分析kprobe原理

深入分析 Linux kprobe 原理
最新推荐文章于 2025-09-12 01:28:42 发布
原创 最新推荐文章于 2025-09-12 01:28:42 发布 · 568 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

kprobe

kprobe 是 Linux 内核中一种强大的 动态追踪机制,允许开发者在内核任意函数或指令处注册钩子(probe),用于调试、性能分析、故障排查等。下面是对其 原理 的详细分析:

基本概念

  • kprobe(Kernel Probe):动态插桩,在运行中的内核中插入断点,回调用户注册的处理函数。
  • jprobe(已废弃):在函数开始处插入 probe,用于获取函数参数。
  • kretprobe:插入函数返回点,用于捕获返回值。

核心原理分析

工作机制流程

以下是一次 kprobe 的典型处理流程:

  1. 注册 probe:
  • 使用 register_kprobe() 接口注册一个 probe。
  • 内核会查找目标地址对应的指令,并将其替换为 int3(x86 中断指令 0xCC)或架构相关的 trap 指令 (如,arm64 brk指令)。
  1. 执行到 probe 点:
  • 当 CPU 执行到该地址时,发生 #BP(Breakpoint)异常。
  • 中断处理程序捕获异常,判断是否为 kprobe 插入的断点。
  1. 执行预处理函数:
  • 如果是 kprobe 插入的断点,内核执行用户提供的 pre_handler()。
  • 用户可以读取寄存器、堆栈,甚至篡改指令流。
  1. 恢复原指令:
  • 内核在执行原始指令之前,先将其恢复,然后单步执行。
  • 执行完后再恢复为断点(断点重插)。
  1. 执行后处理函数(可选):
  • 在单步完成后,内核会调用 post_handler()。

实现细节(x86 为例)

  1. 插入断点
  • 内核替换目标函数某指令为 int3(0xCC,单字节):
    *addr = 0xCC;
  • 保存原始指令,便于后续恢复。
  1. 异常处理流程

当 int3 被触发:

  • a. CPU 触发 #BP,进入 do_int3():
    do_int3() -> kprobe_int3_handler() -> kprobe_handler()
  • b. 内核检查异常地址是否是注册的 kprobe:
    • 如果是,则调用 pre_handler。
    • 设置单步标志(EFLAGS.TF = 1),并将原指令写回地址。
    • 单步异常触发 do_debug(),执行原指令后触发:
  • c. 调用 post_handler。
    • 再将指令替换回断点(0xCC)。

数据结构核心

以下是几个关键的数据结构:

struct kprobe {
    struct hlist_node hlist;
    kprobe_opcode_t *addr;               // 插入的地址
    kprobe_pre_handler_t pre_handler;    // 断点前回调
    kprobe_post_handler_t post_handler;  // 单步后回调
    kprobe_opcode_t opcode;              // 原始指令
    ...
};

注册接口:

int register_kprobe(struct kprobe *kp);
void unregister_kprobe(struct kprobe *kp);

kretprobe 原理(函数返回点)

kretprobe 是在函数返回时触发:

  • 内核 hook 掉函数的返回地址(在栈中)。
  • 用 trampoline 地址替换返回地址。
  • 当函数执行完成返回 trampoline 函数时,执行用户定义的 handler()。

关键结构:

struct kretprobe {
    struct kprobe kp;
    kretprobe_handler_t handler; // 函数返回时回调
    ...
};

并发与异常处理

  • 每 CPU 栈上维护一个 kprobe_ctlblk 结构体,避免多 probe 嵌套时状态错乱。
  • 支持 reentrancy,但嵌套 probe 会有复杂状态切换。
  • kprobe 是抢占不可重入的(除非显式开启 KPROBE_FLAG_SHARED)。

限制和注意事项

  • 不能插入到中断上下文中可能运行的函数中(风险高)。
  • 不能 probe 某些 early boot 函数或 __init 代码。
  • 不可插入到 INT3 之后立即是 RET/IRET 的位置。
  • kprobe 支持动态加载模块,但注册时要特别小心地址变化。

使用示例(x86)

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
    printk("kprobe hit at %p\n", p->addr);
    return 0;
}

static struct kprobe kp = {
    .symbol_name = "do_fork",
    .pre_handler = handler_pre,
};

