linux kprobe 例子,Linux内核调试技术kprobe使用与实现.doc

最新推荐文章于 2024-03-01 08:57:52 发布
最新推荐文章于 2024-03-01 08:57:52 发布
阅读量140 收藏
点赞数
文章标签: linux kprobe 例子

Linux内核调试技术kprobe使用与实现

Linux内核调试技术——kprobe使用与实现

一、kprobes技术背景

开发人员在内核或者模块的调试过程中,往往会需要要知道其中的一些函数有无被调用、何时被调用、执行是否正确以及函数的入参和返回值是什么等等。比较简单的做法是在内核代码对应的函数中添加日志打印信息,但这种方式往往需要重新编译内核或模块,重新启动设备之类的,操作较为复杂甚至可能会破坏原有的代码执行过程。

而利用kprobes技术,用户可以定义自己的回调函数,然后在内核或者模块中几乎所有的函数中(有些函数是不可探测的,例如kprobes自身的相关实现函数,后文会有详细说明)动态的插入探测点,当内核执行流程执行到指定的探测函数时,会调用该回调函数,用户即可收集所需的信息了,同时内核最后还会回到原本的正常执行流程。如果用户已经收集足够的信息,不再需要继续探测,则同样可以动态的移除探测点。因此kprobes技术具有对内核执行流程影响小和操作方便的优点。

kprobes技术包括的3种探测手段分别时kprobe、jprobe和kretprobe。首先kprobe是最基本的探测方式,是实现后两种的基础,它可以在任意的位置放置探测点(就连函数内部的某条指令处也可以),它提供了探测点的调用前、调用后和内存访问出错3种回调方式,分别是pre_handler、post_handler和fault_handler,其中pre_handler函数将在被探测指令被执行前回调,post_handler会在被探测指令执行完毕后回调(注意不是被探测函数),fault_handler会在内存访问出错时被调用;jprobe基于kprobe实现,它用于获取被探测函数的入参值;最后kretprobe从名字种就可以看出其用途了,它同样基于kprobe实现,用于获取被探测函数的返回值。

kprobes的技术原理并不仅仅包含存软件的实现方案,它也需要硬件架构提供支持。其中涉及硬件架构相关的是CPU的异常处理和单步调试技术,前者用于让程序的执行流程陷入到用户注册的回调函数中去,而后者则用于单步执行被探测点指令,因此并不是所有的架构均支持,目前kprobes技术已经支持多种架构,包括i386、x86_64、ppc64、ia64、sparc64、arm、ppc和mips(有些架构实现可能并不完全,具体可参考内核的Documentation/kprobes.txt)。

kprobes的特点与使用限制:

1、kprobes允许在同一个被被探测位置注册多个kprobe,但是目前jprobe却不可以;同时也不允许以其他的jprobe回掉函数和kprobe的post_handler回调函数作为被探测点。

2、一般情况下,可以探测内核中的任何函数,包括中断处理函数。不过在kernel/kprobes.c和arch/*/kernel/kprobes.c程序中用于实现kprobes自身的函数是不允许被探测的,另外还有do_page_fault和notifier_call_chain;

3、如果以一个内联函数为探测点,则kprobes可能无法保证对该函数的所有实例都注册探测点。由于gcc可能会自动将某些函数优化为内联函数,因此可能无法达到用户预期的探测效果;

4、一个探测点的回调函数可能会修改被探测函数运行的上下文,例如通过修改内核的数据结构或者保存与struct pt_regs结构体中的触发探测之前寄存器信息。因此kprobes可以被用来安装bug修复代码或者注入故障测试代码;

5、kprobes会避免在处理探测点函数时再次调用另一个探测点的回调函数,例如在printk()函数上注册了探测点,则在它的回调函数中可能再次调用printk函数,此时将不再触发printk探测点的回调,仅仅时增加了kprobe结构体中nmissed字段的数值;

