eBPF示例:x86-64平台上的uprobe

最新推荐文章于 2025-03-10 09:15:00 发布
最新推荐文章于 2025-03-10 09:15:00 发布
阅读量678 收藏 9
点赞数 9
分类专栏: eBPF 文章标签: linux arm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38232169/article/details/135375734
版权
本文讲述了如何在x86-64平台上使用eBPF的uprobe功能,以及在遇到可执行文件strip后如何解决接口符号丢失的问题,包括备份、反汇编和调整libbpf-bootstrap示例代码的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

eBPF示例:x86-64平台上的uprobe

文章目录

视频讲解

eBPF示例:x86-64平台上的uprobe

重点:示例代码中只适用于uprobe没有strip的可执行文件,如果可执行文件被strip了,怎么办?

回顾

上节视频详细讲解了kprobe的原理和在 libbpf-bootstrap 框架上的示例代码分析;

这节视频讲下 libbpf-bootstrap 框架上的 uprobe 示例代码;

libbpf-bootstrap 中的 uprobe 示例代码

# 代码路径: libbpf-bootstrap/examples/c/
uprobe.bpf.c  uprobe.c

uprobe 要能正常工作,需要满足2个条件:

  • 被attach的接口名称
  • 接口所在可执行文件路径

在 libbpf-bootstrap 框架中,有2种写法:

  1. 在内核层的ebpf程序中,通过SEC() 给ebpf提供 被attach的接口名称和接口所在的文件路径;
  2. 在用户层的ebpf程序中,通过 bpf_program__attach_uprobe_opts 接口提供 被attach的接口名称和接口所在的文件路径;

改造示例代码

为了简单起见,uprobed_sub 改成和 uprobe_add 同一种写法;

为了模拟更真实的使用场景,把示例代码中的 uprobed_adduprobed_sub 独立到一个测试代码中:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

/* It's a global function to make sure compiler doesn't inline it. */
int uprobed_add(int a, int b)
{
	return a + b;
}

int uprobed_sub(int a, int b)
{
	return a - b;
}

int main(int argc, char * argv[])
{
    int i = 0;

    for (i = 0;; i++) {
		/* trigger our BPF programs */
		uprobed_add(i, i + 1);
		uprobed_sub(i * i, i);

		/* 为了好验证结果 */
		if (i >= 10) {
			i = 0;
		}

		sleep(1);
	}
}

再改造下 uprobe.c 代码,把 uprobed_adduprobed_sub 所在的测试代码进程ID通过参数传进来:

// SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause)
/* Copyright (c) 2020 Facebook */
#include <errno.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/resource.h>
#include <bpf/libbpf.h>
#include "uprobe.skel.h"

static int libbpf_print_fn(enum libbpf_print_level level, const char *format, va_list args)
{
	return vfprintf(stderr, format, args);
}

int main(int argc, char **argv)
{
	struct uprobe_bpf *skel;
	int err, i, attach_pid;
	char binary_path[256] = {};
	LIBBPF_OPTS(bpf_uprobe_opts, uprobe_opts);

	if (2 != argc) {
		fprintf(stderr, "usage:%s attach_pid\n", argv[0]);
		return -1;
	}

	attach_pid = atoi(argv[1]);
	sprintf(binary_path, "/proc/%d/exe", attach_pid);

	/* Set up libbpf errors and debug info callback */
	libbpf_set_print(libbpf_print_fn);

	/* Load and verify BPF application */
	skel = uprobe_bpf__open_and_load();
	if (!skel) {
		fprintf(stderr, "Failed to open and load BPF skeleton\n");
		return 1;
	}

	/* Attach tracepoint handler */
	uprobe_opts.func_name = "uprobed_add";
	uprobe_opts.retprobe = false;
	/* uprobe/uretprobe expects relative offset of the function to attach
	 * to. libbpf will automatically find the offset for us if we provide the
	 * function name. If the function name is not specified, libbpf will try
	 * to use the function offset instead.
	 */
	skel->links.uprobe_add = bpf_program__attach_uprobe_opts(skel->progs.uprobe_add,
								 attach_pid, binary_path,
								 0 /* offset for function */,
								 &uprobe_opts /* opts */);
	if (!skel->links.uprobe_add) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

