ARM架构kprobe应用及实现分析(2.0 register_kprobe error 38)

最新推荐文章于 2025-06-23 10:03:58 发布
最新推荐文章于 2025-06-23 10:03:58 发布
阅读量2.4k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kprobe 文章标签: android kernel arm register_kprobe kprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liyongming1982/article/details/16362453
本文介绍了当遇到kprobe注册失败并返回错误号38时的解决方案。文章详细列举了必要的kernel配置项,如CONFIG_OPTPROBES=y、CONFIG_KALLSYMS_ALL=y等,并建议检查system.map文件确认register_kprobe函数的存在。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最开始 register_kprobe 的时候,返回错误,一直注册不成功,且返回错误号为38

最后发现是一些kernel编译的配置没有打开导致的.

所以当你编译kernel之前请确保下面选项是打开支持的:

   general setup
        --> kprobes

CONFIG_OPTPROBES=y
CONFIG_PREEMPT=y
CONFIG_OPTPROBES=y
CONFIG_MODULE_UNLOAD=y
CONFIG_MODULES=y
CONFIG_KALLSYMS=y
CONFIG_KALLSYMS_ALL=y
CONFIG_DEBUG_INFO=yAnd one more config flag I needed specific to my platform:

你可以在system.map 文件找查找 是否有register_kprobe 函数,来确定你的编译是否正确。

Linux内核之struct pt_regs结构
qq_26105397的博客
04-24 139
前沿项目开发最近进行系统hook功能实现相关业务,主要在centos7和8系列环境开发下关功能。调研了相关知识点,发现在系统7和8上内核版本差别比较大,7-3.10.x系列版本,8-4.18.x系列版本。依据两个系统的内核情况根对应的内核符号表进行数据业务的钩子功能开发。开发过程发现两个系统虽然都定义对应的钩子目标函数定义,但是实际过程发现在7系统上直接定义于目标函数相同的函数进行hook即可,而系统8系列可以直接将参数定义成pt_regs进行处理。那么问题来了,这个结构是个什么?有什么用?如何使用?
ARM Coresight Debug 系列 16 -- Linux 断点 BRK 中断使用详细介绍】
CodingCos的博客
10-16 3960
上节内容介绍了 BRK 后面跟的立即数会在断点中断发生时,保存到ESR.ISS中,那么我们看下linux 中 BRK 后面的立即数宏定义种类有哪些并分别作用是什么?ARM64中BRK 立即数的定义位于文件/*0x0040x0050x0060x1000x4000x4010x8000x9000x0ff/*:这是用于 Kprobes 的BRK指令的立即数值。Kprobes是Linux内核中的一个动态追踪工具,它允许你在运行时插入断点到内核代码中;
Kprobes源码分析----kprobe的注册
Justlinux2010的专栏
11-07 3419
kprobes是一个动态地收集调试和性能信息的工具,使用它几乎可以跟踪任何函数或被执行的指令。它的机制也很简单,就是将被探测的位置的指令替换为断点指令(不考虑jmp优化),断点指令被执行后会通过notifier_call_chain机制来通知kprobes,kprobes会首先调用用户指定的pre_handler接口。执行pre_handler接口后会单步执行原始的指令,如果用户也指定了post_
ARM架构kprobe应用实现分析(8.0 register_kprobe实现)
李子的备忘录
11-19 2147
int __kprobes register_kprobe(struct kprobe *p) { int ret = 0; struct kprobe *old_p; struct module *probed_mod; kprobe_opcode_t *addr; //返回要探测的决定地址 addr = kprobe_addr(p); if (IS_
ARM架构kprobe应用实现分析(10 trap中断注册及回调)
李子的备忘录
11-19 2255
首先可以看下探测点检测到非法指令时候,产生中断的dump_stack: symbol] (dump_backtrace+0x0/0x10c) from [] (dump_stack+0x18/0x1c) symbol] (dump_stack+0x0/0x1c) from [] (handler_pre+0x144/0x19c [kk]) symbol] (handler_pre+0x0/0
使用kprobe追踪内核内存分配失败现象
小猪爱拱地
09-09 1075
今天同事偶然问我一个问题,说程序中有一处malloc了很大的内存块,结果失败了,64位系统下虚地址空间应该足够大呀,为什么会失败呢? 模糊印象中确实可能会失败,貌似跟overcommit设置有关,具体原因记不清了,于是追查了一把,简单记录下。 首先简单写段malloc很大空间的程序,然后使用strace确认是哪里返回的错误,程序如下:
kprobe:register_kprobe failed, returned -2
libocdf的专栏
08-17 577
第一次练习使用kprobe,结果报错。
深入探究Linux Kprobe机制
liuhangtiant的博客
11-08 1081
