基于探针的动态插桩

最新推荐文章于 2025-10-05 15:01:30 发布
原创 最新推荐文章于 2025-10-05 15:01:30 发布 · 2.5k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#table #destructor #struct #constructor #insert #list

本文介绍了基于探针的动态插桩技术,详细阐述了其实现原理,包括函数入口保存、跳转指令插入、探针函数执行以及如何恢复原函数。通过示例展示了如何在Linux环境下利用LD_PRELOAD特性进行插桩,并提供了插入和删除探针的函数。通过测试程序展示了插桩效果,探针函数在原函数执行前被调用,删除探针后恢复原函数行为。

由于基于探针的动态插桩,通常只能在函数边界插入代码,难以对程序的指令流进行很好的分析,所以平时用的比较少。以前使用微软研究院的detour的API觉得它很神奇,最近看了下它的原理还是很简单:基于简单动态重写函数的开始几个字节,然后跳转到特定函数。呵呵,但是要做好还是不容易的。闲来无事写了一个很粗糙的实现。

 

基本原理就是:(1)保存函数的入口的几个字节,并插入一天跳回函数的jmp指令(这一块代码称为trampaline)。这里的前几个字节不是个定数是有原因的,实际上我们只需要前5字节来保存一条JMP指令,但入口的5个字节可能并不是几条完整的指令,因此若只保存5个字节就会截断指令。如下面的代码所示,test函数入口的第5个字节包含于sub,保存前6个字节就可以避免截断sub指令。

(2)修改函数入口的5个字节为jmp xxx指令,其中的xxx就是探针函数到当前函数的偏移量。跳往探针函数并执行它。

(3)执行trampaline代码,执行原函数。

(3)恢复原函数的入口。

 

基本数据结构:

最低0.47元/天 解锁文章
性能优化专题(一)无痕埋点-动态原理解析和基本实现
zhonglunshun的专栏
04-18 2634
标题只是为了大家更方便地找到我这个系列的文章,同时也方便我自己后续整理文章。无痕埋点也叫无埋点,这个和性能优化有多大关系呢?无埋点顾名思义就是不需要开发人员编写埋点代码,通常情况下,大部分公司并不会将埋点作为工时纳入开发计划,但是随着应用业务变复杂,用户行为的分析变得越来越重要,如果还是古老的挨个定义显得很死板,最主要的还是加重了开发人员的负担,所以我更愿意说,这个性能优化是基于开发的性能优化。 那么,在学习无痕埋点前,我们需要知道无痕埋点能帮我们解决什么问题? 通过代码手动埋点比较原始,出错概率较高。
探针的详细介绍
Flying_Fish_roe的博客
07-02 1330
软件探针技术是实时监控软件系统的“数字听诊器”,通过静态/动态在代码关键位置注入监控逻辑,采集性能、日志、资源等数据。核心技术包括字节码操作(如ASM)、分布式链路追踪(OpenTelemetry标准)及本地聚合优化,应用于故障诊断(如权限错误分析)、性能调优(SQL查询追踪)安全监控(异常行为阻断)。未来趋势聚焦eBPF内核探针、AIOps融合及Serverless适配。该技术已成为APM领域核心工具,国产系统如统信UOS已深度集成。
PIN动态工具
10-24
PIN,Intel的动态工具,很好用,这个是Linux版本的,编写装代码简单易学,网上也有很多教程,大家参考哦!
动态(Dynamic Instrumentation)
本博客聚焦游戏开发技巧、创业实战心得及大学热门课程干货。这里既有技术深度,也有思维广度,无论你是开发者、创业者还是高校学子,都能在这里找到适合自己的成长之路!
11-12 2034
动态是一种强大的技术,能够在程序运行时入监控代码,以收集性能数据和调试信息。通过方法交换、函数、字节码等多种实现方式,开发者可以灵活地应用动态技术来满足不同的需求。尽管动态具有一定的性能开销和复杂性,但它在性能分析、调试和安全监控等领域的应用价值是显而易见的。以上案例展示了如何在 C# 中实现动态。无论是使用反射、Castle DynamicProxy 还是 PostSharp,动态都为开发者提供了灵活的工具,帮助他们在运行时入监控代码,以收集性能数据和调试信息。
动态调试和
远方雪的专栏
09-10 622
在网络安全和软件测试领域,是一种常用的技术,用于动态地监控和修改程序的行为。对于像VirtualBox这样的复杂系统,动态调试和可以帮助研究者更深入地理解虚拟化环境的运行机制,并发现潜在的安全漏洞。
【趣谈】Instrumentation、挂钩Hook、探针Probe术语讨论
风舞雪凌月的博客
06-03 971
摘要 本文讨论了(Instrumentation)、挂钩(Hook)和探针(Probe)三种相似技术的区别。分为源代码(SCI)、静态二进制(SBI)和动态二进制(DBI)三类。Hook属于DBI技术,在运行时拦截程序流程而不修改二进制文件;Probe是SBI技术,会修改二进制文件来收集运行时信息;常见的日志则是SCI技术的典型应用。这三种技术都用于程序监控,主要区别在于实现方式和是否修改程序文件。
java动态代理和spring动态代理对比
u010154380的专栏
02-27 327
java动态代理和spring动态代理对比 分类:spring (613) (0) 举报 收藏 Java编译器编译好Java文件之后,产生.class 文件在磁盘中。这种class文件是二进制文件,内容是只有JVM虚拟机能够识别的机器码。JVM虚拟机读取字节码文件,取出二进制数据,加载到内存中,解析.class 文件内的信息,生成对应的 Class对象: .java文件到jj
38、基于静态探针的虚拟机异常检测系统
v4w5x6的博客
10-05 17
本文提出了一种基于静态探针技术的虚拟机异常检测系统(ADS),旨在解决公共云环境中对客户虚拟机非侵入式安全监控的难题。系统架构包括数据收集、特征提取和异常预测三个主要过程,通过在虚拟机监视器(VMM)中嵌入跟踪点获取运行时行为数据,利用线性判别分析(LDA)进行高效特征选择,并采用一类支持向量机(SVM)构建正常行为模型以检测偏离行为。评估结果表明,该系统在有限数据下具有良好的可行性、较高的检测有效性、较低的计算开销以及优秀的可扩展性,同时对被监控虚拟机的性能影响较小。尽管存在无法识别异常类型等局限性,
All in one:基于运行时单探针的代码疫苗技术.pdf
09-28
"基于运行时单探针的代码疫苗技术.pdf" 本文档介绍了一种基于运行时单探针的代码疫苗技术,即All in one技术。该技术旨在解决代码安全问题,保护代码免受恶意攻击和泄露。 技术简介 All in one技术是一种...
开发 IDEA Plugin 引入探针,基于字节码获取执行SQL
y_xiao_qi的博客
02-19 877
一、前言 片面了! 一月三舟,托尔斯泰说:“多么伟大的作家,也不过就是在书写自己的片面而已”。何况是我们,何况是我们! 虽然我们不书写文章,但我们写需求、写代码、写注释,当我们遇到了需要讨论的问题点时,往往变成了争论点。这个好、那个差、你用的都是啥啥啥! 当你把路走窄了,你所能接受到的新的思路、新的想法、新的视野,以及非常重要的收入,也都会随之减少。只有横向对比、参考借鉴、查漏补缺,才能让你的头脑中会有更多的思路,无论是在写代码上、还是在理财上、还是在生活上。 二、需求目的 你是否有在使用 In
XCon 2022 | All in one:基于运行时单探针的代码疫苗技术
Anprou的博客
09-24 594
悬镜安全CTO宁戈应邀参XCon 2022安全焦点信息安全技术峰会并发表主题演讲
动态二进制分析原理介绍(PDF)
12-02
老外的演讲稿(PDF),主要是介绍了二进制的原理实现,然后举了一些例子来加以讲解分析。英文太渣的童鞋就自己翻译下再阅读吧~~~
动态二进制原理实战
qq_42882717的博客
03-30 3603
二进制~说点什么是啥为啥要源代码二进制如何两种主要方式和三种执行模式方式1:方式2:第一种模式:第二种模式:第三种模式: 说点什么 虽然不是主要做这个的,但是安全工程师的知识面太大咯, 学习其它科目的知识有助于锻炼思维,所以记一下学习过程 是啥 动态二进制(dynamic binary instrumentation ,DBI)技术是一种通过注入代码,来分析二进制应用程序在运行时的行为的方法。 动态二进制技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,