	/* we can also attach uprobe/uretprobe to any existing or future
	 * processes that use the same binary executable; to do that we need
	 * to specify -1 as PID, as we do here
	 */
	uprobe_opts.func_name = "uprobed_add";
	uprobe_opts.retprobe = true;
	skel->links.uretprobe_add = bpf_program__attach_uprobe_opts(
		skel->progs.uretprobe_add, attach_pid, binary_path,
		0 /* offset for function */, &uprobe_opts /* opts */);
	if (!skel->links.uretprobe_add) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

	/* Attach tracepoint handler */
	uprobe_opts.func_name = "uprobed_sub";
	uprobe_opts.retprobe = false;
	/* uprobe/uretprobe expects relative offset of the function to attach
	 * to. libbpf will automatically find the offset for us if we provide the
	 * function name. If the function name is not specified, libbpf will try
	 * to use the function offset instead.
	 */
	skel->links.uprobe_sub = bpf_program__attach_uprobe_opts(skel->progs.uprobe_sub,
								 attach_pid, binary_path,
								 0 /* offset for function */,
								 &uprobe_opts /* opts */);
	if (!skel->links.uprobe_sub) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

	/* we can also attach uprobe/uretprobe to any existing or future
	 * processes that use the same binary executable; to do that we need
	 * to specify -1 as PID, as we do here
	 */
	uprobe_opts.func_name = "uprobed_sub";
	uprobe_opts.retprobe = true;
	skel->links.uretprobe_sub = bpf_program__attach_uprobe_opts(
		skel->progs.uretprobe_sub, attach_pid, binary_path,
		0 /* offset for function */, &uprobe_opts /* opts */);
	if (!skel->links.uretprobe_sub) {
		err = -errno;
		fprintf(stderr, "Failed to attach uprobe: %d\n", err);
		goto cleanup;
	}

	/* Let libbpf perform auto-attach for uprobe_sub/uretprobe_sub
	 * NOTICE: we provide path and symbol info in SEC for BPF programs
	 */
	err = uprobe_bpf__attach(skel);
	if (err) {
		fprintf(stderr, "Failed to auto-attach BPF skeleton: %d\n", err);
		goto cleanup;
	}

	printf("Successfully started! Please run `sudo cat /sys/kernel/debug/tracing/trace_pipe` "
	       "to see output of the BPF programs.\n");

	for (i = 0;; i++) {
		/* trigger our BPF programs */
		fprintf(stderr, ".");
		sleep(1);
	}

cleanup:
	uprobe_bpf__destroy(skel);
	return -err;
}

问题:可执行文件被strip,找不到被attach的接口符号,怎么办?

  1. 在 strip 可执行文件前,先备份一下;
  2. 对没有strip的可执行文件进行反汇编,并查找 uprobe_add 和 uprobe_sub 符号的汇编指令地址:
objdump -d test_uprobe.unstriped

