浅析从DWARF到BTF @龙蜥社区eBPF SIG

已于 2022-12-27 11:56:10 修改
阅读量747 收藏 3
点赞数
分类专栏: eBPF Linux内核安全 文章标签: linux
于 2022-12-27 11:29:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72742917/article/details/128453166
版权

一、背景

一个程序会经历编码、编译、运行的过程,但所有的开发几乎都不可能是一帆风顺的,总会有些意想不到的错误,这时便需要调试。那么调试器使用的调试信息是从哪里来的呢?答案就是从编译后的文件中来的(依赖编译的时候使用特定的编译选项,如GCC使用“-g”)。

在BPF程序开发过程中,我们也需要这类调试信息,首先LLVM 能够将调试信息附加到生成的 BPF 目标文件中。默认情况下,这是 DWARF 格式。但BPF 使用的是高度简化的版本称为 BTF。我们首先需要将DWARF 转换为 BTF。BPF程序加载到内核后,内核验证器将验证 BTF 数据的正确性并跟踪 BTF 数据包含的数据类型。

DWARF的全称是"Debugging With Attributed Record Formats",遵从GNU FDL授权。由以上述描述可知,DWARF是一种调试文件格式,许多编译器和调试器均使用DWARF来支持源代码级调试。简单来说,DWARF记录了源代码、二进制程序以及它们之间存在的联系。

本文主要从三个方面介绍DWARF:

  1. DWARF在elf文件存在哪些段,以及每个段的含义;
  2. 采用具体的实例,介绍了.deubg_str所包含的内容;
  3. 重点介绍了.debug_info段,其是理解BTF的关键;

二、elf中包含的DWARF段

DWARF在elf文件中共存在12个段。就本文而言,12个段重要的段是:.debug_info段和.deubg_str段,后面也是着重讲解这两个段。这两个段也是libbpf BTF最感兴趣的两个段。

三、.debug_str解析

.debug_str段主要包含了源代码中的各种可读文本。以下面的C代码为例:

struct test_struct{
    int testa;
    char testb;
}test_s;
int main()
{
    return 0;
}
  • 首先将该C代码编译成二进制,即gcc -g -o test test.c;
  • 运行命令:readelf -ws test,可以得到如下的文本。核心文本包括了test_s(结构体变量)、test_struct(结构体)、testa(结构体成员)、testb(结构体成员)、char(结构体成员类型)等。但是如果变量的名字是单个字符,则不会单独存储。
  0x00000000 74657374 5f73006d 61696e00 2f686f6d test_s.main./hom
  0x00000010 652f6368 656e6773 68757969 2e637379 e/chengshuyi.csy
  0x00000020 2f706168 6f6c6500 74657374 5f737472 /pahole.test_str
  0x00000030 75637400 474e5520 4320342e 382e3520 uct.GNU C 4.8.5 
  0x00000040 32303135 30363233 20285265 64204861 20150623 (Red Ha
  0x00000050 7420342e 382e352d 32382920 2d6d7475 t 4.8.5-28) -mtu
  0x00000060 6e653d67 656e6572 6963202d 6d617263 ne=generic -marc
  0x00000070 683d7838 362d3634 202d6700 74657374 h=x86-64 -g.test
  0x00000080 2e630074 65737461 00746573 74620063 .c.testa.testb.c
  0x00000090 68617200                            har.

四、.debug_info解析

.debug_info包含了DWARF的DIEs,DIE则重在描述数据类型。DIE包含一个tag,指定了DIE所描述的类型。DIE还包含属性列表,用于描述该类型的具体信息。

本节主要详细介绍了两种不同tag的DIE,分别是结构体类型(对应的tag是DW_TAG_structure_type)和引用类型(只介绍DW_TAG_const_type)。理解这两种DIE,非常有助于理解libbpf BTF的去重算法。