概述 kprobe机制用于在内核中动态添加一些探测点,可以满足一些调试需求。本文主要探寻kprobe的执行路径,也就是说如果trap到kprobe,以及如何回到原路径继续执行。 实例 先通过一个实例来感受下kprobe,linux中有一个现成的实例: samples/kprobes/kprobe_example.c 由于当前验证环境是基于qemu+arm64,我删除了其他架构的代码,并稍稍做了一下改动: /* * NOTE: This example is works on x86 and power
Android perfetto 简介
求变,从思想开始
09-06 2849
android linux 性能优化 原理及操作
Linux内核kprobes的原理与实践
最新发布
u010826758的专栏
06-23 36
本文介绍了Linux内核动态调试技术kprobes的原理与应用kprobes通过动态插桩技术,无需重新编译内核即可监控函数执行状态,具有低侵入性和细粒度优势。文章详细讲解了kprobes的工作原理,包括指令替换和异常处理流程,并演示了静态和动态两种使用方式:通过内核模块编程实现静态监控,以及利用perf-tools、kprobe event等工具进行动态调试。特别展示了eBPF工具如opensnoop的实际应用,最后指出性能影响和使用注意事项。
Linux内核调试利器|kprobe 原理与实现
weixin_60043341的博客
08-12 684
本文主要介绍了 kprobe 的原理与实现,正如本文开始时所说,kprobe 机制的细节很多,所以本文不可能对所有细节进行分析。如果大家对 kprobe 的所有实现细节有兴趣,可以自行阅读源码。
kprobes
adaptiver的专栏
08-04 1043
1.  struct kprobe struct kprobe {        structhlist_node hlist;          /*list of kprobes for multi-handler support */        structlist_head list;          /*countthe number of times this pr
kprobe调试工具
lzhf1122的博客
12-28 775
debug内核函数变量的时候最常用的是添加log,用printk看下相关的信息,但是这种方式往往需要重新编译内核,然后再启动设备。而Kprobe可以在运行的内核中动态插入探测点,执行你预定义的操作。可以跟踪内核几乎所有的代码地址,并且当断点被击中后会响应处理函数。使用kprobe最常用的就是查询函数调用的参数和返回值。目前,使用kprobe可以通过自行编写内核模块,向内核注册探测点,探测函数可根据需要自行定制,使用灵活方便;
随想录(强大的kprobe
嵌入式-老费,一个分享专业嵌入式知识的blog
10-21 6293
  【 声明:版权所有,欢迎转载,请勿用于商业用途。  联系信箱:feixiaoxing @163.com】       之前一直对systemtap比较感兴趣,但是它的配置太麻烦,使用起来有点不是很顺手。今天偶然之中发现了kprobe,发现很是不错。对我而言,使用kprobe的最大好处就是可以不用重新编译内核就可以学习各个函数之间的调用关系。kprobe实现原理不复杂,就是在对应的函数设...
编译Linux内核模块ko时遇到ERROR: modpost undefined的解决方法
热门推荐
记录与分享
07-31 1万+
笔者在编译ko模块时,遇到了如下报错:modpost提示的都是常用函数啊,比如_printkkfreekmallocmemset啥的),发现是自己Linux源码的.config文件出了问题
Linux kprobe调试技术使用
weixin_34383618的博客
10-28 288
kprobe调试技术是为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。 利用kprobe技术,可以在内核绝大多数函数中动态插入探测点,收集调试状态所需信息而基本不影响原有执行流程。 kprobe提供三种探测手段:kprobe、jprobe和kretprobe,其中jprobe和kretprobe基于kprobe实现,分别应用于不同探测场景中。   可以通过两种方式使用kprobe:第一...
【调试】kprobes()基本概念
嵌入式与Linux那些事的博客
04-07 3393
开发人员在内核或者模块的调试过程中,往往会需要要知道其中的一些函数有无被调用、何时被调用、执行是否正确以及函数的入参和返回值是什么等等。比较简单的做法是在内核代码对应的函数中添加日志打印信息,但这种方式往往需要重新编译内核或模块,重新启动设备之类的,操作较为复杂甚至可能会破坏原有的代码执行过程。
内核调测工具kprobe之实践篇
Peter的专栏
02-08 2839
【推荐阅读】深入探究Linux Kprobe机制eBPF在android上的使用这才是kprobe工作的本质Kprobe介绍debug内核函数变量的时候最常用的是添加log,用printk...
Linux内核调试技术——kprobe使用与实现(四)
Linux知识积累
06-21 956
Linux内核调试技术——kprobe使用与实现(一)Linux内核调试技术——kprobe使用与实现(二)Linux内核调试技术——kprobe使用与实现(三)Linu...
register_kprobe
04-02
