Linux内核调试利器|kprobe 原理与实现

最新推荐文章于 2023-09-01 11:42:01 发布
最新推荐文章于 2023-09-01 11:42:01 发布
阅读量605 收藏 2
点赞数
文章标签: 数据库 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60043341/article/details/126308269
版权
本文详细介绍了 Linux 内核调试工具 kprobe 的工作原理和实现方式,包括 kprobe 如何利用断点机制追踪内核函数执行前后的状态,以及 kprobe 的初始化、注册过程和回调函数的执行流程。通过对 kprobe 的深入理解,有助于开发者更有效地进行内核调试。
摘要由CSDN通过智能技术生成

在《Linux 内核调试利器 | kprobe 的使用》一文中,我们介绍过怎么使用 kprobe 来追踪内核函数,而本文将会介绍 kprobe 的原理和实现。

kprobe 原理

kprobe 可以用来跟踪内核函数中某一条指令在运行前和运行后的情况。

我们只需在 kprobe 模块中定义好指令执行前的回调函数 pre_handler() 和执行后的回调函数 post_handler(),那么内核将会在被跟踪的指令执行前调用 pre_handler() 函数,并且在指令执行后调用 post_handler() 函数。如下图所示:

那么,内核是怎样做到在被跟踪指令执行前调用 pre_handler() 函数和指令执行后调用 post_handler() 函数的呢?

如果你读过我们之前写的一篇文章《断点的原理》,那么就比较容易理解 kprobe 的原理了,因为 kprobe 使用了类似于断点的机制来实现的。

如果不了解断点的原理,那么请先看看这篇文章《断点的原理》。

当使用 kprobe 来跟踪内核函数的某条指令时,kprobe 首先会把要追踪的指令保存起来,然后把要追踪的指令替换成 int3 指令。如下图所示:

 

被追踪的指令替换成 int3 指令后,当内核执行到这条指令时,将会触发 do_int3() 异常处理例程。

do_int3() 异常处理例程的执行过程如下:

  1. 首先调用 kprobe 模块的 pre_handler() 回调函数。

  2. 然后将 CPU 设置为单步调试模式。

  3. 接着从异常处理例程中返回,并且执行原来的指令。

我们通过下图来展示 do_int3() 函数的执行过程:

由于设置了单步调试模式,当执行完原来的指令后,将会触发 debug异常(这是 Intel x86 CPU 的一个特性)。

当 CPU 触发 debug异常 后,内核将会执行 debug 异常处理例程 do_debug(),而 do_debug() 异常处理例程将会调用 kprobe 模块的 post_handler() 回调函数。

下图展示了 kprobe 的执行流程:

kprobe 实现

了解了 kprobe 的原理后,现在我们开始分析 kprobe 的代码实现。

由于 kprobe 的细节很多,本文只会对 kprobe 整个大体实现方式进行分析,有些细节需要读者自行阅读源码了解。

1. kprobe 初始化

一个功能的实现,一般都需要先初始化其所使用的资源和环境,kprobe 功能也不例外。

下面我们来看看 kprobe 的初始化过程,kprobe 的初始化由 init_kprobes() 函数实现:

static int __init init_kprobes(void)
{
    int i, err = 0;
    unsigned long offset = 0, size = 0;
    char *modname, namebuf[128];
    const char *symbol_name;
    void *addr;
    struct kprobe_blackpoint *kb;