结构体类型
下面是一段简单的C语言代码。

struct test{
    int a;
    char b;
}test;
int main()
{
    return 0;
}
  • 首先将该C代码编译成二进制,即gcc -g -o test test.c;
  • 运行命令:readelf -wi test,可以得到如下文本:
<1><2d>: Abbrev Number: 2 (DW_TAG_structure_type)
    <2e>   DW_AT_name        : (indirect string, offset: 0x1c): test
    <32>   DW_AT_byte_size   : 8
    <33>   DW_AT_decl_file   : 1
    <34>   DW_AT_decl_line   : 1
    <35>   DW_AT_sibling     : <0x4e>
 <2><39>: Abbrev Number: 3 (DW_TAG_member)
    <3a>   DW_AT_name        : a
    <3c>   DW_AT_decl_file   : 1
    <3d>   DW_AT_decl_line   : 2
    <3e>   DW_AT_type        : <0x4e>
    <42>   DW_AT_data_member_location: 0
 <2><43>: Abbrev Number: 3 (DW_TAG_member)
    <44>   DW_AT_name        : b
    <46>   DW_AT_decl_file   : 1
    <47>   DW_AT_decl_line   : 3
    <48>   DW_AT_type        : <0x55>
    <4c>   DW_AT_data_member_location: 4
 <2><4d>: Abbrev Number: 0
 <1><4e>: Abbrev Number: 4 (DW_TAG_base_type)
    <4f>   DW_AT_byte_size   : 4
    <50>   DW_AT_encoding    : 5        (signed)
    <51>   DW_AT_name        : int
 <1><55>: Abbrev Number: 5 (DW_TAG_base_type)
    <56>   DW_AT_byte_size   : 1
    <57>   DW_AT_encoding    : 6        (signed char)
    <58>   DW_AT_name        : (indirect string, offset: 0x75): char
 <1><79>: Abbrev Number: 7 (DW_TAG_variable)
    <7a>   DW_AT_name        : (indirect string, offset: 0x1c): test
    <7e>   DW_AT_decl_file   : 1
    <7f>   DW_AT_decl_line   : 4
    <80>   DW_AT_type        : <0x2d>
    <84>   DW_AT_external    : 1
    <84>   DW_AT_location    : 9 byte block: 3 20 10 60 0 0 0 0 0       (DW_OP_addr: 601020)
 <1><8e>: Abbrev Number: 0

上述的文字可以转换成如下图所示的图形。可以理解以下几点:

  • DW_TAG_structure_type的结构体成员组织方式(通过DW_TAG_member字段);
  • 如何确定DW_TAG_variable的具体类型(通过DW_AT_type字段);


引用类型

const int a;
int main()
{
    return 0;
}

转换之后,得到如下内容:

 <1><4a>: Abbrev Number: 3 (DW_TAG_base_type)
    <4b>   DW_AT_byte_size   : 4
    <4c>   DW_AT_encoding    : 5        (signed)
    <4d>   DW_AT_name        : int
 <1><51>: Abbrev Number: 4 (DW_TAG_variable)
    <52>   DW_AT_name        : a
    <54>   DW_AT_decl_file   : 1
    <55>   DW_AT_decl_line   : 1
    <56>   DW_AT_type        : <0x64>
    <5a>   DW_AT_external    : 1
    <5a>   DW_AT_location    : 9 byte block: 3 20 10 60 0 0 0 0 0       (DW_OP_addr: 601020)
 <1><64>: Abbrev Number: 5 (DW_TAG_const_type)
    <65>   DW_AT_type        : <0x4a>

