trace系列5 - kretprobe学习笔记

原创 已于 2022-04-04 18:31:31 修改 · 1.7k 阅读 · 6
标签
#tracer
于 2021-11-01 17:13:41 首次发布
本文详细介绍了kretprobe的工作流程,包括kretprobe的注册、断点指令的插入及kretprobe回调的执行过程。通过具体示例blk_update_request函数,深入解析了kretprobe如何在函数返回时捕获并执行特定的回调。

目录

1.前言

本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明kretprobe的工作原理,此处的kretprobe是基于trace event来实现,同时使用了ftrace的框架。

kernel版本:5.10
平台:arm64

2. kretprobe领域模型

在这里插入图片描述
trace系列3 - kretprobe学习笔记
kretprobe_instance : 记录了原始的返回地址,以及所属的kretprobe,作为kretprobe实例连入kretprobe的free_instancesl链表,当kretprobe_instance 被初始化后,它将从free_instancesl链表移除;重新连入全局kretprobe_inst_table链表

3. kretprobe创建

在执行如下指令时,会完成kretprobe的创建:

#echo 'r:blk_update blk_update_request $retval' > /sys/kernel/debug/tracing/kprobe_events

此过程主要通过调用create_or_delete_trace_kprobe,最主要的设置pre_handler为pre_handler_kretprobe,同时设置了打印格式,并完成trace_kprobe的注册。与kprobe创建时的主要区别在于:rp->kp.pre_handler初始化和kretprobe.handler初始化

3.1 rp->kp.pre_handler初始化

create_or_delete_trace_kprobe -> 
    trace_kprobe_create ->
        register_trace_kprobe -> 
            __register_trace_kprobe

会调用register_kretprobe,它初始化了pre_handler为pre_handler_kretprobe

int register_kretprobe(struct kretprobe *rp)
{
   
   
        int ret = 0;
        struct kretprobe_instance *inst;
        int i;
        void *addr;

        if (!kprobe_on_func_entry(rp->kp.addr, rp->kp.symbol_name, rp->kp.offset))
                return -EINVAL;

        if (kretprobe_blacklist_size) {
   
   
                addr = kprobe_addr(&rp->kp);
                if (IS_ERR(addr))
                        return PTR_ERR(addr);

                for (i = 0; kretprobe_blacklist[i].name != NULL; i++) {
   
   
                        if (kretprobe_blacklist[i].addr == addr)
                                return -EINVAL;
                }
        }
        //初始化pre_handler回调
        rp->kp.pre_handler = pre_handler_kretprobe;
        rp->kp.post_handler = NULL;
        rp->kp.fault_handler = NULL;

        /* Pre-allocate memory for max kretprobe instances */
        if (rp->maxactive <= 0) {
   
   
#ifdef CONFIG_PREEMPTION
                //此处为10
                rp->maxactive = max_t(unsigned int, 10, 2*num_possible_cpus());
#else
                rp->maxactive = num_possible_cpus();
#endif
        }
        raw_spin_lock_init(&rp->lock);
        INIT_HLIST_HEAD(&rp->free_instances);
        //本例中rp->maxactive为10,循环创建10个kretprobe_instance,并连入kretprobe.free_instances链表
        //此处可以看出一个kretprobe可以有多个kretprobe_instance实例
        for (i = 0; i < rp->maxactive; i++) {
   
   
                inst = kmalloc(sizeof(struct kretprobe_instance) +
                               rp->data_size, GFP_KERNEL);
                if (inst == NULL) {
   
   
                        free_rp_inst(rp);
                        return -ENOMEM;
                }    
                INIT_HLIST_NODE(&inst->hlist);
                hlist_add_head(&inst->hlist, &rp->free_instances);
        }

        rp->nmissed = 0;
        /* Establish function entry probe point */
        ret = register_kprobe(&rp->kp);
        if (ret != 0)
                free_rp_inst(rp);
        return ret;
}

3.2 kretprobe.handler初始化

create_or_delete_trace_kprobe -> 
    trace_kprobe_create ->
       alloc_trace_kprobe
  • alloc_trace_kprobe:为trace_kprobe分配空间,主要初始化了kreprobe的handler为kretprobe_dispatcher

4. kretprobe brk指令替换

先来看下未替换指令前blk_update_request的反汇编:

