内核态调测工具(一) kprobe

最新推荐文章于 2025-06-23 00:09:03 发布
最新推荐文章于 2025-06-23 00:09:03 发布
阅读量2.2k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: kprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cui841923894/article/details/81989506
本文详细介绍了Linux内核的kprobe调试工具,包括kprobe、jprobe和kretprobe的功能与使用方法,以及如何注册和取消注册探针。此外,还提到了kprobe的用户态接口和配置选项,帮助用户更深入地了解和利用kprobe进行内核行为跟踪。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kprobe介绍

Kprobe是一种内核调测手段,它可以动态地跟踪内核的行为、收集debug信息和性能信息。可以跟踪内核几乎所有的代码地址(almost:不允许跟踪的名单blacklist在/sys/kernel/debug/kprobes/blacklist),并且当断点被击中后会响应处理函数。

Kprobe有三个子功能:
Kprobes:几乎可以插入内核的任何指令;
Jprobes:可以插入内核的某个函数;
Kretprobes(return probes):可以在函数返回时触发;
这三个子功能,可以让用户在内核指令、内核进入函数和从函数退出时进行断点处理。

框架支持

Kprobes and return probes are implemented on the following
architectures:

  • i386 (Supports jump optimization)
  • x86_64 (AMD-64, EM64T) (Supports jump optimization)
  • ppc64
  • ia64 (Does not support probes on instruction slot1.)
  • sparc64 (Return probes not yet implemented.)
  • arm
  • ppc
  • mips
  • s390

控制接口说明

/sys/kernel/debug/kprobes/list: 列出内核中已经设置kprobe断点的函数
/sys/kernel/debug/kprobes/enabled: kprobe开启/关闭开关
/sys/kernel/debug/kprobes/blacklist: kprobe黑名单(无法设置断点函数)
/proc/sys/debug/kprobes-optimization: Turn kprobes optimization ON/OFF.

Kprobe函数接口及使用

1.Jprobe使用

#include <linux/kprobes.h>
int register_jprobe(struct jprobe *jp)
void unregister_jprobe(struct jprobe *jp);

1) register_jprobe()是jprobe的注册函数,参数jp->kp.addr指向需要调测的函数。
2) 当内核调用函数时断点被触发,执行jp->entry指向的处理函数。
3) 其中jp->kp.addr指向的函数名(以内核do_fork()函数为例),可以按以下方式确认内核是否存在:
grep do_fork /usr/src/linux/System.map
nm vmlinuz |grep do_fork
cat /proc/kallsyms |grep do_fork
kallsyms_lookup_name(“do_fork”);
4) jprobe断点的取消注册,调用unregister_jprobe()。

在linux内核源码中提供了jprobe的用例
samples/kprobes/jprobe_example.c:

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>

// 断点触发后的处理函数,这里打印stack信息,然后调用jprobe_return()返回断点触发位置
static long jdo_fork(unsigned long clone_flags, unsigned long stack_start,
              unsigned long stack_size, int __user *parent_tidptr,
              int __user *child_tidptr)
{
        pr_info("jprobe: clone_flags = 0x%lx, stack_start = 0x%lx "
                "stack_size = 0x%lx\n", clone_flags, stack_start, stack_size);

        /* Always end with a call to jprobe_return(). */
        jprobe_return();
        return 0;
}

// jprobe结构体初始化,其中.entry指定处理函数,.kp指定打断点的函数名称
static struct jprobe my_jprobe = {
        .entry                  = jdo_fork,
        .kp = {
                .symbol_name    = "do_fork",
        },
};

// 模块init函数,inmode插入模块从这里开始执行
static int __init jprobe_init(void)
{
        int ret;

        //jprobe注册函数
        ret = register_jprobe(&my_jprobe);
        if (ret < 0) {
                printk(KERN_INFO "register_jprobe failed, returned %d\n", ret);
                return -1;
        }
        printk(KERN_INFO "Planted jprobe at %p, handler addr %p\n",
               my_jprobe.kp.addr, my_jprobe.entry);
        return 0;
}