6、在kprobes的注册和注销过程中不会使用mutex锁和动态的申请内存;

7、kprobes回调函数的运行期间是关闭内核抢占的,同时也可能在关闭中断的情况下执行,具体要视CPU架构而定。因此不论在何种情况下,在回调函数中不要调用会放弃CPU的函数(如信号量、mutex锁等);

8、kretprobe通过替换返回地址为预定义的trampoline的地址来实现,因此栈回溯和gcc内嵌函数__builtin_return_address()调用将返回trampoline的地址而不是真正的被探测函数的返回地址;

9、如果一个函数的调用此处和返回次数不相等,则在类似这样的函数上注册kretprobe将可能不会达到预期的效果,例如do_exit()函数会存在问题,而do_execve()函数和do_fork()函数不会;

10、如果当在进入和退出一个函数时,CPU运行在非当前任务所有的栈上,那么往该函

weixin_39634884
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux:ftrace & kprobetrace
mzhan017的博客
01-03 1415
这个kprobetrace类似基于事件的tracepoint(跟踪点)。不过这个是基于kprobes(kprobe and kretprobe)。所有kprobe可以探测的地方,都可以使用这个kprobetrace功能。也就意味着,除了带有__kprobes/nokprobe_inline 关键字的函数,还有带有标记NOKPROBE_SYMBOL的函数外,所有的其他函数都可以做kprobetrace。而且是可以动态做探测,不像tracepoint,是静态编译在内核模块里。
ftrace跟踪内核_使用 ftrace 来跟踪系统问题 - ftrace 介绍
weixin_39983404的博客
12-19 398
虽然之前一直听说过 ftrace,但从来没将它用在实战中,在一次客户排查问题中,遇到了比较奇怪的现象,一位精通内核的朋友建议使用 ftrace 来定位一下。虽然那一次并没有使用 ftrace,但也让我觉得,后面我们势必要提供 ftrace 相关的工具帮助我们在线上定位问题,所以自己也决定重新学习使用下 ftrace,当然也决定写一系列的相关出来,这里就先简单介绍下 ftrace。什么是 ftrac...
kprobe_example.c
09-05
used to dump a stack trace and selected registers when do_fork() is called.
2、内核Kprobe的使用例子
lhh_qrsly的博客
07-29 633
在 handler_pre 处理程序中,我们输出了Kprobe的地址和调用指令指针的值,以及寄存器 ax、bx、cx 和 dx 的值。使用例子,当调用 example_function 函数时,Kprobe会在函数执行前后分别调用 handler_pre 和 handler_post 处理程序,并在内核日志中打印出相应的调试信息。编译和加载此内核模块后,您可以通过调用 example_function 函数来触发Kprobe,并在内核日志中查看输出的调试信息和函数调用次数。
linux kprobe 例子,Linux kprobe初探
weixin_32635501的博客
05-16 293
最近学习bcc-tools工具的使用,发现单单会使用还是不行,必须了解到其深层次的原理,所以使用该工具的时候,加了-v指令,分析了下bcc的调用流程,大致如下:^CTraceback (most recent call last):File"./funclatency", line 211, in b.attach_kretprobe(event_re=pattern, fn_name="trac...
kprobe(一)
程序猿Ricky的日常干货
05-04 1351
Kprobe config CONFIG_KPROBES=y CONFIG_KALLSYMS=y or CONFIG_KALLSYMS_ALL=y Kprobe struct struct kprobe { struct hlist_node hlist; /* list of kprobes for multi-handler support */ ...
ARM架构kprobe应用及实现分析(1.0 简单示例)
李子的备忘录
11-16 1945
网络对krpobe的实现机制及扩展都不是特别详细 由于工作需要及个人爱好,正好有这个机会好好学习此模块及应用到实际中 并将整个应用扩展及当时的分析情况,详细记录下来,希望对感兴趣的人有些许帮助 最开始还是先给个具体的栗子:   static struct kprobe kp = { //.symbol_name = "do_fork", .symbol_name =