Dump of assembler code for function blk_update_request:
   0xffff8000104ec1f0 <+0>:     sub     sp, sp, #0x60
   0xffff8000104ec1f4 <+4>:     stp     x29, x30, [sp,#16]
   0xffff8000104ec1f8 <+8>:     add     x29, sp, #0x10
   0xffff8000104ec1fc <+12>:    stp     x19, x20, [sp,#32]
   0xffff8000104ec200 <+16>:    stp     x21, x22, [sp,#48]
   0xffff8000104ec204 <+20>:    stp     x23, x24, [sp,#64]
   0xffff8000104ec208 <+24>:    str     x25, [sp,#80]
   0xffff8000104ec20c <+28>:    mov     x22, x0
   0xffff8000104ec210 <+32>
最低0.47元/天 解锁文章
trace系列4 - kprobe学习笔记
HZero
10-30 3564
1.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明function trace kprobe的工作原理,此处的kprobe是基于function trace来实现。 kernel版本:5.10 平台:arm64 2. function trace钩子函数替换过程 2.1 编译阶段 同Linux ftrace学习笔记中编
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2785
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
Linux kretprobe使用和原理
小立仔
07-28 3388
Linux kretprobe的简单使用和原理
13、深入探索Kretprobes:从基础到高级应用
play7的博客
08-12 65
本文深入介绍了Kretprobes的基础知识、使用方法及相关API,探讨了其在调试内核和模块函数中的应用。同时,还介绍了更高效的动态Kprobes及基于Kprobe的事件跟踪技术,帮助开发者和系统管理员更轻松地进行内核调试和性能优化。
Linux内核调试技术——kretprobe使用与实现
My Linux Journey
02-02 1万+
前两篇博文介绍了kprobes探测技术中kprobe和jprobe的使用与实现。本文介绍kprobes中的最后一种探测技术kretprobe,它同样基于kprobe实现,可用于探测函数的返回值以及计算函数执行的耗时。本文首先通过一个简单的示例程序介绍kretprobe的使用方式,然后通过源码分析它是如何实现的。
【原创】Linux kprobe 实现原理 图文详解 (二) kretprobe实现原理
h_b__k的博客
11-04 2289
目录 一、kretprobe 基本介绍 二、kretprobe 使用示例 三、kretprobe 实现原理 四、具体代码 (代码:linux 6.3.1,架构:arm64) One look is worth a thousand words. —— Tess Flanders 一、kretprobe 基本介绍 Kretprobe是一种基于Kprobe的探测技术,用于探测内核函数的入口点、返回点。在这两处可以调用用户注册的钩子函数,该技术一般用于获取:函数运行时间、函数返回
trace系列0 - 概述
HZero
12-31 1993
1.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。这是整个系列文章的第一篇,本篇主要解决如下几个问题: ftrace是什么? ftrace框架包含哪些tracer? 这些tracer的基本使用方法有哪些? kernel版本:5.10 平台:arm64 2. ftrace是什么? ftrace是一个内核跟踪工具,旨在帮助系统开发人员和设计人员了解内核内部的情况。从2008年由Steven Rostedt 开发并在合并到2.6.27主线内核,
linux-5.10.13/Documentation/trace/kprobes.rst
RToax
05-11 528
======================= Kernel Probes (Kprobes) ======================= :Author: Jim Keniston <jkenisto@us.ibm.com> :Author: Prasanna S Panchamukhi <prasanna.panchamukhi@gmail.com> :Author: Masami Hiramatsu <mhiramat@redhat.com> .. CONT
ftrace,kprobe,tracepoint 入门
weixin_38184628的博客
02-21 2835
调试工具在开发过程中是必不可少的,特别是在定位 bug, 分析性能瓶颈的时候,调试工具可以给我们很大的帮助。在使用 c/c++ 做应用开发时,gdb 是我们经常使用的调试工具,在使用 gdb 时, 我们可以设置断点,查看调用栈,单步执行,修改或查看变量等。调试工具可以帮助我们直观地观察到软件的运行过程,进而使我们快速熟悉一个新的软件。比如在工作中,想要了解已有软件的架构,只靠看代码是很难了解透彻的,通过日志和调试工具可以提高学习效率。
Kprobes源码分析----kprobe的处理
Justlinux2010的专栏
11-10 3096
在探测点注册kprobe后,会在执行到探测点的指令时触发断点异常(trap 3)。kprobes在断点异常的通知链die_chain上注册了自己的处理函数,这个函数就是kprobe_exception_notify()。kprobe_exception_notify()不仅会接收到断点异常的通知,还会接收到调试异常(trap 1)和保护异常的通知。这篇文章主要围绕这个函数的处理来展开。  