// 模块exit函数,rmmod卸载模块执行这个函数
static void __exit jprobe_exit(void)
{
        //取消jprobe断点
        unregister_jprobe(&my_jprobe);
        printk(KERN_INFO "jprobe at %p unregistered\n", my_jprobe.kp.addr);
}

module_init(jprobe_init)
module_exit(jprobe_exit)
MODULE_LICENSE("GPL");

2.Kprobe使用

最低0.47元/天 解锁文章

200万优质内容无限畅学
eBPF Kprobe,有些事做不到
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-08 1429
记录段失败的可行性验证方案,历时两天多,探索出eBPF kprobe技术的边界。 要谈eBPF kprobe,那就得从Kprobes聊起。 Kprobes Kprobes内核调试技术,是Linux提供的种能力。能在内核指令执行过程中动态断点,在不影响内核态指令正常运行的过程中,收集系统的性能数据。 Kprobes 内核调试技术 原理简单!内核函数方便利用指令向用户态暴露自己的内存地址。 (所有暴露的内核函数地址都在虚拟文件/proc/kallsyms上可找到!这是Kprobes利用的前提条件!) Kpr
【Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2762
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
kprobe
stone5513531的专栏
02-06 384
1、保证编译环境可用。 1)获取 Compile_Tool-3.0.93-1.0.x86_64.rpm 。 2)解压:rpm2cpio Compile_Tool_3.0.93-1.0.x86_64.rpm  | cpio -div 3) 安装环境rpm包:rpm -ivh kernel-source-3.0.93-0.8.2.x86_64.rpm                   rp
kprobe_example.c
09-05
used to dump a stack trace and selected registers when do_fork() is called.
bpftrace 工具手册速览
最新发布
csdn_tom_168的博客
06-23 1045
bpftrace工具手册摘要 bpftrace是基于eBPF技术的动态追踪工具,提供低开销的内核/用户态监控能力。主要特性包括: 多类型探针支持:包括kprobe、uprobe等6种探针类型 丰富内置变量:如pid、comm等8种系统变量 可视化输出:支持哈希映射、直方图等数据展示方式 典型应用场景:网络分析、性能调优和安全审计 高级功能:可与BCC工具协同、支持环形缓冲和进程间通信 安装简单,支持主流Linux发行版和macOS,需内核版本4.1+。典型用途包括TCP重传检测、系统调用延迟分析等。
linux内核调试工具kprobe
10-24 2626
kprobe 可以在系统运行期间,自定义回调函数,动态插入探测点。2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),使用grep检索所需要查询的信息。测试程序打开/home/kprobe.c 测试在kprobe探测能否探测到。在输出信息中可以看到函数的地址、打开的文件名、函数执行的时间40ns等信息。
kernel 调试技术之kprobe
持续学习和分享感兴趣的技术
04-20 935
kprobe是linux内核提供了个钩子回调机制,能够让我们轻松的加入回调函数在指定的函数之前调用。方便我们在不更改调试模块代码的情况下,加入回调函数以供调试使用。 实验环境 Ubuntu16.04 准备工作 查找想要hook的kernel内核函数。 sudo vim /boot/System.map-$(uname -r) 代码实例 这里我们决定对内核函数_do_...
内核调试工具箱:使用KGDB和KProbes进行高效调试
!... # 摘要 本文旨在探讨Linux内核调试中KGDB和KProbes的使用方法、原理及应用。首先介绍了内核调试的...接着,通过实践案例分析展示了内核调试工具在处理内核崩溃、内存泄漏和性能瓶颈问题中的实际应用。最后,展望了