<think>好的,我现在需要帮助用户解决关于在Linux内核开发中使用register_kprobe的问题。首先,我得回忆一下kprobe的基本概念。kprobe是Linux内核中的一个调试机制,允许动态地插入探测点来监控内核函数的执行。用户提到的register_kprobe应该是指注册一个kprobe结构体,用于指定需要探测的函数和处理程序。 接下来,我需要确认用户的具体需求。他们可能想了解如何正确使用register_kprobe函数,包括初始化kprobe结构体、设置探测点、编写处理函数以及处理可能的错误。同时,用户可能遇到一些常见问题,比如模块加载失败、处理函数导致系统不稳定等,需要给出解决方案。 然后,我需要查阅相关的资料,比如用户提供的引用内容。引用[1]提到kprobe机制用于Hook系统调用,引用[3]则涉及配置内核启用CONFIG_KPROBES,这可能是在使用register_kprobe之前必须的步骤。此外,引用[3]还提到编写Kprobes模块的步骤,这应该包括注册kprobe的过程。 接下来,我需要组织回答的结构。首先,介绍register_kprobe的基本用法,包括结构体定义、处理函数、注册与注销步骤。然后,给出一个代码示例,展示如何实际编写一个内核模块。之后,列举常见问题及解决方法,比如确保内核配置正确、处理函数的安全性、地址获取的方法等。最后,生成相关问题,帮助用户进一步学习。 需要注意的事项包括:确保代码示例的正确性,比如使用正确的头文件、模块初始化和退出函数。同时,提醒用户处理函数中不能睡眠或调用可能引起调度的函数,避免系统崩溃。另外,获取函数地址的方法可能需要使用kallsyms_lookup_name,这需要内核配置支持。 用户可能遇到的问题还包括符号查找失败,这时候需要检查函数是否存在或是否被内联优化。此外,注册失败可能是由于权限问题或内存不足,需要检查返回值。这些都需要在常见问题部分提到。 最后,生成的相关问题应该围绕kprobe的高级用法、错误处理、替代方案等,帮助用户扩展知识面。</think>### register_kprobe 的用法详解 在Linux内核开发中,`register_kprobe` 是kprobes机制的核心API,用于动态插入探测点到内核函数。以下是具体实现步骤和技术要点: --- #### 一、基础使用步骤 1. **定义kprobe结构体** ```c #include <linux/kprobes.h> struct kprobe kp = { .symbol_name = "target_function", // 要Hook的内核函数名 .pre_handler = pre_handler_cb, // 函数执行前的回调 .post_handler = post_handler_cb // 函数执行后的回调 }; ``` 2. **编写处理函数** ```c static int pre_handler_cb(struct kprobe *p, struct pt_regs *regs) { printk(KERN_INFO "Enter %s\n", p->symbol_name); return 0; // 必须返回0 } static void post_handler_cb(struct kprobe *p, struct pt_regs *regs, unsigned long flags) { printk(KERN_INFO "Exit %s\n", p->symbol_name); } ``` 3. **注册与注销** ```c // 模块初始化 static int __init kprobe_init(void) { int ret = register_kprobe(&kp); if (ret < 0) { printk(KERN_ERR "Register kprobe failed: %d\n", ret); return ret; } return 0; } // 模块退出 static void __exit kprobe_exit(void) { unregister_kprobe(&kp); } ``` --- #### 二、完整代码示例 ```c #include <linux/module.h> #include <linux/kprobes.h> static struct kprobe kp = { .symbol_name = "do_fork", // 示例Hook进程创建函数 }; static int pre_handler(struct kprobe *p, struct pt_regs *regs) { pr_info("Pre-handler: PID=%d called do_fork\n", current->pid); return 0; } static int __init mymodule_init(void) { kp.pre_handler = pre_handler; int ret = register_kprobe(&kp); if (ret < 0) { pr_err("Failed to register kprobe: %d\n", ret); return ret; } pr_info("Kprobe registered at %p\n", kp.addr); return 0; } static void __exit mymodule_exit(void) { unregister_kprobe(&kp); pr_info("Kprobe unregistered\n"); } module_init(mymodule_init); module_exit(mymodule_exit); MODULE_LICENSE("GPL"); ``` --- #### 三、常见问题与解决方法 1. **模块加载失败** - 检查内核配置是否启用`CONFIG_KPROBES`和`CONFIG_DEBUG_INFO`[^3] - 使用`dmesg`查看内核日志定位错误原因 2. **处理函数导致系统崩溃** - 禁止在处理函数中调用可能引起调度的函数(如`kmalloc`) - 使用`dump_stack()`时需谨慎,避免递归探测 3. **获取目标函数地址** - 通过`kallsyms_lookup_name("function_name")`动态获取地址 - 对于静态函数,需修改内核符号导出或使用`objdump`反编译 --- #### 四、进阶技巧 - **寄存器访问**:通过`struct pt_regs *regs`读取参数,如x86_64下`regs->di`为第一个参数 - **过滤条件**:在`pre_handler`中通过寄存器值决定是否跳过函数执行 - **安全限制**:需`CAP_SYS_ADMIN`权限加载模块,或在启用`CONFIG_KPROBES_SANITY_TEST`时绕过检查[^4] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值