kretprobe kretprobe_instance私有数据区
qq_42931917的博客
03-05 1081
这段初始化申请的内存是所有kretprobe实例共用的,也就是说是轮转使用的,所以在ret_handler使用完这段内存之后,需要将私有数据区的相关字段set为0。从上述内存申请的逻辑来看,被跟踪的实例是存在限制的,在注册kretprobe时可以根据实际情况进行调整。从内核代码出发,看看在注册kretprobe的时候是怎么分配内存的?的大小是在register_kretprobe时根据设定的data_size来设定。的size由结构体struct kretprobe的成员data_size来初始化。
磁盘blk_update_request: I/O error
weixin_33722405的博客
01-22 1万+
1、尝试1: 解决 blk_update_request: I/O error, dev fd0, sector 0 错误 参考文档: https://bbs.archlinux.org/viewtopic.php?pid=1166918#p1166918 http://www.cyberciti.biz/faq/linux-end_request-ioerror-dev-fd0-sector0...
kprobes/kretprobes介绍
M120674的专栏
12-14 1092
一 功能 (1)kprobe/kretprobes提供了针对内核的动态插桩支持。 (2)kprobes可以对任何内核函数(入口或函数内部指令)进行插桩 (3)kretprobes用来对内核函数返回时进行插桩以获取返回值等 二 接口 三种接口方式: (1)kprobe API:register_kprobe/register_kretprobe 该API接口是内核提供的,一般在定制化调试的驱动模块中调用API注册kprobe事件。 具体信息可以参考如下内核文档: kprobe...
Linux基础 -- 内核性能分析之 kprobe 与 kretprobe
最新发布
sz66cm 学习随笔
10-28 897
kprobe/kretprobe 是内核级的动态探针:不用改内核源码,运行时就能 hook 指定函数。kprobe = 入口拦截;kretprobe = 入口 + 返回成对,可以算耗时,是我们要的。只需开,不用开整套 ftrace 大缓冲。用 kretprobe 钩你的关键函数入口记 start_ns返回记 duration写入我们自己的 per-CPU 小 ring buffer(几十 KB 总占用)用 debugfs 导出来再加 enable 开关来做“按需抓一段窗口”
[monitor] 8. Linux kprobe(内核探针)
pwl999的博客
10-13 4184
1、kprobe概念kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。kprobe实现了三种类型的探测点: kprobe
深入ftrace kprobe原理解析
生活需要深度
03-13 795
,可能是因为cat的时候,那个进程号对应的进程已经不存在了,第二个是进程PID,触发kprobe的时候记录的。代码位置中的行号是反汇编对应的行号。setup_singlestep() 执行完毕后,程序继续执行保存的被探测点的指令,由于开启了单步调试模式,执行完指令后会继续触发异常,单步执行探测点的指令后,会触发单步异常,进入single_step_handler,调用kprobe_breakpoint_ss_handler,主要任务是恢复执行路径,调用用户注册的post_handler。
x86_64平台SingleStep单步调试原理和示例
TCP/IP
06-03 4954
先看一个程序: // simple.c int value = 0; int main(int argc, char **argv) { value ++; value ++; value ++; value ++; value ++; value ++; } 现在想单步调试它,跟踪value的变化,如何来做? 用gdb即可。但是如果想要理解背后发生了什么,还是要手工来一遍效果才更佳。 这就需要理解单步跟踪的本质(Linux为例): x86_64体系结构,FLAGS寄存器有一个TF标志位来使
blk_update_request: I/O error, dev fd0, sector 0
热门推荐
西京刀客
01-27 2万+
blk_update_request: I/O error, dev fd0, sector 0 问题背景: 执行命令netplan apply,应用配置的ip时,报错: blk_update_request: I/O error, dev fd0, sector 0 问题分析: 报这个错,是因为 linux加载了 floppy 软驱 驱动,我的虚机没有软驱,系统启动时加载了软盘驱动。 解决方法: 通过关闭软驱模块来解决 # sudo lsmod | grep -i floppy # sudo rmmo
linux系统报“blk_update_request: critical medium error, dev sdn, sector 1909891784”解决办法
Borny鼎鼎的博客
09-19 7120
linux系统,输入dmesg -T,报“blk_update_request: critical medium error, dev sdn, sector 1909891784”,初步判断磁盘损坏了,如下。badblocks检查磁盘损坏的区块,输入badblocks -sv /dev/sdn > /home/badblocks-sdn.txt &,有60个坏块被发现了,如下。
如何解决blk_update_request: I/O error,dev fd0 ,sector 0错误
纵歌的博客
03-04 3751
如何解决blk_update_request: I/O error,dev fd0 ,sector 0错误
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值