编写Linux crash工具插件扩展crash命令(转载)

最新推荐文章于 2023-01-18 18:56:34 发布
最新推荐文章于 2023-01-18 18:56:34 发布
阅读量530 收藏 2
点赞数
原文链接:https://blog.youkuaiyun.com/dog250/article/details/107997905?utm_medium=distribute.pc_feed.none-task-blog-personrec_tag-10.nonecase&depth_1-utm_source=distribute.pc_feed.none-task-blog-personrec_tag-10.nonecase&request_id=5f43950d0388ae0b5643c567
版权

当前时间,周五晚10点45分左右。

我的需求是用crash工具dump出Netfilter的某个hook点所有hook所属模块的名字。

我的方法如下,首先找到模块地址:

crash px nf_hooks[2][0] =>var
crash list nf_hook_ops.list -s nf_hook_ops.owner -H $var |awk -F ‘=’ ‘/owner/{print $2}’
1
2
如此会得到一个列表,比如:

0x1234
0x6678
0x8641
0x4570

显然,这些地址都是module结构体,我需要执行下面的命令得到其name字段:

crash module.name $addr_above
1
然而,我必须一个一个输入,或者使用文件redirect:

crash list nf_hook_ops.list -s nf_hook_ops.owner -H $var |awk -F ‘=’ ‘/owner/{print $2}’ >./aa
crash module.name <./aa
1
2
这太麻烦了。

我想知道能不能在crash命令行编写脚本或者使用类似xargs,awk BEGIN,END之类的,比如使用下面这种:

crash list nf_hook_ops.list -s nf_hook_ops.owner -H $var |awk -F ‘=’ ‘/owner/{print $2}’ | xargs -i module.name {}
1
从而一次性获得所有结果,免除手工输入的麻烦。

我试了,crash命令没有办法被管道化。

经过询问,了解到crash有一个extend命令可以加载extension扩展插件,研究了一下,比较简单且有意义。

说白了就是基于crash的API写一个共享库,在crash命令行输入help extend将会显示这样的共享库如何来编码。我基于上述需求简单写了一个,可以用:

// nfhooks.c
#include <crash/defs.h>

static int get_field(unsigned long addr, char *name, char field, void buf)
{
unsigned long off = MEMBER_OFFSET(name, field);

if (!readmem(addr + off, KVADDR, buf, MEMBER_SIZE(name, field), name, FAULT_ON_ERROR))
	return 0;
return 1;

}

void do_cmd(void)
{
unsigned long ops_addr, owner_addr;
unsigned long list_addr, base, next;
char name[64];

optind++;
base = next = list_addr = htol(args[optind], FAULT_ON_ERROR, NULL);

do {
	// 由于list就是nf_hook_ops的第一个字段,因此就不炫技了,强转即可。
	//get_field(list_addr - MEMBER_OFFSET("nf_hook_ops", "list"), "list_head", "next", &ops_addr);
	ops_addr = list_addr = next;
	get_field(ops_addr, "nf_hook_ops", "owner", &owner_addr);
	get_field(owner_addr, "module", "name", &name[0]);
	if (list_addr != base)
		fprintf(fp, "--%s\n", name);
	} while(get_field(list_addr, "list_head", "next", &next) && next != base);

}

static struct command_table_entry command_table[] = {
{ “nfhooks”, do_cmd, NULL, 0},
{ NULL },
};

void attribute((constructor)) nfhooks_init(void)
{
register_extension(command_table);
}

void attribute((destructor)) nfhooks_fini(void) { }

编译命令如下:

gcc -fPIC -shared nfhooks.c -o nfhooks.so
1
将生成的so放在执行crash命令的目录下,在crash命令行加载之:

crash> extend nfhooks.so
./nfhooks.so: shared object loaded
1
2
随后就可以用了:

首先dump出INET IPv4的PREROUTING点的list地址

crash> px &nf_hooks[2][0]
$1 = (struct list_head *) 0xffffffff81a71000 <nf_hooks+256>
crash> nfhooks 0xffffffff81a71000
–bridge
–nf_defrag_ipv4
–iptable_raw
–nf_conntrack_ipv4
–iptable_mangle
–iptable_nat
crash>

是不是很有意思呢。

有了这个机制,就可以非常方便地使用readmem来进行Linux内核任意地址任意结构体字段的解析了,你就再也不用抱怨crash命令不够用了,不够用就自己写一个,而自己的写一个的成本非常低,无非就是readmem不断解析结构体,这一切的背后,只需要你对内核足够熟悉即可。

