linux kprobe 例子,Linux kprobe初探

最新推荐文章于 2025-10-28 01:00:00 发布
转载 最新推荐文章于 2025-10-28 01:00:00 发布 · 369 阅读 · 1
文章标签:

#linux kprobe 例子

本文介绍了kprobe作为一种轻量级内核调试工具的实现原理及优势,并通过bcc工具使用实例展示了kprobe的工作流程。

最近学习bcc-tools工具的使用,发现单单会使用还是不行,必须了解到其深层次的原理,所以使用该工具的时候,加了-v指令,分析了下bcc的调用流程,大致如下:

^CTraceback (most recent call last):

File"./funclatency", line 211, in b.attach_kretprobe(event_re=pattern, fn_name="trace_func_return")

File"/usr/lib/python2.7/site-packages/bcc/__init__.py", line 645, inattach_kretprobefor line inBPF.get_kprobe_functions(event_re):

File"/usr/lib/python2.7/site-packages/bcc/__init__.py", line 525, inget_kprobe_functions

(t, fn)= line.rstrip().split()[1:3]

从内容来看,采用的kprobe探测功能实现,下面就简短介绍下kprobe的实现原理,后面到bcc熟悉的差不多后再结合bcc相关代码讲其是怎么通过kprobe实现的。

kprobe作为轻量级内核调试工具,在诊断内核bug时有着先天独厚的优势,相关其他工具,kprobe有如下优点:

1、不用更新内核

2、可以以模块的形式加载进内核,用完后直接卸载即可,不会对内核造成污染

3、动态跟踪,自由构造,灵巧轻便。

kprobe实现原理:

原汁原味可以查看kernel doc:Documentation/kprobes.txt建议在分析其原理时,一定要看下,此外还可以参考 samples/kprobes编写kprobe探测驱动。

kprobe实现原理还是容易理解的,在调用跟踪函数前,插入kprobe指令至此执行pre_handler,例如通过软中断方式,进入单步调试,此时执行原先代码本该执行的指令,执行完成后返回会再次进入kprobe状态,执行post_handler,执行完成后再次从异常状态返回到代码顺序执行。从上面描述可知kprobe的实现机制其实就是在被探测的函数前后打点,执行到该点时,进入异常状态,使的程序暂停执行,去执行kprobe相关处理函数,执行完成后又再次从异常状态恢复到正常执行,此过程执行主要涉及到对EIP/SIP等相关寄存器的操作。

kprobe实现步骤:

注册kprobe:register_kprobe,此处关键是需要实现如下三个函数:pre_handler、post_handler和fault_handler

初始化kprobe:init_kprobe,和驱动的编写一样,实例化结构体,调用内核函数初始化

实现中断处理函数:跟踪一个函数的目的是什么。

如何让内核支持kprobe

CONFIG_KPROBES

CONFIG_MODULES:kprobe是按照驱动的形式加入进入内核的,所以支持驱动加载和卸载时最基本的

CONFIG_MODULE_UNLOAD

CONFIG_KALLSYMS:设置CONFIG_KALLSYMS_ALL为y将更好,此处主要让kprobe可以跟踪的内核函数kprobe。

原文:https://www.cnblogs.com/haoxing990/p/12116569.html

丁石
关注
kprobe 用例
SHELLCODE_8BIT的博客
02-22 211
【代码】kprobe 用例。
linux kprobe使用
qq_42931917的博客
02-28 1130
kprobe
ARM架构kprobe应用及实现分析(1.0 简单示例)
李子的备忘录
11-16 2058
网络对krpobe的实现机制及扩展都不是特别详细 由于工作需要及个人爱好,正好有这个机会好好学习此模块及应用到实际中 并将整个应用扩展及当时的分析情况,详细记录下来,希望对感兴趣的人有些许帮助 最开始还是先给个具体的栗子:   static struct kprobe kp = { //.symbol_name = "do_fork", .symbol_name =
Linux基础 -- 内核性能分析之 kprobe 与 kretprobe
最新发布
sz66cm 学习随笔
10-28 723
kprobe/kretprobe 是内核级的动态探针:不用改内核源码,运行时就能 hook 指定函数。kprobe = 入口拦截;kretprobe = 入口 + 返回成对,可以算耗时,是我们要的。只需开,不用开整套 ftrace 大缓冲。用 kretprobe 钩你的关键函数入口记 start_ns返回记 duration写入我们自己的 per-CPU 小 ring buffer(几十 KB 总占用)用 debugfs 导出来再加 enable 开关来做“按需抓一段窗口”
Linux内核kprobe机制实现浅析
Fybon的专栏
12-10 1359
Kprobe机制是内核提供的一种调试机制,它提供了一种方法,能够在不修改现有代码的基础上,灵活的跟踪内核函数的执行。它的基本工作原理是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。      Kprobe提供了三种形式的探测点,一种是最基本的kprobe,能够在指定代码执行前、执行后进行探测,但此时不
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 5万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
Linux kprobe原理
小立仔
11-25 3722
Linux kprobe原理,以及其优化简介
linux kprobe 打印函数调用示例
07-18
Linux内核中,Kprobes是一种强大的调试和诊断...“Linux Kprobe 打印函数调用示例”文档提供了一个基础的指南,帮助用户通过Kprobe技术来监控和调试Linux内核函数的调用情况,它是学习和实践内核调试技术的良好起点。
Linux kprobe原理(1)
m0_v648374的博客
04-28 1112
enum {//当 CPU 遇到断点指令时,会发生陷阱,保存 CPU 的寄存器,并通过 notifier_call_chain 机制将控制权传递给 Kprobes。goto exit;return 1;if (!
精选资源
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
【标题】: "kprobe_rootkit: 使用kprobes技术构建的Linux内核Rootkit" 在Linux操作系统中,内核rootkit是一种高级的攻击手段,它允许攻击者隐藏其活动并控制系统的底层层面。其中,"kprobe_rootkit"是一个利用...
深入探究Linux Kprobe机制
liuhangtiant的博客
11-08 1132
概述 kprobe机制用于在内核中动态添加一些探测点,可以满足一些调试需求。本文主要探寻kprobe的执行路径,也就是说如果trap到kprobe,以及如何回到原路径继续执行。 实例 先通过一个实例来感受下kprobelinux中有一个现成的实例: samples/kprobes/kprobe_example.c 由于当前验证环境是基于qemu+arm64,我删除了其他架构的代码,并稍稍做了一下改动: /* * NOTE: This example is works on x86 and power
kprobe_example.c
09-05
used to dump a stack trace and selected registers when do_fork() is called.
Linux调试技术制kprobes
11-18
Kprobelinux的一种动态调试的技术
linux内核调试工具之kprobe
10-24 2722
kprobe 可以在系统运行期间,自定义回调函数,动态插入探测点。2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),使用grep检索所需要查询的信息。测试程序打开/home/kprobe.c 测试在kprobe探测能否探测到。在输出信息中可以看到函数的地址、打开的文件名、函数执行的时间40ns等信息。
linux kprobe
weixin_41028621的博客
02-28 1043
了解linux kprobe 1.What is kprobes?   kprobe是一个轻量级的内核调试工具,也是其他更高级的内核调试(如perf和systemtap的基础)。kprobes 主要用来对内核进行调试追踪, 属于比较轻量级的机制, 本质上是在指定的探测点(比如函数的某行, 函数的入口地址和出口地址, 或者内核的指定地址处)插入一组处理程序. 内核执行到这组处理程序的时候就可以获取到当前正在执行的上下文信息, 比如当前的函数名, 函数处理的参数以及函数的返回值, 也可以获取到寄存器甚至全局.
Linux调试追踪: kprobe实现简析
JiMoKuangXiangQu的专栏
06-09 720
Linux,Kprobe
[monitor] 8. Linux kprobe(内核探针)
pwl999的博客
10-13 3957
1、kprobe概念kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。kprobe实现了三种类型的探测点: kprobe
Linux 下的一个全新的性能测量和调式诊断工具 Systemtap,第 1 部分: kprobe
hnllei的专栏
04-28 1502
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1/index.html kprobe 的原理、编程接口、局限性和使用注意事项 杨 燚 (yang.y.yi@gmail.com), 计算机科学硕士, Intel 简介: 本系列文章详细地介绍了一个Linux下的全新的调式、诊断和性能测量工具Systemtap和它所依
2、内核Kprobe的使用例子
lhh_qrsly的博客
07-29 934
在 handler_pre 处理程序中,我们输出了Kprobe的地址和调用指令指针的值,以及寄存器 ax、bx、cx 和 dx 的值。使用此例子,当调用 example_function 函数时,Kprobe会在函数执行前后分别调用 handler_pre 和 handler_post 处理程序,并在内核日志中打印出相应的调试信息。编译和加载此内核模块后,您可以通过调用 example_function 函数来触发Kprobe,并在内核日志中查看输出的调试信息和函数调用次数。
linux ebpf kprobe
02-25
### eBPF与kprobe简介 eBPF (Extended Berkeley Packet Filter) 是一种强大的技术,允许安全地执行沙盒程序来增强 Linux 功能[^1]。最初用于网络过滤,现在已扩展到支持各种用例,包括性能分析、安全性以及内核跟踪。 Kprobes 提供了一种动态调试机制,在不修改源码的情况下可以插入断点并收集数据。当结合 eBPF 使用时,能够实现高效灵活的事件触发逻辑处理和数据分析能力[^2]。 ### 安装依赖库 为了简化开发流程,建议安装 BCC 工具集(BPF Compiler Collection),它提供了 Python 和 Lua 接口来编写更易读写的脚本: ```bash sudo apt-get install bpfcc-tools linux-headers-$(uname -r) ``` ### 创建简单的 kprobe 跟踪器 下面是一个利用 eBPF 技术创建简单 kprobe例子,该实例会打印每次调用 `sys_clone` 函数的时间戳及其参数值: ```c #include <linux/bpf.h> #include <bpf/bpf_helpers.h> struct event_t { u64 ts; int pid; }; SEC("kprobe/sys_clone") int handle_sys_clone(struct pt_regs *ctx) { struct event_t event = {}; event.ts = bpf_ktime_get_ns(); event.pid = bpf_get_current_pid_tgid(); bpf_trace_printk("Clone called at %llu by PID:%d\n", event.ts, event.pid); return 0; } char LICENSE[] SEC("license") = "GPL"; ``` 编译上述 C 文件并将生成的对象加载至内核空间后即可生效。通过阅读 `/sys/kernel/debug/tracing/trace_pipe` 可查看输出日志信息。 ### 加载并运行 ebpf 程序 使用 iproute2 套件中的 bpftool 或者 libbpf API 来完成对象文件向内核的注入过程: ```bash bpftool prog load clone_tracker.o /sys/fs/bpf/ bpftool feature probe ``` 此时应该可以在系统的 trace pipe 中看到由我们的探测器产生的记录条目。 ### 卸载ebpf程序 结束追踪之后记得清理资源防止潜在冲突或内存泄漏问题发生: ```bash bpftool prog detach pinned /sys/fs/bpf/clone_tracker.kprobe.sys_clone kprobe/sys_clone rm -f /sys/fs/bpf/* ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值