kprobes_使用Kprobes进行内核调试
cuxiong8996的博客
07-07 852
Kprobes是Linux中的一种简单轻量级的机制,它允许您将断点插入正在运行的内核中。 Kprobes提供了一个接口,可闯入任何内核例程并从中断处理程序中无中断地收集信息。 使用Kprobes可以轻松收集调试信息,例如处理器寄存器和全局数据结构。 开发人员甚至可以使用Kprobes修改寄存器值和全局数据结构值。 为此,Kprobes通过在正在运行的内核中的给定地址处动态编写断点指令来插入...
使用crash、funcgraph以及kprobe使用案例 —— 跟踪文件写缺页和脏页回写
pengdonglin137的专栏
11-29 1109
内核版本 linux-6.5 需求 通过mmap将一个文件以SHARE的方式映射到进程的虚拟地址空间,然后写其中一段数据,此时会发生缺页异常,内核会分配页缓存并根据偏移将文件指定位置的内容读到页缓存,最后再修改进程的页表,将这个页缓存映射给用户,不过第一次映射的时候PTE里面RW位是0,当进程真正写的时候,会再次触发缺页,并将对应的文件页设置为脏页,Linux会定期将脏页回写到磁盘上,在回写操作执行之前清除脏页标记,同时也会清除RW位。 下面利用crash、funcgraph以及kprobe结合的方式来学习
Linux 内核irq_stack遍历
qq_42931917的博客
03-01 1092
环境Centos 4.18.0-80.el8.x86_64。
Linux LSM(Linux Security Modules) Hook Technology
weixin_30929011的博客
12-09 1370
目录 0. 引言 1. Linux Security Module Framework Introduction 2. LSM Sourcecode Analysis 3. LSMs Hook Engine:基于LSM Hook进行元数据的监控获取 4. LSM编程示例 5. Linux LSM stacking 0. 引言 从最佳实践的角度来说,在Linux Ker...
kprobe
楚小狂
06-29 1128
kprobe 调试Linux 内核例子,记录便于查找 http://hi.baidu.com/widebright/item/a08be435ea5eb299b80c03a7
Linux内核调试技术——kprobe使用实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
Linux调试追踪: kprobe实现简析
JiMoKuangXiangQu的专栏
06-09 551
Linux,Kprobe
内核调测工具kprobe之实践篇
Peter的专栏
02-08 2126
【推荐阅读】深入探究Linux Kprobe机制eBPF在android上的使用这才是kprobe工作的本质Kprobe介绍debug内核函数变量的时候最常用的是添加log,用printk...
Linux内核 eBPF基础:kprobe原理源码分析:基本介绍与使用示例
RToax
05-11 6669
Linux内核 eBPF基础 kprobe原理源码分析:基本介绍与使用 荣涛 2021年5月11日
关于kprobe的几种使用
cybertan的专栏
10-07 7457
1:探测schedule()函数,在探测点执行前后分别输出当前正在运行的进程、所在的CPU以及preempt_count(),当卸载该模块时将输出该模块运行时间以及发生的调度次数 /* kprobe-exam.c */ #include #include #include #include #include #include static struct kp
PPC中如何实现C以及汇编的远程调用
定戒慧
11-03 1311
如何实现函数的远程调用, C调用汇编
黑苹果英伟达驱动Geforce-Kepler-Patcher-V2-by-Chris1111-HeiPG.cn
最新发布
09-07
Geforce_Kepler_Patcher_V2_by_Chris1111___HeiPG.cn
深入探索:kprobe内核调试技术分析
"kprobe分析" 本文档主要探讨了kprobe技术Linux内核中的应用及其基本原理。kprobe是一种强大的动态跟踪工具,允许...通过深入学习和使用kprobe,开发者能够更好地理解和调试Linux内核,提高系统的稳定性和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值