我之前写过一个手工解析/dev/mem或者vmcore的程序,但和crash插件扩展相比,太low太麻烦了,有了这个机制,以后再也不用干手工活儿了。

将上面的代码稍微扩展一下,就可以dump出所有协议族,所有hook点的所有模块名字了:

#include <crash/defs.h>

static int get_field(unsigned long addr, char *name, char field, void buf)
{
unsigned long off = MEMBER_OFFSET(name, field);

if (!readmem(addr + off, KVADDR, buf, MEMBER_SIZE(name, field), name, FAULT_ON_ERROR))
	return 0;
return 1;

}

#define FAMILY 12
#define TYPE 8

struct dummy_list {
struct dummy_list *next, *prev;
};

struct dummy_list *iter;
void do_cmd(void)
{
unsigned long ops_addr, owner_addr;
unsigned long list_addr, base, next;
char name[64];
int i, j;

optind++;
iter = (struct dummy_list *)htol(args[optind], FAULT_ON_ERROR, NULL);

for (i = 0; i < FAMILY; i++) {
	for (j = 0; j < TYPE; j++) {
		fprintf(fp, "at PF: %d  hooknum: %d \n", i, j);
		base = next = list_addr = (unsigned long)&iter[i*TYPE + j];
		do {
			ops_addr = list_addr = next;
			get_field(ops_addr, "nf_hook_ops", "owner", &owner_addr);
			get_field(owner_addr, "module", "name", &name[0]);
			if (list_addr != base)
				fprintf(fp, "  ----%s\n", name);
			} while(get_field(list_addr, "list_head", "next", &next) && next != base);
	}
}

}

static struct command_table_entry command_table[] = {
{ “allnfhooks”, do_cmd, NULL, 0},
{ NULL },
};

void attribute((constructor)) nfhooks_init(void)
{
register_extension(command_table);
}

void attribute((destructor)) nfhooks_fini(void) { }

是不是很简单呢?我从来不记录复杂的东西,简单的才是真美。

当前时间,周五晚10点45分左右。已经不在996的管辖范围,请继续举报!

浙江温州皮鞋湿,下雨进水不会胖。

原文链接:https://blog.youkuaiyun.com/dog250/article/details/107997905?utm_medium=distribute.pc_feed.none-task-blog-personrec_tag-10.nonecase&depth_1-utm_source=distribute.pc_feed.none-task-blog-personrec_tag-10.nonecase&request_id=5f43950d0388ae0b5643c567