static int __init kprobe_init(void)
{
    register_kprobe(&kp);
    return 0;
}

static void __exit kprobe_exit(void)
{
    unregister_kprobe(&kp);
}

工具和扩展

  • perf、ftrace、bpftrace、systemtap 底层都可用 kprobe 实现。
  • eBPF 支持将 probe 直接挂在 kprobe 上运行,无需内核模块(使用 tracefs + kprobe_events)。
Linux kprobe原理(1)
m0_v648374的博客
04-28 1112
enum {//当 CPU 遇到断点指令时,会发生陷阱,保存 CPU 的寄存器,并通过 notifier_call_chain 机制将控制权传递给 Kprobes。goto exit;return 1;if (!
Linux内核调试利器|kprobe 原理与实现
weixin_60043341的博客
08-12 733
本文主要介绍了 kprobe原理与实现,正如本文开始时所说,kprobe 机制的细节很多,所以本文不可能对所有细节进行分析。如果大家对 kprobe 的所有实现细节有兴趣,可以自行阅读源码。
Linux kprobe原理
小立仔
11-25 3722
Linux kprobe原理,以及其优化简介
kprobe原理解析(一)
weixin_30706691的博客
06-14 298
kprobelinux内核的一个重要特性,是一个轻量级的内核调试工具,同时它又是其他一些更高级的内核调试工具(比如perf和systemtap)的“基础设施”,4.0版本的内核中,强大的eBPF特性也寄生于kprobe之上,所以kprobe在内核中的地位就可见一斑了。本文想把kprobe原理掰碎了给大家看。 怎么讲kprobe,我把整个讲述分为两部分,第一部分是kprobe怎么用,第二是kp...
深度剖析Linux内核Kprobes:post_handler事件触发机制与实战
最新发布
gitblog_00722的博客
09-12 298
Linux内核调试与性能分析领域,开发者常常面临三大挑战:如何在不中断内核运行的情况下捕获关键执行路径?如何对特定函数进行细粒度监控而不引入显著性能开销?怎样在复杂内核场景下实现事件的精准响应?Kprobes(Kernel Probes,内核探针)作为Linux内核提供的轻量级调试工具,通过动态插入断点的方式完美解决了这些问题。本文将聚焦Kprobes核心组件post_handler(后置处理器...
kprobe工作原理
liwg06
02-19 1083
Kprobes 提供了一个强行进入任何内核例程并从中断处理器无干扰地收集信息的接口。使用 Kprobes可以收集处理器寄存器和全局数据结构等调试信息。开发者甚至可以使用 Kprobes 来修改寄存器值和全局数据结构的值。基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。kprobe实现了三种类型的探测点: kprobes, jprobes和kretprobes (也叫返回探测点)。 kprobes是可以被插
kprobe 原理详细分析
看我眼色行事的博客
08-03 1376
内核调试机制 kprobe 原理详细分析,使用 kprobe 可以在内核任意位置设置 hook 并跟踪调试
kprobe原理解析(二)
weixin_30650039的博客
06-15 291
上一篇文章和大家简要说明了下kprobe到底应该怎样用,那么现在我们就揭开kprobe神秘的面纱,刨根问底,一睹kprobe的庐山真面目。 kprobe的工作过程大致如下: 1)注册kprobe。注册的每个kprobe对应一个kprobe结构体,该结构中记录着插入点(位置),以及该插入点本来对应的指令original_opcode; 2)替换原有指令。使能kprobe的时候,将插入点位置的指...
内核kprobe原理
04-02
### Kprobe 工作原理 Kprobe 是一种动态调试机制,允许开发者在运行时对内核函数进行探测而无需修改现有代码[^2]。它的核心功能是通过在指定的内存地址设置断点来拦截目标指令,并在其执行前后的特定位置调用用户...
linux kprobe 打印函数调用示例
07-18
例如,系统管理员可以在问题发生时快速找到出问题的代码路径,开发者可以在性能瓶颈位置插入Kprobe以收集运行时数据进行分析。 此外,Kprobes与另外两个类似的调试工具——Jprobes和Kretprobes密切关联。Jprobes...
kprobe实现原理解析
hjkfcz的博客
11-17 3365
一、简介 kprobe是内核的动态探测工具,几乎可以探测任何一条内核指令。kprobe根据探测点类型可分为三种: kprobes, jprobes和kretprobes (也叫返回探测点)。 kprobes是可以被插入到内核的任何指令位置的探测点,jprobes则只能被插入到一个内核函数的入口,而kretprobes则是在指定的内核函数返回时才被执行。 kprobe...
Linux内核调试技术之kprobes:基本原理与使用
Aspiresky的专栏
12-14 2958
Linux kprobes技术是一种可以跟踪内核函数执行状态的轻量级内核调试技术,利用kprobes技术可以在运行的内核中动态的插入探测点,当内核运行到该探测点后可以执行用户预定义的回调函数,以收集所需的调试状态信息而基本不影响内核原有的执行流程。{return 0;}.symbol_name = "do_fork", // 要追踪的内核函数为 do_fork.pre_handler = handler_pre // pre_handler 回调函数。
Linux内核 eBPF基础:kprobe原理源码分析:基本介绍与使用示例
RToax
05-11 8018
Linux内核 eBPF基础 kprobe原理源码分析:基本介绍与使用 荣涛 2021年5月11日
int3和SingleStep联合实现Linux系统键盘监控(kprobe原理)
热门推荐
TCP/IP
06-03 1万+
就着Linux系统键盘监控这个话题,再写点什么。 前面已经写了三篇,可以一起汇总着看,算是一个简单的一题多解吧: 标准inline hook的方法: https://blog.youkuaiyun.com/dog250/article/details/106425811 手工push/ret jmp inline hook的方法: https://blog.youkuaiyun.com/dog250/article/details/106481123 手工构造push %rbp效果的方法: https://blog.csdn.n
内核调测工具kprobe原理
Peter的专栏
02-20 1302
上篇文章我们讲了Kprobe的用法,这次我们一起看下其实现的原理。在上次的模块例子中插入dump_stack函数,获得调用栈的情况,根据栈来反推其调用流程:Calltrace: [&lt...
linux kprobe实现原理
faxiang1230的专栏
08-12 1751
linux kprobes kprobes出现了非常长的时间,最早是2.6.9版本中,最早能够追溯到2004年,距离现在15年,一直没有为人所知,但却是隐藏在诸多技术后的一个基础组件,例如ftrace,perf,SystemTap,LTTng还有最近非常火热的ebpf. kprobes是什么? 它是kernel probes(我翻译成探针),是一种debug机制,它是由IBM开发的,最初计划用来和...
【原创】Linux kprobe 实现原理 图文详解 (一) kprobe实现原理
h_b__k的博客
11-03 1942
图文详解 linux kprobe 底层实现原理
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值