    // 1) 初始化用于存储 kprobe 模块的哈希表
    for (i = 0; i < KPROBE_
最低0.47元/天 解锁文章
DPDK技术员
关注
Linux调试技术制kprobes
11-18
Kprobe是linux的一种动态调试的技术
Linux kprobe原理
小立仔
11-25 2997
Linux kprobe原理,以及其优化简介
Linux内核kprobe机制实现浅析
Fybon的专栏
12-10 1281
Kprobe机制是内核提供的一种调试机制,它提供了一种方法,能够在不修改现有代码的基础上,灵活的跟踪内核函数的执行。它的基本工作原理是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。      Kprobe提供了三种形式的探测点,一种是最基本的kprobe,能够在指定代码执行前、执行后进行探测,但此时不
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
Linux Kprobe原理与应用
最新发布
chi's blog
09-01 482
首先kprobe是最基本的探测方式,是实现后两种的基础,它可以在任意的位置放置探测点(就连函数内部的某条指令处也可以),它提供了探测点的调用前、调用后和内存访问出错3种回调方式,分别是pre_handler、post_handler和fault_handler,其中pre_handler函数将在被探测指令被执行前回调,post_handler会在被探测指令执行完毕后回调(注意不是被探测函数),fault_handler会在内存访问出错时被调用;2、一般情况下,可以探测内核中的任何函数,包括中断处理函数。
linux kprobe
weixin_41028621的博客
02-28 850
了解linux kprobe 1.What is kprobes?   kprobe是一个轻量级的内核调试工具,也是其他更高级的内核调试(如perf和systemtap的基础)。kprobes 主要用来对内核进行调试追踪, 属于比较轻量级的机制, 本质上是在指定的探测点(比如函数的某行, 函数的入口地址和出口地址, 或者内核的指定地址处)插入一组处理程序. 内核执行到这组处理程序的时候就可以获取到当前正在执行的上下文信息, 比如当前的函数名, 函数处理的参数以及函数的返回值, 也可以获取到寄存器甚至全局.
SystemTap:Linux内核调试利器,简化性能数据采集
SystemTap是Linux系统中一种强大的内核调试工具,专为简化动态...SystemTap革新了Linux系统内核调试的方式,降低了学习曲线,使得用户能够更加专注于数据的分析和问题的解决,从而极大地推动了Linux内核的维护和发展。
objtrace内核调试利器实现实时变量追踪
objtrace代码分析是一篇关于Linux内核调试工具的文章,由作者陈松撰写,主要关注在开发和调试过程中如何追踪变量值的变化。内核中的kprobe功能允许在不修改代码的情况下观察函数参数,它利用了ftrace中的...
Linux内核调试:深入解析Kprobes技术
本文主要探讨了Linux内核调试技术中的...Kprobes是Linux内核调试利器,它使开发者能够无侵入地理解内核行为,优化性能,并解决复杂的问题。通过学习和熟练掌握Kprobes,开发者可以更有效地调试和优化Linux内核代码。
深入探索:kprobe内核调试技术分析
总而言之,kprobe是Linux内核调试和分析的重要工具,它简化了对内核运行时行为的跟踪和理解,尤其是在处理复杂逻辑和优化性能时。虽然在不同架构间的移植可能带来额外的工作,但其灵活性和便利性使其成为内核开发者...
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
linux内核调试工具之kprobe
10-24 2387
kprobe 可以在系统运行期间,自定义回调函数,动态插入探测点。2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),使用grep检索所需要查询的信息。测试程序打开/home/kprobe.c 测试在kprobe探测能否探测到。在输出信息中可以看到函数的地址、打开的文件名、函数执行的时间40ns等信息。
linux kprobe使用
qq_42931917的博客
02-28 683
kprobe
Linux kprobe的使用
小立仔
07-21 4110
Linux kprobe的简单使用
Linux中动态探针kprobes
badman250的专栏
06-20 1826
 Kprobes 是 Linux 中的轻量级装置,可以将断点插入到正在运行的内核之中。Kprobes 可以地收集处理器寄存器和全局数据结构等调试信息。甚至可以使用 Kprobes 来修改 寄存器值和全局数据结构的值。Kprobes 向运行的内核中给定地址写入断点指令,插入一个探测器。 执行被探测的指令会导致断点错误。Kprobes 钩住(hook in)断点处理器并收集调试信息。Kprobes 甚...
linux kprobe 例子,Linux kprobe初探
weixin_32635501的博客
05-16 312
最近学习bcc-tools工具的使用,发现单单会使用还是不行,必须了解到其深层次的原理,所以使用该工具的时候,加了-v指令,分析了下bcc的调用流程,大致如下:^CTraceback (most recent call last):File"./funclatency", line 211, in b.attach_kretprobe(event_re=pattern, fn_name="trac...
Linux内核调试技术之kprobes:基本原理与使用
Aspiresky的专栏
12-14 2172
Linux kprobes技术是一种可以跟踪内核函数执行状态的轻量级内核调试技术,利用kprobes技术可以在运行的内核中动态的插入探测点,当内核运行到该探测点后可以执行用户预定义的回调函数,以收集所需的调试状态信息而基本不影响内核原有的执行流程。{return 0;}.symbol_name = "do_fork", // 要追踪的内核函数为 do_fork.pre_handler = handler_pre // pre_handler 回调函数。
使用kprobe监控linux内核提权(cred方法)
SHELLCODE_8BIT的博客
10-26 559
结论,每个fork和exec都会调用该程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值