【文章汇总】嵌入式Linux公众号
嵌入式Linux
01-08 1万+
据悉,深圳某工程师沦为C语言笔试枪手 修改cmdline 把内存改成512MB 上拉电阻的作用 剖析C语言是如何画出这样的三角形的 c语言画谢宾斯基三角形 Linux字符设备驱动实例 哦,这是桶排序 回答一个微信好友的创业问题 Linux-C编程 / 多线程 / 如何终止某个线程? 想要学好C++有哪些技巧? 单片机外围模块漫谈之二,如何提高ADC转换精度 多重 for 循环,如何提高效率? Linus 在圣诞节想提前放假做了这些解释,哈哈哈 一步步分析-C语言如何面向对象编程 测试内存对齐对运行速度的影响
Slicer学习笔记(三十)slicer编写c++扩展
juluwangriyue的博客
11-19 3109
Slicer学习笔记(三十)slicer编写c++扩展1、c++扩展模块 CMake文件2、程序执行3、编辑UI4、 编辑代码 1、c++扩展模块 CMake文件 准备操作,参考我的笔记十 Slicer学习笔记(十)怎样写一个slicer c++ 扩展模块 和笔记十二 Slicer学习笔记(十二)编写扩展模块 cmake_minimum_required(VERSION 3.13.4) project(cpp_regist_seg) #----------------------------------
linux crash,系统崩溃 - crash工具介绍
weixin_32445333的博客
05-25 4271
工欲善其事,必先利其器。本文主要介绍linuxcrash工具常用命令的功能和使用。背景知识crash是redhat的工程师开发的,主要用来离线分析linux内核转存文件,它整合了gdb工具,功能非常强大。可以查看堆栈,dmesg日志,内核数据结构,反汇编等等。crash支持多种工具生成的转存文件格式,如kdump,LKCD,netdump和diskdump,而且还可以分析虚拟机Xen和Kvm上生...
编写Linux crash工具插件扩展crash命令
TCP/IP
08-14 1万+
当前时间,周五晚10点45分左右。 我的需求是用crash工具dump出Netfilter的某个hook点所有hook所属模块的名字。 我的方法如下,首先找到模块地址: crash px nf_hooks[2][0] =>var crash list nf_hook_ops.list -s nf_hook_ops.owner -H $var |awk -F '=' '/owner/{print $2}' 如此会得到一个列表,比如: 0x1234 0x6678 0x8641 0x4570 ... 显
Linux内核调试工具: Crash
maimang1001的专栏
06-26 412
Linux内核调试工具: Crash - 走看看This article was firstly published from http://oliveryang.net. The content reuse need include the orhttp://t.zoukankan.com/ainima-p-6330791.html Recently, my file page cache dump patch got merged to crash upstream. Following descrip
linux 模拟carsh,编写Linux crash工具插件扩展crash命令
weixin_42347731的博客
05-16 321
当前时间,周五晚10点45分左右。我的需求是用crash工具dump出Netfilter的某个hook点所有hook所属模块的名字。我的方法如下,首先找到模块地址:crash px nf_hooks[2][0] =>varcrash list nf_hook_ops.list -s nf_hook_ops.owner -H $var |awk -F '=' '/owner/{print $2...
Linux下的自动化运维脚本编写技巧:释放运维生产力
[Linux下的自动化运维脚本编写技巧:释放运维生产力](https://img-blog.csdnimg.cn/c5317222330548de9721fc0ab962727f.png) # 1. 自动化运维脚本的理论基础和重要性 在现代信息技术飞速发展的时代,自动化运维脚本...
从零开始学习Linux笔记
热门推荐
yy150122的博客
05-15 8万+
从零开始学习Linux,记录笔记,担心自己以后会忘,也供大家茶余饭后,闲来无事看看,自己的理解只能到这,也希望大家可以指出我的错误 让我可以有一点点进步,以后会一直更新
【KWin插件开发入门】:快速扩展窗口管理器功能的简易教程
KWin插件开发涉及深入理解和利用KDE环境下的KWin窗口管理器的扩展机制。本文旨在为开发者提供从理论基础到实战应用的全面指导,涵盖KWin架构、KDE与Qt框架、插件开发的生命周期管理、界面与交互设计、发布与维护等...
玩了一次linuxcrash工具。真TMD牛逼.docx
10-31
玩了一次linuxcrash工具。真TMD牛逼.docx
高通crash分析工具
03-02
qualcomm平台system dump分析工具,使用方法crash64 vmlinux DDRCS0.BIN@加载地址,DDRCS1.BIN@加载地址 --kaslr auto
【ARM Linux 系统稳定性分析入门及渐进 1 -- Crash 工具简介】
CodingCos的博客
12-01 2727
还可以准备好系统,以便在系统崩溃的情况下引导进入另一内核。值得一提的是,crash也可以用来分析实时的系统内存,是一个很强大的调试工具。由于kdump利用kexec启动捕获内核,绕过了 bootloader,所以第一个内核的内存得以保留。将捕获内核的地址传递给生产内核,从而在系统崩溃的时候找到捕获内核的地址并运行。里面的某个寄存器里面写个值,来表明重启的原因,当再次重启的时候,会去读该寄存器,获取重启的原因。系统一旦崩溃,内核就没法正常工作了,这个时候将由 kdump 提供一个用于捕获当前运行信息的内核,
crash extension modules
yangzex的专栏
08-31 267
crash extension modules
crash工具分析linux内核,如何使用crash工具分析Linux内核崩溃转储文件
weixin_33582311的博客
05-09 277
满意答案使用 crash 的先决条件1. kernel 映像文件 vmlinux 在编译的时候必须指定了 -g 参数,即带有调试信息。2. 需要有一个内存崩溃转储文件(例如 vmcore),或者可以通过 /dev/mem 或 /dev/crash 访问的实时系统内存。如果 crash 命令行没有指定转储文件,则 crash 默认使用实时系统内存,这时需要 root 权限。3. crash 支持的平...
crash 工具
本末实验室
01-18 1293
crash 是一款可以用来分析转储文件的工具,用于分析崩溃转储文件,也可以分析动态的系统。通过官网获取和安装工具,通过 `man crash` 或者 `crash --help` 查看使用方法和说明
SRWare Iron浏览器最新稳定版更新插件
- 数据安全:开发者在编写扩展时需要确保用户的敏感信息得到妥善处理,并遵守相关的数据保护法律法规。 总结来说,Iron Updater-crx插件是一个实用的工具,通过自动检查和更新SRWare Iron浏览器,来保证用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值