上述的文字可以转换成如下图所示的图形。可以理解DW_TAG_const_type存在的形式,
在这里插入图片描述

芯光未来
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
eBPF简介
SenberHu的博客
05-17 1738
基础概念 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。 eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核中的程序通过共用一个位于内核中map实现通信。为了防止注入的代码导致内核崩溃,eBPF会对注入的代码进行严格检查,拒绝不合格的代码的注
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表性C库。 特征 通过聚集内核中的连接事件来进行低开销的跟踪。 启用了BPF CO-RE(一次编译–随处运行) 先决条件 编译阶段 libbpf源代码 lang / LLVM> = 9 运行阶段 Linux内核版本> = 5.6(由于对bpf映射的批处理操作) 使用BTF类型信息构建Linux内核。 参见 。 两相共通 libelf和zlib库 go-conntracer-bpf中包含Linux内核功能 go-conntracer-bpf利用了Linux内核的一些最新功能。 内核版本4.18中的BP
ebpf执行报错no BTF found for kernel
qq_42931917的博客
06-29 879
在该方案中,eBPF 程序一次编译,然后在运行时进行更新(patched):基于运行的机器的内核结构布局更新运行指令。CO-RE依赖BTF是因为BTF提供了BPF程序的类型信息,这对于CO-RE的优化和动态加载非常重要。CO-RE需要使用BTF来检查BPF程序的类型正确性,以及在运行时动态解析BPF程序的符号和类型信息。它可以将BPF程序的字节码和相关的元数据打包成一个可重定位的对象文件,然后在运行时动态加载和共享这个对象文件。这样可以避免重复编译和加载相同的BPF程序,从而提高系统的性能和可维护性。
编译内核缺少必要的BTF信息
最新发布
m0_46380368的博客
05-20 408
在执行代码make M=samples/bpf时 报错:libbpf: failed to find '.BTF' ELF section in /usr/src/linux-6.5/vmlinux Error: failed to load BTF from /usr/src/linux-6.5/vmlinux: No data available解决代码是什么?
ebpf理解
muyuanbiao888的博客
08-05 528
简单记录下ebpf的个人理解。 结构 ebpf分为两部分。一部分是ebpf字节码代码,另外一部分是加载ebpf字节码的用户态程序。 ebpf字节码 字节码是只能使用bpf helper函数编写的代码。这个代码运行于内核中。 基于现有的tracing系统注入ebpf字节码,比如tracepoint,kprobe,raw_tracepoint等。这些根据注入点的不通这块将bpf程序进行对应的分类。每种类型有点差异,比如tracepoint类型的ebpf代码,获取函数参数按照指定的结构获取。而raw_tracep
BPF类型格式BTF
攻城狮
12-21 2267
@[TOC](BPF) 这是包含BPF(Berkeley Packet Filter)功能的文档,重点放在扩展的BPF版本(eBPF)上。 该内核方面的文档仍在开发中。 (出于历史原因)主要文本文档在Linux套接字过滤(又称为Berkeley数据包过滤器(BPF))中进行了描述。 该文档描述了经典BPF和扩展BPF指令集。 Cilium项目还维护着一个BPF和XDP参考指南,该指南对BPF体系结构有很深的技术深度。 bpf syscall的主要信息可在bpf(2)的手册页中找到。 BPF类型格式(BTF
DWARF格式调试信息中的数据压缩方法浅析
10-17
《DWARF格式调试信息中的数据压缩方法浅析》 DWARF格式是计算机软件调试领域广泛应用的一种调试信息格式,其主要目标是高效地存储调试信息,以减少对可执行文件存储空间的需求。本文将深入探讨DWARF格式在数据压缩...
wasm-dwarf:从wasm文件读取DWARF信息
04-28
在“wasm-dwarf:从wasm文件读取DWARF信息”这个项目中,我们关注的是如何从WebAssembly模块中提取这些调试信息。 WASM-DWARF工具是用Rust编程语言编写的,Rust以其内存安全和并发性而闻名,特别适合构建系统级工具...
dwarf-2.0.0.pdf_DWARF_
10-03
4. **行信息(Line Information)**:DWARF提供了源代码行号到机器代码地址的映射,帮助调试器追踪代码执行的路径。这种映射通常通过线性搜索线号表来实现。 5. **框架信息(Frame Information)**:DWARF包含了...
dwarves:DWARF解析器(WIP)
04-15
