Linux内核调试利器|kprobe 原理与实现

最新推荐文章于 2024-05-20 11:28:37 发布
VIP文章 最新推荐文章于 2024-05-20 11:28:37 发布
阅读量430 收藏 1
点赞数
文章标签: 数据库 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60043341/article/details/126308269
版权

在《Linux 内核调试利器 | kprobe 的使用》一文中,我们介绍过怎么使用 kprobe 来追踪内核函数,而本文将会介绍 kprobe 的原理和实现。

kprobe 原理

kprobe 可以用来跟踪内核函数中某一条指令在运行前和运行后的情况。

我们只需在 kprobe 模块中定义好指令执行前的回调函数 pre_handler() 和执行后的回调函数 post_handler(),那么内核将会在被跟踪的指令执行前调用 pre_handler() 函数,并且在指令执行后调用 post_handler() 函数。如下图所示:

那么,内核是怎样做到在被跟踪指令执行前调用 pre_handler() 函数和指令执行后调用 post_handler() 函数的呢?

如果你读过我们之前写的一篇文章《断点的原理》,那么就比较容易理解 kprobe 的原理了,因为 kprobe 使用了类似于断点的机制来实现的。

如果不了解断点的原理,那么请先看看这篇文章《断点的原理》。

当使用 kprobe 来跟踪内核函数的某条指令时,kprobe 首先会把要追踪的指令保存起来,然后把要追踪的指令替换成 int3 指令。如下图所示:

 

被追踪的指令替换成 int3 指令后,当内核执行到这条指令时,将会触发 do_int3() 异常处理例程。

do_int3() 异常处理例程的执行过程如下:

  1. 首先调用 kprobe 模块的 pre_handler() 回调函数。

  2. 然后将 CPU 设置为单步调试模式。

  3. 接着从异常处理例程中返回,并且执行原来的指令。

我们通过下图来展示 do_int3() 函数的执行过程:

由于设置了单步调试模式,当执行完原来的指令后,将会触发 debug异常(这是 Intel x86 CPU 的一个特性)。

当 CPU 触发 debug异常 后,内核将会执行 debug 异常处理例程 do_debug(),而 do_debug() 异常处理例程将会调用 kprobe 模块的 post_handler() 回调函数。

下图展示了 kprobe 的执行流程:

kprobe 实现

了解了 kprobe 的原理后,现在我们开始分析 kprobe 的代码实现。

由于 kprobe 的细节很多,本文只会对 kprobe 整个大体实现方式进行分析,有些细节需要读者自行阅读源码了解。

1. kprobe 初始化

一个功能的实现,一般都需要先初始化其所使用的资源和环境,kprobe 功能也不例外。

下面我们来看看 kprobe 的初始化过程,kprobe 的初始化由 init_kprobes() 函数实现:

static int __init init_kprobes(void)
{
    int i, err = 0;
    unsigned long offset = 0, size = 0;
    char *modname, namebuf[128];
    const char *symbol_name;
    void *addr;
    struct kprobe_blackpoint *kb;

