可以在函数中间打点了,以分析bpf_prog_load函数为例

最新推荐文章于 2023-11-14 17:36:44 发布
最新推荐文章于 2023-11-14 17:36:44 发布
阅读量748 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/honpey/p/7892522.html
版权

可以在函数中间打点了,

sudo stap -L 'process("./test").statement("func@test.c:10")'

 //12.10更新

查看我内核中 bpf_prog_load 到底是位于哪一行,那么执行:

sudo sta -L 'kernel.statement("bpf_prog_load")',可以得到:

kernel.statement("bpf_prog_load@/build/linux-Ay7j_C/linux-4.4.0/kernel/bpf/syscall.c:605") $attr:union bpf_attr* $license:char[]

这样我就可以模仿上面的状态看看怎么使能bpf咯:

想看看在bpf的偏移10行能得到啥变量

记录一次对:bpf_prog_load函数的分析过程(我不想改内核重编,直接用kprobe去调试,夜太深,脑袋有点晕晕的,机械记录下来吧)

首先,找到内核的vmlinux:

/usr/lib/debug/boot/vmlinux-$(uname -r)

这个事先要下载好:

sudo apt-get update
sudo apt-get install linux-image-$(uname -r)-dbgsym

 然后查看函数的起始地址:readelf -s vmlinux | grep bpf_prog_load

hon@station6:~/codebox/lua$ readelf -s vmlinux | grep bpf_prog_load
 14710: ffffffff81172f90  1030 FUNC    LOCAL  DEFAULT    1 bpf_prog_load

辅助下用kprobe把这个函数的kprobe的addr打印出来,也是这个值,所以基本可以放心,0xffffffff81172f90 就是这个函数的起始地址了。

然后反汇编出这个函数:objdump -DSl --start-address=0xffffffff81172f90 --stop-adress=0xffffffff81173396 vmlinux > bpf_prog_load函数,然后反汇编出了400行汇编代码.

然后我们怎么从这些信息中看到函数进入到这个函数里的调用栈呢?\

这个函数经常出问题,反汇编了一份代码放在了这里:需要的时候再拿出来看:

https://github.com/honpey/codebox/commit/5b914f35af5a20e243f4a1f60d2f1f683eab2ba9

 我使用kprobe查看内核中注册了几种 bpf_prog 的type:在符号表看到链表的地址是:ffffffff81e65560 d bpf_prog_types

    printk("kp->addr:0x%x\n", (unsigned long)kp.addr);
    //0xffffffff81e65560 --> bpf_prog_types 
    // it is a list_head    
    struct list_head *p = 0xffffffff81e65560;
    struct bpf_prog_type_list *tl;
    list_for_each_entry(tl, p, list_node) {
        printk("tl->type: %d\n", tl->type);
    }

这样能看到所有注册的type, 返现问题所在了

是因为sys_bpf传入的type是5,但是这里只要12,3,4中类型,所以是因为没哟注册的累心哟,版本不匹配!

4.4版本中不支持tracepoint的type呀,累心累心,调了一天

 

