linux函数参数顺序,linux – 使用kprobes获取函数参数

最新推荐文章于 2023-04-07 22:44:35 发布
最新推荐文章于 2023-04-07 22:44:35 发布
阅读量330 收藏
点赞数
文章标签: linux函数参数顺序

我已经在函数上放了一个kprobe,现在我需要在kprobe的预处理函数中获取它的参数值.

这是我的功能:

void foobar(int arg,int arg2,int arg3,int arg4,int arg5,int arg6,int arg7,int arg8)

{

printk("foobar called\n");

}

把kprobe放在上面并调用函数:

...

kp.addr = (kprobe_opcode_t *) foobar;

register_kprobe(&kp);

foobar(0xdead1,0xdead2,0xdead3,0xdead4,0xdead5,0xdead6,0xdead7,0xdead8);

最后预处理功能(取自here):

static int inst_generic_make_request(struct kprobe *p,struct pt_regs *regs)

{

printk(KERN_INFO "eax: %08lx ebx: %08lx ecx: %08lx edx: %08lx\n",regs->ax,regs->bx,regs->cx,regs->dx);

printk(KERN_INFO "esi: %08lx edi: %08lx ebp: %08lx esp: %08lx\n",regs->si,regs->di,regs->bp,regs->sp);

regs++;

//...

}

预处理程序函数的输出看起来像这样(我将regs指针增加3次)

May 10 22:58:07 kernel: [ 402.640994] eax: 000dead1 ebx: f7d80086 ecx: 000dead3 edx: 000dead2

May 10 22:58:07 kernel: [ 402.640996] esi: 00000000 edi: b77c8040 ebp: 00000000 esp: f7d8006c

May 10 22:58:07 kernel: [ 402.641006] eax: f7d8032c ebx: 000dead5 ecx: 000dead6 edx: 000dead7

May 10 22:58:07 kernel: [ 402.641007] esi: 000dead8 edi: f7d800e0 ebp: f7d80330 esp: 08049674

May 10 22:58:07 kernel: [ 402.641014] eax: 00000080 ebx: 0992b018 ecx: 0000108e edx: 0992b008

May 10 22:58:07 kernel: [ 402.641015] esi: 08049674 edi: b77c8040 ebp: bfe23fb8 esp: bfe23f50

现在我可以在各种寄存器中看到foobar函数的参数(但是在哪里是0xdead4?),它们不应该在堆栈中吗?如何从预处理程序功能访问堆栈?或者如何在不知道其类型和数量的情况下获取任何函数的参数?我知道这可能不是一件容易的事(甚至不可能获得所有值),但只有大约值才足够.我正在计算两个函数的参数之间的相关性,我真的不需要精确的值.如果我有调用函数的汇编代码,其中参数被压入堆栈,它会有帮助吗?