000000000000064a <uprobed_add>:
000000000000065e <uprobed_sub>:
  1. 通过命令 cat /proc/attach_pid/maps (attach_pid 是uprobe需要跟踪的进程ID) 获取有可执行属性的attach_pid 的偏移地址:
起始地址     -结束地址       属性 偏移地址  主从设备号 inode编号                文件名
55fde9ec5000-55fde9ec6000 r-xp 00000000 08:01 32672410                   test_uprobe
55fdea0c5000-55fdea0c6000 r--p 00000000 08:01 32672410                   test_uprobe
55fdea0c6000-55fdea0c7000 rw-p 00001000 08:01 32672410                   test_uprobe
7fb077d9b000-7fb077f82000 r-xp 00000000 103:02 11558371                  /lib/x86_64-linux-gnu/libc-2.27.so
7fb077f82000-7fb078182000 ---p 001e7000 103:02 11558371                  /lib/x86_64-linux-gnu/libc-2.27.so
7fb078182000-7fb078186000 r--p 001e7000 103:02 11558371                  /lib/x86_64-linux-gnu/libc-2.27.so
7fb078186000-7fb078188000 rw-p 001eb000 103:02 11558371                  /lib/x86_64-linux-gnu/libc-2.27.so
7fb078188000-7fb07818c000 rw-p 00000000 00:00 0 
7fb07818c000-7fb0781b5000 r-xp 00000000 103:02 11543405                  /lib/x86_64-linux-gnu/ld-2.27.so
7fb07838b000-7fb07838d000 rw-p 00000000 00:00 0 
7fb0783b5000-7fb0783b6000 r--p 00029000 103:02 11543405                  /lib/x86_64-linux-gnu/ld-2.27.so
7fb0783b6000-7fb0783b7000 rw-p 0002a000 103:02 11543405                  /lib/x86_64-linux-gnu/ld-2.27.so
7fb0783b7000-7fb0783b8000 rw-p 00000000 00:00 0 
7ffed92ea000-7ffed930b000 rw-p 00000000 00:00 0                          [stack]
7ffed9383000-7ffed9386000 r--p 00000000 00:00 0                          [vvar]
7ffed9386000-7ffed9388000 r-xp 00000000 00:00 0                          [vdso]
7fffffffe000-7ffffffff000 --xp 00000000 00:00 0                          [uprobes]
ffffffffff600000-ffffffffff601000 --xp 00000000 00:00 0                  [vsyscall]
  1. uprobe.c 文件中的 bpf_program__attach_uprobe_opts 接口:
uprobe_opts.func_name 不要赋值,因为二进制文件中已经找不到函数对应的符号
func_offset 参数赋值 = 第2步获取的函数符号汇编指令地址 + 第3步获取的偏移地址
通过实例了解uprobe及其对性能的影响
深山老宅的虚拟空间
01-25 1532
通过实例了解uprobe及其对性能的影响
Linux 系统动态追踪技术介绍
SHELLCODE_8BIT的博客
01-10 1149
目录 动态追踪历史 追踪机制说明 常用追踪工具 线上实践指南 总结 参考 动态追踪历史 严格来讲 Linux 中的动态追踪技术其实是一种高级的调试技术, 可以在内核态和用户态进行深入的分析, 方便开发者或系统管理者便捷快速的定位和处理问题. Linux 在过去十多年的发展中, 演化了很多追踪技术, 不过一直没有一款可以媲美Solaris/FreeBSD系统中的DTrace追踪工具, 直到Linux 4.1+版本eBPF机制的出现, 这种情况才得到了极大的改善. 不过eBPF...
Linuxebpf(3)uprobeebpf
Once_day的回忆
09-07 3520
Linux 内核从 3.5 版本开始引入了 uprobe 功能,它是一种用户态的动态追踪技术。Uprobe 允许在用户空间的应用程序中插入探测点,以便实时监控和跟踪程序的运行状态和行为,而无需修改或重新编译应用程序的源代码。Uprobe 的工作原理如下:在目标应用程序的特定指令位置设置探测点。当程序执行到该指令时,会触发探测点。探测点被触发后,程序执行流程会被中断,并将控制权转移给预先注册的探测处理程序。探测处理程序可以访问寄存器、内存等程序运行时的上下文信息,以此来分析和记录程序的状态。
eBPF uprobe 应用程序跟踪
Linux内核研究者
03-10 736
本文介绍了使用eBPFuprobe机制来跟踪用户态程序中的函数调用。首先,文章解释了uprobe的基本原理和工作流程,强调了与kprobe的区别在于其针对用户态进程。接着,详细说明了如何通过符号地址挂载uprobe,因为用户态程序的函数地址可能因ASLR而变化。文中还展示了如何利用libbpfgo将探针挂载到指定函数,并提供了Go语言代码示例来加载eBPF程序、绑定uprobe及监听perf buffer以输出目标函数的调用信息。