【BSP开发经验】Linux内核开发调试手段
yy197696的博客
03-01 2172
内核开发比用户空间开发更难的个因素就是内核调试艰难。内核错误往往会导致系统宕机,很难保留出错时的现场。调试内核的关键在于你的对内核的深刻理解,同时需要掌握些内核调试的基本手段。
kprobe原理解析(
weixin_30706691的博客
06-14 278
kprobe是linux内核的个重要特性,是个轻量级的内核调试工具,同时它又是其他些更高级的内核调试工具(比如perf和systemtap)的“基础设施”,4.0版本的内核中,强大的eBPF特性也寄生于kprobe之上,所以kprobe在内核中的地位就可见斑了。本文想把kprobe的原理掰碎了给大家看。 怎么讲kprobe,我把整个讲述分为两部分,第部分是kprobe怎么用,第二是kp...
kprobe原理解析
weixin_33963189的博客
07-19 441
kprobe是什么? 如何高效的调试内核?printk是种方法,但是printk终归是毫无选择的全量输出,某些场景下不适用,于是你可以试下tracepoint,我使能tracepoint机制的时候才输出。对于傻傻的放置printk来输出信息的方式,tracepoint是个进步,但是tracepoint只是内核某些特定行为(比如进程切换)上部署...
arm64-kprobes
2201_75718536的博客
04-10 2148
kprobe种动态调试机制,用于debugging,动态跟踪和修改内核行为等,probe的含义是像个探针,可以不修改分析对象源码的情况下,获取Kernel的运行时信息。​
linux ebpf - kprobe_do_sys_open
qq_42931917的博客
07-14 1175
_x64_sys_openat 是种以绝对路径或相对路径打开文件的方式,需要指定打开文件的完整路径和用于查找文件的基础目录(该目录由另个文件描述符指定)。接着,内核会分配个新的文件描述符,并维护进程和该文件描述符之间的映射关系。上述代码存在个问题,设置读取map的时间间隔比较短,读取的map信息可能是上次更新的数据。,没有进行初始化,bpf字节码不会为该结构体申请空间,根本原因是没有进行结构体的初始化!声明部分,**看来还是得学学bpf的汇编,**从报错信息来看,是非法从直接从栈中读取数据?
随想录(强大的kprobe
嵌入式-老费,一个分享专业嵌入式知识的blog
10-21 6298
  【 声明:版权所有,欢迎转载,请勿用于商业用途。  联系信箱:feixiaoxing @163.com】       之前直对systemtap比较感兴趣,但是它的配置太麻烦,使用起来有点不是很顺手。今天偶然之中发现了kprobe,发现很是不错。对我而言,使用kprobe的最大好处就是可以不用重新编译内核就可以学习各个函数之间的调用关系。kprobe的实现原理不复杂,就是在对应的函数设...
Linux 下的个全新的性能测量和调式诊断工具 Systemtap,第 1 部分: kprobe
hnllei的专栏
04-28 1466
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1/index.html kprobe 的原理、编程接口、局限性和使用注意事项 杨 燚 (yang.y.yi@gmail.com), 计算机科学硕士, Intel 简介: 本系列文章详细地介绍了个Linux下的全新的调式、诊断和性能测量工具Systemtap和它所依
kprobe调试工具
lzhf1122的博客
12-28 778
debug内核函数变量的时候最常用的是添加log,用printk看下相关的信息,但是这种方式往往需要重新编译内核,然后再启动设备。而Kprobe可以在运行的内核中动态插入探测点,执行你预定义的操作。可以跟踪内核几乎所有的代码地址,并且当断点被击中后会响应处理函数。使用kprobe最常用的就是查询函数调用的参数和返回值。目前,使用kprobe可以通过自行编写内核模块,向内核注册探测点,探测函数可根据需要自行定制,使用灵活方便;
【原创】Linux kprobe 实现原理 图文详解 () kprobe实现原理
h_b__k的博客
11-03 1782
图文详解 linux kprobe 底层实现原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hello小崔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值