弓弢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux内核函数调用关系的验证方法.pdf
09-06
Linux内核函数调用关系的验证方法】 Linux内核是开源操作系统的核心,其功能强大且复杂,被广泛应用于各种领域。理解内核的工作机制对于系统开发和优化至关重要。目前,学习Linux内核的主要方式包括阅读教科书、...
获取kprobes嗅探的函数参数
kfy2011的专栏
12-16 2459
获取kprobes嗅探的函数参数 疑问: 我已经用kprobes对一个函数进行嗅探,我需要在pre_handler处理函数里获取被嗅探函数的参数值。 被嗅探函数如下: void foobar(int arg, int arg2, int arg3,int arg4, int arg5, int arg6, int arg7, int arg8) {     printk("foobar
Linux内核调试技术之kprobes:基本原理与使用
Aspiresky的专栏
12-14 1925
Linux kprobes技术是一种可以跟踪内核函数执行状态的轻量级内核调试技术,利用kprobes技术可以在运行的内核中动态的插入探测点,当内核运行到该探测点后可以执行用户预定义的回调函数,以收集所需的调试状态信息而基本不影响内核原有的执行流程。{return 0;}.symbol_name = "do_fork", // 要追踪的内核函数为 do_fork.pre_handler = handler_pre // pre_handler 回调函数。
【调试】kprobes(二)使用方法
嵌入式与Linux那些事的博客
04-07 3296
上一节介绍了kprobe的基本概念,下面我们将使用几个具体的例子,看下kprobe在实际使用中有那些应用场景。ARM32,ARM64,X86寄存器及访问方式。
Linux内核调试技术——kprobe使用与实现(五)
Linux知识积累
06-22 766
Linux内核调试技术——kprobe使用与实现(一)Linux内核调试技术——kprobe使用与实现(二)Linux内核调试技术——kprobe使用与实现(三)Linu...
linux内核调试工具之kprobe
10-24 2278
kprobe 可以在系统运行期间,自定义回调函数,动态插入探测点。2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),使用grep检索所需要查询的信息。测试程序打开/home/kprobe.c 测试在kprobe探测能否探测到。在输出信息中可以看到函数的地址、打开的文件名、函数执行的时间40ns等信息。
c++钩子函数:copy hook_linux函数hook
12-27
- 使用`kprobes`或`ftrace`机制也可以实现动态插入和移除钩子,它们是内核提供的调试工具,可以在运行时对系统调用进行追踪。 2. **用户空间钩子**: - 对于用户空间的文件复制操作,可以使用`LD_PRELOAD`技巧。...
Linux调试技术制kprobes
11-18
Kprobe是linux的一种动态调试的技术
LINUX内核源代码情景分析_linux_
10-03
综上所述,《LINUX内核源代码情景分析》这本书涵盖了Linux内核的各个方面,无论是对初学者还是资深开发者,都能从中获取宝贵的知识和实践经验。通过阅读这本书,你可以深入了解Linux内核的工作原理,提升你的系统...
kprobe_rootkit:使用 kprobesLinux 内核 rootkit(来自 http
06-18
【标题】: "kprobe_rootkit: 使用kprobes技术构建的Linux内核Rootkit" 在Linux操作系统中,内核rootkit是一种高级的攻击手段,它允许攻击者隐藏其活动并控制系统的底层层面。其中,"kprobe_rootkit"是一个利用...
Linux kprobe调试技术使用
weixin_34383618的博客
10-28 232
kprobe调试技术是为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。 利用kprobe技术,可以在内核绝大多数函数中动态插入探测点,收集调试状态所需信息而基本不影响原有执行流程。 kprobe提供三种探测手段:kprobe、jprobe和kretprobe,其中jprobe和kretprobe基于kprobe实现,分别应用于不同探测场景中。   可以通过两种方式使用kprobe:第一...
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
内核调试之kprobe
苟浩的博客
03-22 1609
trace-kprobe 简介 在调试内核的时候要跟踪函数有没有执行或者返回值等等,kprobe可以实现这些,用代码写的kprobe模块还可以修改返回值。这篇主要介绍kprobe在trace下的使用。 本文以 do_filp_open 函数为例,来看一下kprobe在trace里的基本使用,do_filp_open代码如下: struct file *do_filp_open(int dfd, struct filename *pathname, const struct open_flags *op)
利用Kprobe探测内核中的变量
weixin_33909059的博客
01-07 323
  今天遇到一个问题,需要探测内核中buffer cache block的大小。我想到了Kprobe这个神奇的工具,并且很好的探测到了内核中的变量值,非常的方便,在此分享一下。   采用dd等工具写设备的时候,是需要经过块设备层的buffer cache,当请求块大小小于buffer cache的block_size时,Linux的策略是首先需要从磁盘load数据至buffer cache,...
linux 从入参获取函数名字,linux 使用kprobes获取函数参数
weixin_31046701的博客
05-04 232
我已经在函数上放了一个kprobe,现在我需要在kprobe的预处理函数中获取它的参数值.这是我的功能:void foobar(int arg, int arg2, int arg3, int arg4, int arg5, int arg6, int arg7, int arg8){printk("foobar called\n");}把kprobe放在上面并调用函数:...kp.addr = ...
Linux 下的一个全新的性能测量和调式诊断工具 Systemtap,第 1 部分: kprobe
hnllei的专栏
04-28 1353
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1/index.html kprobe 的原理、编程接口、局限性和使用注意事项 杨 燚 (yang.y.yi@gmail.com), 计算机科学硕士, Intel 简介: 本系列文章详细地介绍了一个Linux下的全新的调式、诊断和性能测量工具Systemtap和它所依
ftrace kprobe调试
cll__的博客
05-15 4614
内核调试一般可以通过printk打印,这种方式需要重新编译内核,或者模块,如果编译内核还要重启设备才能生效。kprobe是一种内核调试方式,可以在内核执行代码位置中断,并执行我们插入的代码。同时内核提供了另一套接口 kprobe-trace,这个接口的优点是通过proc接口操作,不需要写代码,适合做一些临时的debug打印。
kprobe钩子详细介绍
kfy2011的专栏
12-14 4210
Kprobe钩子介绍 kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。 kprobe实现了三种类型的探测点:kp
内核调测工具kprobe之实践篇
Peter的专栏
02-08 2023
【推荐阅读】深入探究Linux Kprobe机制eBPF在android上的使用这才是kprobe工作的本质Kprobe介绍debug内核函数变量的时候最常用的是添加log,用printk...
linux 5.4 使用kretprobe 获取探测函数参数
最新发布
05-26
在 `handler` 函数中,我们通过 `regs` 参数获取了 `printk` 函数的参数,并使用 `printk` 函数将其打印出来。 在模块初始化函数 `my_init` 中,我们将 `kp` 注册到内核中,并指定被探测的函数名为 `printk`。如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值