uprobe 实战
小羊苏C的博客
02-16 973
简单的使用uprobe 操作过程记录。
uprobe
yunlianglinfeng的专栏
10-15 843
项目上需要分析用户态程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe的使用,小结如下: 1.编写小测试程序如下: #include <stdlib.h> #include <s.
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1692
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
eBPF实战教程七 | 性能监控工具—bpftop
DBdoctor_off的博客
10-09 1049
bpftop是一个强大的工具,使用bpftop工具可以直观地监控系统中正在运行的eBPF程序,极大提升了开发eBPF程序时对其自身性能优化的效率。
eBPF 入门开发实践指南五:在 eBPF 中使用 uprobe 捕获 bash 的 readline 函数调用
云微的blog
01-23 1852
uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
使用libbpf-bootstrap构建第一个libbpf+BPF CO-RE程序
weixin_43144516的博客
07-16 5588
文章目录前言选择libbpf+BPF CO-RE的理由使用libbpf-bootstrap的理由Libbpf-bootstrap结构Minimal:最小应用程序分析运行minimal:代码分析:BPF side代码分析:User space sideMakefile分析动手构建属于自己的Hello World程序 前言 本文参考了相关博客:Building BPF applications with libbpf-bootstrap 选择libbpf+BPF CO-RE的理由 libbpf 是一个比BCC更
weaver:使用uprobes和eBPF跟踪Go程序执行
04-07
编织者 请阅读! -我目前正在将Weaver重构为使用libbpf而不是bcc,这将包括其他许多重大改进。 如果您当前使用的是weaver,请注意,在进行重大重构之前,功能/错误修复一直处于推迟状态。 这将在分支“重构”中进行跟踪 Weaver是一个CLI工具,可让您跟踪Go程序,以检查将哪些值传递给指定的函数。 它利用附加到升级上的eBPF。 快速开始 有两种操作模式,一种使用“功能文件”,另一种从传递的二进制文件中提取符号表并通过Go包进行过滤。 有关功能的更多信息。 功能文件 采取以下示例程序: test_prog.go package main //go:noinline func test_function ( int , [ 2 ] int ) {} //go:noinline func other_test_function ( rune , int64 ) {} fu
libebpfflow:基于eBPF的集装箱交通可见性库
02-03
libebpfflow 基于eBPF的交通可见性库 介绍 libebpfflow是基于eBPF的流量可见性库,能够计算网络流量。 它可以用于: 启用网络可见性 创建一个无数据包的网络探针 检查主机和容器的通信以了解不同的容器运行时 主要特点 能够检查TCP和UDP流量 容器可见度 TCP延迟计算 流程和用户可见性 支持的语言 高朗 C / C ++ 要求 您需要启用eBPF的现代Linux发行版。 在Ubuntu 16.04 / 18.04 LTS上,您可以按照以下步骤安装前提条件(假设已经安装了编译器): $ sudo apt-get install build-essential
5.22 BCC工具之deadlock.py解读
从0到1,突破自己
02-24 366
deadlock工具用于检测运行进程中的潜在死锁(锁顺序反转),但它不适用于共享互斥锁或递归互斥锁。如果程序发现潜在的锁顺序反转,程序将转储互斥锁的循环和每个互斥锁被获取时的堆栈跟踪,然后退出。此程序只能找到在程序跟踪进程时发生的潜在死锁。它无法找到在程序附加到进程之前可能已经发生的死锁。由于这会跟踪被跟踪进程上的所有互斥锁的锁定和解锁事件以及所有线程创建事件,因此,如果进程具有许多线程和互斥锁,则此bpf程序的开销可能会非常高。您应该只在可以接受减慢速度的进程上运行此程序。
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
m0_74206992的博客
03-30 2595
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
uprobe的使用浅析
LiWang112358的专栏
10-15 2221
uprobelinux内核提供的一种trace用户态函数的机制,可以在不对二进制重新编译的情况下进行trace特定函数,本文描述了uprobe的基本使用方法
uprobe使用简介
weixin_42136255的博客
03-21 1710
uprobe使用简介
libbpf-bootstrap 开发指南:概念与如何安装
阿呆的隐秘角落
07-15 2470
libbpf-bootstrap 是一个项目,旨在帮助开发者快速启动和开发使用 eBPF (Extended Berkeley Packet Filter) 和 libbpf 的程序。eBPF 是一种可以在 Linux 内核中运行的程序,提供了强大的网络过滤、系统调用监控和性能分析等功能。libbpf 是一个库,用于加载和管理 eBPF 程序和 map。libbpf-bootstrap 提供了一些样例程序和模板,帮助开发者理解如何使用 libbpf 创建、加载、管理 eBPF 程序,并与这些程序进行交互。
使用 libbpf-bootstrap 编写eBPF程序
撸大师的博客
12-22 1170