    // 1) 初始化用于存储 kprobe 模块的哈希表
    for (i = 0; i < KPROBE_TABLE_SIZE; i++) {
最低0.47元/天 解锁文章
DPDK技术员
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux内核调试工具Kprobe机制的研究.pdf
10-27
Linux内核调试工具Kprobe机制的研究.pdf
深入ftrace kprobe原理解析
奇小葩
11-20 3107
至此,我们知道Kprobe实现的本质是breakpoint和single-step的结合,这一点和大多数调试工具一样,比如kgdb/gdb。当 kprobe 被注册后,内核会将对应地址的指令进行拷贝并替换为断点指令(比如 X86 中的int 3)随后当内核执行到对应地址时,中断会被触发从而执行流程会被重定向到我们注册的函数当对应地址的原始指令执行完后,内核会再次执行从而实现指令级别的内核动态监控。也就是说,kprobe 不仅可以跟踪任意带有符号的内核函数,也可以跟踪函数中间的任意指令。
linux 内核调试
qq_35782149的博客
05-09 307
本文系转载文档 感谢作者 https://blog.csdn.net/gatieme/article/details/68948080 参考链接 Linux内核调试的方式以及工具集锦 GitHub https://www.cnblogs.com/cslunatic/p/3639099.html https://www.cnblogs.com/syw-casualet/p/5271369.html ...
Linux tracing之基于uprobe/kprobe的调试调优浅析
tugouxp的专栏
06-23 1011
uprobe与krobe对应,动态附加到用户态调用函数的切入点称为uprobe,相比如kprobe 内核函数的稳定性,uprobe 的函数由开发者定义。uprobe是用户态的探针,它和kprobe是相对应的,kprobe是内核态的探针。uprobe需要制定用户态探针在执行文件中的位置,插入探针的原理和kprobe类似。下面是对uprobe使用方法的简单介绍。Makefile分别编译地址加载无关和地址相关两个版本的应用程序,分别抓取其PROBE结果。之后使用如下命令查看注册的EVENT事件。
Linux内核调试的方式以及工具集锦
热门推荐
OSKernelLAB(gatieme)
04-01 3万+
CSDN GitHub Linux内核调试的方式以及工具集锦 LDD-LinuxDeviceDrivers/study/debug 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可, 转载请注明出处, 谢谢合作 因本人技术水平和知识面有限, 内容如有纰漏或者需要修正的地方, 欢迎大家指正, 也欢迎大家提供一些其他好的调试工具以供收录, 鄙人在此谢谢啦
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
Linux调试技术制kprobes
11-18
Kprobe是linux的一种动态调试的技术
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
mysql事务(原理)
m0_74347016的博客
05-19 517
mysql事务原理
php centos选择sqlserver的驱动和扩展选择版本的说明
Z.X的博客
05-14 440
2023年2月23日13:41:48首先是php php扩展 驱动 数据库的关系 官方文档说明: https://learn.microsoft.com/zh-cn/sql/connect/php/step-1-configure-development-environment-for-php-development?view=sql-server-2017https://learn.microsoft.com/zh-cn/sql/connect/php/system-requirements-for-th
生产报表工具PI DataLInk 与 行列视之间的区别
2401_83701843的博客
05-17 246
行列视,全名“行列视生产数据应用系统”,行列视品牌所面对的业务范围远远超越了PIDatalink报表工具,他首先是一款本地部署的在线Excel文档管理系统,解决个人报表在线管理问题,其次,她和PIDataLInk一样,也是面向实时数据库报表需求的一套工具,其区别在于行列视品牌兼容国内外大多数实时数据库,也可以同时连接多个数据源,也就是她完全可以替代PI-DataLINk,同时也适用于其他品牌下的实时数据库系统;
MySQL存储过程添加二十万条数据日常练习
mi_mx的博客
05-17 304
【代码】MySQL日常练习。
在window用bat批处理制作mongodb本地启动文件
weixin_50367873的博客
05-17 602
bat文件是dos下的批处理文件。批处理文件是无格式的文本文件,它包含一条或多条命令。它的文件扩展名- 为 .bat 或 .cmd。在命令提示下输入批处理文件的名称,或者双击该批处理文件,系统就会调用cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。使用批处理文件(也被称为批处理程序或脚本),可以简化日常或重复性任务。
【Golang】 MySQL 在 Go 语言驱动程序中常用参数
tr6666的博客
05-15 318
在 Go 语言中,我们使用数据库驱动程序来连接和操作数据库。对于 MySQL,我们通常使用 go-sql-driver/mysql 驱动程序。在使用这个驱动程序时,我们需要提供一个数据源名称(DSN),它是一个包含数据库连接信息的字符串。在这个字符串中,我们可以设置很多参数来控制驱动程序的行为。本文将介绍一些常用的参数。在 MySQL 的 Go 语言驱动程序中,我们可以通过设置 DSN 中的参数来控制驱动程序的行为。这些参数可以影响到连接的建立,数据的读写,以及数据的解析等各个方面。
Postgresql源码(130)ExecInterpExpr转换为IR的流程
InternalsOf
05-17 1290
ExecInterpExpr转换为IR的流程
CentOS8+MySQL8.0.26+Skywalking9.7.0数据清理机制
xiaozhanfeng的博客
05-15 791
#### 代码中定义的额外模型列,这些模型列在聚合或查询时不需要,会加重负载。但激活后,用户可以看到名称,更容易自行查询数据。##### 1级聚合到2级聚合的刷新时间,默认500毫秒。##### TOPN记录报告周期,默认10分钟。##### 执行数据持久化周期,默认25秒。##### 数据清理定时器,默认5分钟。##### 明细记录有效期,默认3天。##### 监测数据有效期,默认7天。##### 会话时间阈值,默认70秒。##### 数据清理开关,默认开启。
windows11 Django环境安装
云深海阔专栏
05-15 148
3)在这个文件夹中使用manager.py和runserver命令运行开发 web 服务器。2)使用 django-admin 工具创建一个名为“mytestsite”的新框架站点。浏览器上访问http://localhost:800。2、windows10 虚拟环境设置。1、验证python和pip3环境。1)创建文件夹及项目目录。4)web浏览器上验证。3、安装Django。
国产化信息技术基础设施构建方案
最新发布
雨笋情缘的专栏
05-20 205
随着信息技术国产化的趋势日益增强,为保障信息安全与自主可控,本方案旨在通过全面调研与科学评估,实现操作系统及基础软件的国产替代。本方案将聚焦于国产操作系统的调研与选择,以及数据库、中间件等基础软件的国产化替代方案,确保技术体系的高效稳定运行与持续发展。本方案旨在通过系统性的调研与评估,实现信息技术基础设施的国产化升级,提升系统的安全性与自主可控能力。未来,随着国产软硬件生态的不断成熟,将进一步优化技术栈,促进技术创新与产业升级,为企业的可持续发展奠定坚实的基础。兼容性:对常用应用软件、硬件设备的支持情况。
linux 驱动调试方法
08-01
3. 使用调试工具: Linux内核提供了一些调试工具,如kprobe、kprobe-based-trace等。这些工具可以用于在运行时跟踪内核函数的调用和参数,并通过利用perf工具进行性能分析。针对特定问题,可以使用ftrace来进行函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值