来控制其行为。Ftrace 提供了多种跟踪模式,其中主要包括function和两种模式。function模式是 Ftrace 最基本的跟踪模式,用于记录内核函数调用
Linux内核 eBPF基础:ftrace源码分析:过滤函数和开启追踪
RToax
05-14 2067
su cd /sys/kernel/debug/tracing/ echo 1 > tracing_on echo "schedule" > set_ftrace_filter echo function_graph > current_tracer cat trace
ftrace使用
时光漫走
12-05 143
static VOS_STATUS find_ie_data_after_fils_session_ie(tpAniSirGlobal mac_ctx, uint8_t *buf, uint32_t buf_len, uint8_t **ie, uint32_t *ie_len) { uint32_t left = buf_l...
Linux Ftrace 使用
嵌入式Linux
01-08 882
Ftrace相关的文章如何利用ftrace精确跟踪特定进程调度信息1、Ftrace 是什么东西?Ftrace是一个直接内置在Linux内核中的跟踪工具。许多发行版在最近的发行版中已经启用...
send_sig: 内核执行流程
大昱的博客
08-10 2045
当一个信号从内核或另一个进程发送到一个进程时,内核通过调用 send_sig()、send_sig_info()、force_sig() 或 force_sig_info() 函数来传递它。 调用关系如下: send_sig() -> send_sig_info() ... send_signal_locked() ... force_sig() -> force_sig_info() ... send_signal_locked() ......
Linux kernel Namespace源码分析
热门推荐
WaltonWang's Blog
12-27 1万+
学习一下linux kernel namespace的代码还是很有必要的,让你对docker容器的namespace隔离有更深的认识。
Linux进程线程源码浅析
ty_laurel的博客
07-30 2510
内核版本3.13 概述        Linux内核中,进程通过数据结构task_struct(也称为进程描述符) 被表示成任务(task),不像其他的操作系统会区别进程、轻量级进程和线程(下边就统称进程吧),Linux系统用 task_struct 数据结构来表示所有的执行上下文。对于每一个进程,一个类型为task_struct的进程描述符始终存在于内存中。它包含了内核管理全部进程所
ftrace使用简介
11-24
ftrace的使用简介,对于kenrel代码跟踪很有帮助
ftrace手册
09-24
linux追踪器ftrace使用合集 很全的 详细介绍
Ftrace功能使用
sydyh43的博客
01-15 245
1、打开内核配置 kernel hacking --> Tracers 打开需要的tracer项 2、依赖项,跟踪函数名,需要打开内核符号表项 General setup --> Configure standard kernel features 3、ftrace 通过debugfs文件系统向用户空间提供访问接口,需要挂载debugfs 4、挂载debugfs后,可以查看到跟踪器和event事件 5、可以查看具体跟踪器和事件 6、尝...
ftrace使用介绍
lunhui2016的博客
03-20 2868
ftrace使用介绍 1.介绍 Ftrace是一个专门针对linux kernel内核空间的debug工具,用于帮助开发者在用户空间对内核低延时,内核性能等方面的分析。 尽管ftrace最开始设计时主要是为了追踪函数调用栈,但随着功能的增强,已经演变成一个跟踪框架,支持多种跟踪器,如function、function_graph、wakeup、irq等。另外一个很常用的功能就是事件跟踪,在用户空...
ftrace用法
Linux/Android开发记录
04-16 1万+
ftrace官方文档在kernel/Documentation/trace/ftrace.txt文件中。   使用ftrace接口之前,如果系统没有自动挂载debugfs文件系统,则要先手动挂载。 # mount -t debugfs nodev /sys/kernel/debug   ftracer的目录为/sys/kernel/debug/tracing,下面介绍这个目录下的常用文件
ptrace 获取程序实时的堆栈
ChangeMe
11-15 1114
#!/bin/bash if test $# -ne 1; then echo "Usage: `basename $0 .sh` &lt;process-id&gt;" 1&gt;&amp;2 exit 1 fi if test ! -r /proc/$1; then echo "Process $1 not found." 1&gt;&amp;2 exit ...
【开发工具】【Ftrace】内核追踪器(ftrace)的使用
诸葛一帆丶的博客
03-29 3419
本文转载自:https://blog.csdn.net/longerzone/article/details/16884703 因为对方已经写的非常详细了,暂时没有什么需要加的内容,就直接转载了. 目录 Ftrace简介 Ftrace的应用场景 Ftrace的配置 Ftrace 的基本使用步骤 Ftrace 的进阶使用 Ftrace 提供的函数使用 简单的 Ftrace 脚本案例 Ftrace简介 Ftrace 是一个内核中的追踪器,用于帮助系统开发者或设计者查看内核运行情况,它可.
ftrace(一、简单使用)
huzai9527的博客
05-14 1049
1. 初识 工作目录 cd /sys/kernel/debug/tracing #权限问题,进入不了debug的 sudo chmod -R 777 debug 查看可以使用的tracer huzai@ubuntu:/sys/kernel/debug/tracing$ cat available_tracers hwlat blk mmiotrace function_graph wakeup_dl wakeup_rt wakeup function nop 选择需要使用的tracer(这
ftrace ptrace
08-16
引用中提到的ftraceLinux 内核的一个内建跟踪工具,用于跟踪和分析内核函数调用、上下文切换、延迟和性能问题等。它可以通过配置内核和 debugfs 来使用,并包含多个跟踪器,可以方便地跟踪不同类型的信息。 而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值