3.只编写内核态代码的时候,使用 JSON 即可完成分发、加载、打包的过程,对于完整的、需要用户态和内核态进行交互的 eBPF 应用或工具,可以在 WASM 中编写复杂的用户态处理程序进行控制和处理,并且将编译好的 eBPF 字节码嵌入在 WASM 模块中一同分发,在目标机器上动态加载运行。2.基于 libbpf一次编译处处运行的特性,将用户态、内核态的编译和运行的完全分离,通过标准 JSON 或 WASM模块的方式进行分发,无需进行重新编译,应用启动占用资源少,时间短,甚至容器启动更短。
内存泄漏脚本
最新发布
04-24
<think>好的,用户现在需要关于内存泄漏检测的脚本或解决方案示例代码。根据用户之前的提问和引用内容,我需要整理出不同方法的脚本示例,并确保回答结构清晰,满足用户的实际需求。 首先,用户提到他们之前已经询问过相关的问题,并且引用了多种方法,比如使用Python脚本分析meminfo、C++工具、eBPF、Valgrind等。我需要参考这些引用内容,提供具体的代码示例。 用户可能需要不同语言或环境的解决方案,所以应该分类说明,比如Shell脚本、Python脚本、C++方法、eBPF工具等。每个部分需要给出具体的代码片段,并简要说明优缺点,这样用户可以根据实际情况选择。 在引用部分,用户提供的引用1是使用脚本统计meminfo,引用2是eBPF的实现,引用3提到了Valgrind等工具,引用4是Java的检测,引用5是Qt的内存泄漏检测。但用户当前的问题集中在脚本或代码示例,所以可能需要重点在Shell、Python、C++等方面展开,而Java和Qt可能不是当前的重点,但可以简要提及。 需要注意用户提到的“生成相关问题”,所以最后需要列出相关问题,帮助用户深入探索。 需要确保代码格式正确,使用$...$和$$...$$的数学表达式,但当前问题可能不涉及数学公式,所以可能不需要。但需要检查是否有需要的地方。 最后,确保回答使用中文,结构清晰,分点说明,每个部分有标题和代码示例,并注明引用来源。</think>根据需求提供三种主流内存泄漏检测脚本及代码实现,涵盖基础脚本分析、可视化监控和高级追踪技术: ### 一、Shell+Python可视化方案 **实现原理**:通过循环抓取进程的$PSS$值并可视化 ```bash # start_monitor.sh #!/bin/bash pid=$1 interval=5 output="meminfo_$pid.txt" while true; do adb shell dumpsys meminfo $pid | grep "TOTAL" >> $output sleep $interval done ``` ```python # visualize.py from pyecharts.charts import Line import re pss_values = [] with open("meminfo_1234.txt") as f: for line in f: match = re.search(r'(\d+)K', line) if match: pss_values.append(int(match.group(1))) line = Line().add_xaxis(range(len(pss_values))).add_yaxis("PSS", pss_values) line.render("memory_trend.html") ``` **优点**:快速验证内存增长趋势[^1] **缺点**:无法定位具体泄漏点 ### 二、C++内存跟踪方案 通过重载运算符记录内存分配: ```cpp // memleak_detector.cpp #include <iostream> #include <unordered_map> std::unordered_map<void*, size_t> alloc_map; void* operator new(size_t size) { void* ptr = malloc(size); alloc_map[ptr] = size; std::cout << "Allocated " << size << " bytes at " << ptr << std::endl; return ptr; } void operator delete(void* ptr) noexcept { auto it = alloc_map.find(ptr); if(it != alloc_map.end()) { std::cout << "Freed " << it->second << " bytes from " << ptr << std::endl; alloc_map.erase(it); } free(ptr); } ``` 编译时链接该文件即可检测未释放内存[^3] ### 三、eBPF高级检测方案 基于Linux内核的实时内存追踪: ```c // memleak.bpf.c SEC("uprobe//lib/x86_64-linux-gnu/libc.so.6:malloc") int malloc_probe(struct pt_regs *ctx) { size_t size = PT_REGS_PARM1(ctx); bpf_printk("malloc %zu bytes\n", size); return 0; } SEC("uretprobe//lib/x86_64-linux-gnu/libc.so.6:free") int free_probe(struct pt_regs *ctx) { void *ptr = PT_REGS_PARM1(ctx); bpf_printk("free %p\n", ptr); return 0; } ``` 配合启动脚本实时监控[^2]: ```bash # start_memleak.sh #!/bin/bash sudo bpftrace -e 'uprobe:/lib/x86_64-linux-gnu/libc.so.6:malloc { printf("Alloc: %d\n", arg0); }' & PID=$! ./your_program kill $PID ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值