源代码在MIT许可下可从。它做什么解析DWARF格式,如下所示: readelf --debug-dump=info objdump --dwarf=info λ ./bin/setup...λ readelf --debug-dump=info spec/fixtures/c/build/example.so > spec/fixtures/...
dwarf_error.rar_DWARF
09-19
这个名为“dwarf_error.rar_DWARF”的压缩包文件显然与DWARF调试信息有关,其中包含了一个名为“dwarf_error.c”的源代码文件。下面我们将深入探讨DWARF、ELF以及它们在程序调试中的作用。 DWARF是一种开放标准,由...
eBPF学习记录(四)使用libbpf开发eBPF程序
jianjian的博客
03-06 6727
上一节,我们使用了bpftrace 开发eBPF程序跟踪内核和用户态的程序,bpftrace 简单易用,非常适合入门,可以带初学者轻松体验 eBPF 的各种跟踪特性。但是,bpftrace 并不适用于所有的 eBPF 应用,它本身的限制导致我们无法在需要复杂 eBPF 程序的场景中使用它。在复杂的应用中,还是推荐使用 BCC 或者 libbpf 进行开发。现在讲一下BCC 的开发,有问题可以看官方文档。 现在我们试试使用BCC开发一个eBPF程序,分以下3个步骤, 使用 C 开发一个 eBPF 程序 使用
BTFGen: 让 eBPF 程序可移植发布更近一步
dwh0403的专栏
04-08 726
本文地址:https://ebpf.top/post/btfgen-one-step-closer-to-truly-portable-ebpf-programs Mauricio 2022 2022/03/16 eBPF 是一项广为人知的技术,已经在可观测、网络和安全领域领域得到广泛应用。Linux 操作系统提供了虚拟机,可用于安全和高效的方式运行 eBPF 程序【译者注:如果是 JIT 模式则会直接翻译成本地 CPU 指令,则不需要虚拟机】。eBPF 程序挂载在操作系统提供的钩子上,使其能够在内核中
eBPF学习记录(一)eBPF介绍
热门推荐
jianjian的博客
02-18 1万+
一、什么是eBPF eBPF, 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。BPF 提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,这就让非内核开发人员也可以对内核进行控制。随着内核的发展,BPF 逐步从最初的数据包过滤扩展到了网络、内核、安全、跟踪等,而且它的功能特性还在快速发展中,这种扩展后的 BPF 被简称为 eBPF
通过实例理解 .debug_info section
wubyatseu的专栏
10-10 1495
Understand .debug_info through an example
内核编译----- pahole 问题
mudawei1的博客
10-13 2548
kernel 编译支持pahole
DWARF调试格式
qq_42001367的博客
08-12 1741
文章目录DWARF调试格式调试信息节点.debug_info和.debug_abbrev节区Compile Unit的划分 前一段时间了解了一下ELF文件和DWARF格式,用到了ELF文件中以DWARF格式存储的信息,在此总结记录一下。 DWARF调试格式 ELF全称Excutable Linkable Format,即可执行和可链接格式。 DWARF全称Debugging With Attributed Record Formats,即带格式的调试信息属性。 我理解的DWARF调试格式和ELF格式的关系是
调试信息(debugging information)——解析DWARF文件
Dong_HFUT的博客
01-21 1万+
gdb调试信息和dwarf文件简单解析
使用.debug_info调试信息查看结构体、位域变量内存分配
zhang_han666的博客
05-26 5956
&nbsp; &nbsp; &nbsp; &nbsp;上一篇使用readelf查看了.debug_info调试信息,现在我们对它进行分析。首先将调试信息保存到文档中: readelf -wi test &gt; out.txt 结构体分析 &nbsp; &nbsp; &nbsp; &nbsp;首先,我在结构体里定义了一个char型和一个double型,编译连接后查看调试信息,然后改变结构体中...
DWARF调试信息格式详解与应用
1. **源代码映射**:DWARF4提供了从机器代码到源代码的精确映射,允许调试器在运行时追踪程序执行的源代码路径。 2. **类型信息**:它记录了程序中的数据类型,包括结构体、联合体、枚举和指针等,使得调试器可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芯光未来

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值