转载于:https://www.cnblogs.com/honpey/p/7892522.html

weixin_30590285
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ebpf原理分析
hjkfcz的博客
03-17 1万+
ebpf原理解析
Stemwin(基于打点函数)
weixin_43517955的博客
03-16 1616
Stemwin(基于打点函数) 本工程本人自测,在TLT9341_SPI总线可用,对于其他的LCD屏,可基于本工程进行相应修改。 基于Stemwin的移植,我将从以下几个方面做介绍: 一:Stemwin的发展以及我们为什么要进行enwin的移植 二:Stemwin的基本工程的搭建 三:内存的分配及滴答定时器的建立 四:打点函数的移植 五:工程下载验证 由于world上的照片无法直接加入进博客里,就...
第一节课续: 实现打点功能
yunjie167的专栏
06-20 557
任何跟绘图相关的,必然少不了打点函数,以点成线,以线成面,以面再成什么今天就不介绍啦~ 上一篇中,我们将工程创建好了,单击感叹号按钮就可以运行刚刚创建的工程了. 效果如下: 发现这个窗口可能有点大,而且出现在屏幕中的位置或许也不是我们想要的,下面我们就动手来改下: 在MainFrm.cpp文件中修改PreCreateWindow函数 /* 设置启动窗口启动位置 */ BO
SystemTap----利用stap命令来查找内核函数定义
Justlinux2010的专栏
08-24 6996
我们知道stap命令的-l(或-L)选项可以列出指定的某个probe描述中所有符合的probe点的列表,例如可以使用下面的命令,看到所有可以probe的函数: stap -l 'kernel.function("*")' 今天在看书的时候,突然想到可以利用这个选项来找到一些内核函数的定义,例如sys_open()的定义。不管是source insight还是vim+ctag+csc
bpftrace 段错误 bpf_prog_load_deprecated
RToax
05-27 499
调试 (gdb) 672 return bpf_prog_load(load_attr->prog_type, load_attr->name, load_attr->license, (gdb) p load_attr->prog_type $5 = BPF_PROG_TYPE_TRACING (gdb) s bpf_prog_load_deprecated (file=0x1a <error: Cannot access memory at address
BPF.zip_BPF_BP网络_matlab bpf函数
09-21
"BPF.zip_BPF_BP网络_matlab bpf函数" 这个标题提到了几个关键术语。首先,“BPF”通常指的是“Bandpass Filter”(带通滤波器),它是一种能通过特定频率范围内的信号,同时阻止其他频率的滤波器。在通信、信号处理...
BPF.zip_MATLAB函数BPF_bpf matlab_matlab BPF参数_matlab 傅里叶变换投影反投影图像_
09-25
在标签中,"matlab函数bpf"和"matlab_bpf参数"提示我们这个压缩包可能包含一个MATLAB函数,用于实现BPF,而且可能还涉及到函数的参数设定。"matlab_傅里叶变换投影反投影图像"进一步确认了上述的CT图像重建技术的...
bpf_load.rar_V2 _tbd
09-19
在Linux内核版本2.13.6中,BPF(Berkeley Packet Filter)加载机制是这次更新的一个重要部分,这个“bpf_load.rar_V2_tbd”压缩包似乎包含了与此相关的源代码文件。让我们深入探讨一下BPF、它的加载机制以及在Linux...
BPF_1_4.zip_BPF_BPF_1_4_matlab bpf_匹配跟踪_目标匹配
07-15
BPF在视频跟踪中用来求解多目标匹配,最佳匹配优先的启发式算法
bpf_lpf.rar_BPF_LC b_LC滤波_PowerBuilder_lc滤波器
09-19
标题中的“bpf_lpf.rar_BPF_LC b_LC滤波_PowerBuilder_lc滤波器”表明这是一个关于使用PowerBuilder开发的LC滤波器设计工具,主要关注的是带通滤波器,尤其是低通(LC)滤波器的设计。在电子工程中,滤波器是一种...
libbpf 开发指南:加载BPF 程序”
阿呆的隐秘角落
07-02 497
做最好的libbpf 教程
Android中eBPF使用原理以及 kprobe dmabuf_setup实例
最新发布
weixin_42136255的博客
11-14 843
Android中eBPF使用原理以及实例
bpf的加载流程分析
大草的博客
05-26 2691
分析load_bpf_file函数
龙蜥社区开源 coolbpfBPF 程序开发效率提升百倍
weixin_60347558的博客
07-01 333
BPF 是一个新的动态跟踪技术,目前这项技术正在深刻的影响着我们的生产和生活。BPF 在四大应用场景发挥着巨大作用。
DPDK BPF
奋斗中拥有
05-28 1895
DPDK BPF DPDK 自版本 18.05 已集成了 librte_bpf, 主要利用rte_eth_rx_burst/rte_eth_tx_burst 回调函数机制, 执行eBPF字节码. 当前支持以下特性: base eBPF ISA (except tail-pointer) JIT (x86_64 and arm64 only) eBPF code verifier user-defined helper functions (64-bit only) RX/TX filter (加载 eBP
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
运行第一个 bpf 程序
龙瑜的博客
11-21 7282
上手 ebpf 一直想学习一下 ebpf 这个东东,最近买了本《Linux 内核观测技术 BPF》,准 备系统的研究一下。 原以为有了书之后学起来就相当轻松了,可以我发现书上的第一个例子就编译不 过。 书上只给了部分的源码,还需要去下载配套的 github 项目,这也没啥关系,不过下 载后编译也是编译不过。 编译不过的报错也不过是 types.h 头文件找不到,解决了头文件找不到的问题 后发现又有新的问题。 网上搜索了下发现基本上都是在介绍 ebpf xxx,没有看到一篇讲如何上手 ebpf, 只能自己搞搞
Linux内核BPF的简单工作原理
weixin_30746117的博客
04-12 652
BPF用于很多的抓包程序,在linux中,一般内核自动编译进了af_packet这个驱动,因此只需要在用户态配置一个PACKET的socket,然后将filter配置进内核即可,使用setsockopt的SO_ATTACH_FILTER 命令,这个filter是在用户空间配制的,比如tcpdump应用程序,tcpdump和内核BPF过滤器的关系类似iptables与netfilter的关系,只是N...
bpf_prog_load_xattr用法
03-28
bpf_prog_load_xattr是一个用于BPF程序加载的系统调用,它可以从文件系统中读取BPF程序的扩展属性(xattr)并将其加载到内核中。它的用法如下: ``` int bpf_prog_load_xattr(const char *file, enum bpf_prog_type type, struct bpf_prog_load_attr *attr, uint32_t *prog_fd) ``` 参数说明: - file:BPF程序的文件路径。 - type:BPF程序的类型,可以是BPF_PROG_TYPE_SOCKET_FILTER、BPF_PROG_TYPE_KPROBE等。 - attr:一个指向bpf_prog_load_attr结构体的指针,用于指定BPF程序的加载属性,如BPF程序的运行环境、BPF程序的最大大小等。 - prog_fd:一个指向uint32_t类型的指针,用于返回BPF程序的文件描述符。 示例代码: ``` #include <linux/bpf.h> #include <linux/filter.h> #include <bpf/bpf.h> int main(int argc, char **argv) { struct bpf_insn prog[] = {...}; // BPF程序的指令序列 struct bpf_prog_load_attr attr = { .prog_type = BPF_PROG_TYPE_SOCKET_FILTER, .insns = prog, .insn_cnt = sizeof(prog) / sizeof(struct bpf_insn), .license = "GPL", }; uint32_t prog_fd; int ret = bpf_prog_load_xattr("./bpf_prog.o", BPF_PROG_TYPE_SOCKET_FILTER, &attr, &prog_fd); if (ret < 0) { perror("bpf_prog_load_xattr"); return -1; } return 0; } ``` 在上面的示例代码中,我们定义了一个BPF程序的指令序列,然后创建了一个bpf_prog_load_attr结构体,指定了BPF程序的类型、指令序列、指令数量和许可证。最后,我们调用了bpf_prog_load_xattr函数,将BPF程序加载到内核中,并获得了BPF程序的文件描述符。如果加载失败,函数将返回负数,我们需要通过perror函数打印出错误信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值