MRGCODING
03-01 421
 /* 起始路径记录 */     long start = clock();     this->supt->setCurProcessResult("has_new_input",start,1);     /* 参数重定向 */     has_new_input = this->supt->getParamValueWithNameAndKey("has_new_inpu
二进制动态工具intel PIN的学习笔记
Powerful_Green的博客
12-04 2015
本文是一篇关于intel PIN二进制动态平台的学习笔记,本文同时给出了动态UPX脱壳器RC4解密数据导出的实现
C/C++内存检查原理
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
03-27 2000
一、影子内存(shadow memory) 比例+偏移的映射算法 二、(instrumentation) 三、专用版内存函数 内存问题在 C/C++ 程序中十分常见,比如缓冲区溢出,使用已经释放的堆内存,内存泄露等。 程序大了以后,查找起来又特别的难。即使我们在写程序时非常的仔细小心,代码一多,还是难以保证没有问题。 内存问题除了造成程序崩溃引发意外,也很容易被当做漏洞...
C++性能测试工具(测试)
liugan528的博客
04-08 844
【代码】C++性能测试工具。
C/C++/Linux函数(打)指南
gitblog_06673的博客
10-29 3093
C/C++/Linux函数(打)指南 【下载地址】CCLinux函数指南分享 C/C++/Linux函数(打)指南在深入探讨C或C++项目,尤其是在进行性能分析、故障排查或是安全审计时,理解并掌握函数技术变得尤为重要 ...
介绍动态调试工具BPFTrace
最新发布
11-27
<think> 我们被要求介绍动态调试工具BPFTrace。根据提供的引用内容,我们可以总结出以下关键点: 1. BPFTrace是基于eBPF(Extended Berkeley Packet Filter)的高级内核跟踪工具。 2. 它用于分析和调试Linux内核及应用程序的行为。 3. 提供动态内核和用户态程序的能力,并收集丰富的性能和调试数据。 此外,引用中还详细描述了: - 事件源:支持多种事件,如kprobe(内核动态)、uprobe(用户态动态)、tracepoint(内核静态追踪)、usdt(用户态静态追踪)等。 - 动作:包括过滤、输出、使用变量、统计信息、直方图、栈追踪等。 - 通用特性:低开销、安全性、丰富的工具和文档。 同时,引用还比较了BPFTrace其他追踪工具(如perf, Ftrace, SystemTap, LTTng)的特点。 因此,我们可以组织回答如下: 1. 定义和概述:介绍BPFTrace是什么,基于什么技术,主要用途。 2. 功能特点:事件源(特别是动态部分)、动作、特性。 3. 其他工具的比较(简要提及,突出BPFTrace的优势)。 4. 安装和使用(简要提一下,因为用户主要是要介绍,但引用中提到了安装和命令示例)。 注意:根据系统指令,我们需要使用中文,行内数学表达式用$...$(但本问题中可能不需要数学表达式),独立公式单独成段(同样可能不需要)。另外,需要生成相关问题,并在回答中引用的地方添加引用标识。 由于引用内容来自三个引用[^1][^2][^3],我们将在适当的地方标注。 另外,用户要求的是“动态调试工具BPFTrace”的介绍,因此可以重点突出动态部分(即kprobe和uprobe)。 回答结构: - 首先概述BPFTrace。 - 详细介绍其功能,特别是动态相关的事件源(kprobe, uprobe)和动作。 - 简要提及其他特性(如低开销、安全性)和其他工具的比较。 - 最后给出安装和简单使用示例(根据引用内容)。 然后生成相关问题。 </think>### BPFTrace 动态调试工具介绍 BPFTrace 是基于 eBPF(Extended Berkeley Packet Filter)的高级内核跟踪工具,专为分析和调试 Linux 内核及应用程序行为而设计[^1]。它通过动态技术实现对内核态和用户态程序的实时观测,具有低开销、生产环境安全性和丰富的功能特性。 #### 核心功能 1. **动态能力** - **内核态动态 (kprobe)**:实时挂钩内核函数调用/返回 - **用户态动态 (uprobe)**:监控用户空间程序的函数执行 ```bash # 监控用户程序open()调用 bpftrace -e 'uprobe:/bin/bash:open { printf("%s opened %s\n", comm, str(arg0)); }' ``` 2. **事件源支持** - 静态追踪点(内核 tracepoint / 用户态 USDT) - 定时采样(profile/hardware) - 周期事件(interval) - 合成事件(BEGIN/END)[^2][^3] 3. **数据采集处理** - 支持关联数组、直方图、栈追踪等数据结构 - 内建变量(`pid`, `comm`, `nsec`等) - 数据聚合统计计算 ```bash # 统计系统调用次数直方图 bpftrace -e 'tracepoint:syscalls:sys_enter_* { @[probe] = count(); }' ``` #### 技术优势 - **低开销**:通过 BPF JIT 编译和高效映射机制实现 - **安全性**:严格的 BPF 验证器防止非法操作 - **易用性**:类 AWK 脚本语法,提供 30+ 内置工具(如 `execsnoop.bt`) - **生产级**:已在 Netflix、Facebook 等企业大规模部署[^1] #### 典型应用场景 1. 性能瓶颈分析(函数延迟/调用频次) 2. 系统异常诊断(文件访问/网络行为) 3. 安全监控(敏感系统调用检测) 4. 实时指标统计(如 TCP 重传率) 安装命令:`sudo apt install bpftrace` 查看支持探针:`sudo bpftrace -l`[^3] ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值