文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

内核调测工具Kprobe之原理篇

2024-12-03 11:19

关注

本文转载自微信公众号「人人都是极客」,作者布道师Peter。转载本文请联系人人都是极客公众号。  

上篇文章我们讲了Kprobe的用法,这次我们一起看下其实现的原理。

在上次的模块例子中插入dump_stack函数,获得调用栈的情况,根据栈来反推其调用流程:

  1. Call trace: 
  2. [] dump_backtrace+0x0/0x268 
  3. [] show_stack+0x20/0x28 
  4. [] dump_stack+0xb4/0xf0 
  5. [] handler_pre+0x38/0x50 [kprobe_example] 
  6. [] kprobe_breakpoint_handler+0x160/0x1d4 
  7. [] brk_handler+0x7c/0x90 
  8. [] do_debug_exception+0xa0/0x174 
  9. Exception stack(0xffff000012f7bd40 to 0xffff000012f7be80) 
  10. bd40: 0000000001200011 0000000000000000 0000000000000000 0000000000000000 
  11. bd60: 0000f39a6ce05558 0000000000000000 0000f39a6ce05558 0000000000000073 
  12. bd80: 00000000000000dc 0000000000000000 0000000000000000 0000000000000000 
  13. bda0: 0000f39a6ce05558 0000000000000000 00000000ffffffff 0000fffffa1150d8 
  14. bdc0: ffff0000080e1b40 0000f39a6c99fd10 0000000000000008 0000000000000000 
  15. bde0: 0000000001200011 00000000ffffffff 0000f39a6c99fd30 0000000040000000 
  16. be00: 0000000000000015 0000000000000124 00000000000000dc ffff000009122000 
  17. be20: ffff8008f0385700 ffff000012f7be80 ffff0000080e1b84 ffff000012f7be80 
  18. be40: ffff0000080e1620 0000000080000145 00000000ffffffff 6544f7a9c1a3c100 
  19. be60: 0000ffffffffffff ffff000008083ac0 ffff000012f7be80 ffff0000080e1620 
  20. [] el1_dbg+0x18/0x74 
  21. [] _do_fork+0x0/0x414 

可以看出流程为:el1_dbg->do_debug_exception->brk_handler->kprobe_breakpoint_handler->kprobe_handler->handler_pre

从上图可以看出当中断触发时进入el1_sync,然后读取esr_el1寄存器的值,并判断异常的具体类型 ESR_ELx_EC_BREAKPT_CUR=0x31,即EC=110001,进入el1_dbg函数。根据EC=11000的类型我们知道触发当前中断的是breakpoint exception,如下所示:

那么问题来了,breakpoint指令是如何触发的?搞清楚了这个问题也就理解了kprobe添加探针的本质。

替换breakpoint指令

先来看下kprobe的注册流程:register_kprobe->arm_kprobe->__arm_kprobe->arch_arm_kprobe

  1.  
  2. void __kprobes arch_arm_kprobe(struct kprobe *p) 
  3.  patch_text(p->addr, BRK64_OPCODE_KPROBES);  

可以清晰看出这里把addr对应位置的指令修改为brk指令,一旦cpu执行到addr,就会触发brk。从而进入上面说的中断函数el1_sync,紧接着进入 kprobe_handler.

  1. static void __kprobes kprobe_handler(struct pt_regs *regs) 
  2.  struct kprobe *p, *cur_kprobe; 
  3.  struct kprobe_ctlblk *kcb; 
  4.  unsigned long addr = instruction_pointer(regs); 
  5.  
  6.  kcb = get_kprobe_ctlblk(); 
  7.  cur_kprobe = kprobe_running(); 
  8.  
  9.  p = get_kprobe((kprobe_opcode_t *) addr); //根据pc值获取kprobe 
  10.  
  11.  if (p) { 
  12.   if (cur_kprobe) { 
  13.    if (reenter_kprobe(p, regs, kcb)) 
  14.     return
  15.   } else { 
  16.     
  17.    set_current_kprobe(p); 
  18.    kcb->kprobe_status = KPROBE_HIT_ACTIVE;//开始处理kprobe 
  19.  
  20.    if (!p->pre_handler || !p->pre_handler(p, regs)) { 
  21.     setup_singlestep(p, regs, kcb, 0);  
  22.     return
  23.    } 
  24.   } 
  25. ...... 

可以看出kprobe_handler里先是进入pre_handler,然后通过setup_singlestep设置single-step相关寄存器,为下一步执行原指令时发生single-step异常做准备。

进入single-step

经过上面的步骤,pre_handler得到了执行,从异常态返回后,原指令也得到了执行,但是由于设置了single-step模式,所以执行完原指令后,马上又进入了single-step的exception。流程为:el1_dbg->do_debug_exception->single_step_handler->kprobe_single_step_handler->post_kprobe_handler->post_handler

总结

至此,我们知道Kprobe实现的本质是breakpoint和single-step的结合,这一点和大多数调试工具一样,比如kgdb/gdb。上面我们是从trace信息反推出来的执行流程,现在我们在从正面整理一下整个过程的来龙去脉:

  1. 注册kprobe。注册的每个kprobe对应一个kprobe结构体,该结构体记录着插入点(位置),以及该插入点本来对应的指令original_opcode;
  2. 替换原有指令。使能kprobe的时候,将插入点位置的指令替换为一条异常(BRK)指令,这样当CPU执行到插入点位置时会陷入到异常态;
  3. 执行pre_handler。进入异常态后,首先执行pre_handler,然后利用CPU提供的单步调试(single-step)功能,设置好相应的寄存器,将下一条指令设置为插入点处本来的指令,从异常态返回;
  4. 再次陷入异常态。上一步骤中设置了single-step相关的寄存器,所以original_opcode刚一执行,便会再次陷入异常态,此时将signle-step清除,并且执行post_handler,然后从异常态安全返回。

步骤2,3,4便是一次kprobe工作的过程,它的一个基本思路就是将本来执行一条指令扩展成执行kprobe->pre_handler--->原指令--->kprobe-->post_handler这样三个过程。

由于考虑到放太多代码不利于阅读,本文并没有详细解读代码对上面流程的实现,感兴趣的小伙伴可以自行阅读,遇到问题可以留言或者群里讨论,最后整理下代码中涉及到的相关寄存器。

相关寄存器

PSTATE

PSTATE不是一个寄存器,它表示的是保存当前process状态信息的一组寄存器或者一些标志位信息的统称。

  1. 负数标志 Negative condition flag 
  2. 零数标志 Zero condition flag 
  3. 进位标志 Carry condition flag 
  4. 溢出标志 Overflow condition flag 
  5. D : debug exception MASK :Watchpoint, Breakpoint, and Software Step exceptions 
  6. A : SError interrupt MASK 
  7. I :IRQ interrupt MASK 
  8. F :FIQ  interrupt MASK 
  9. EL, bits [3:2] 
  10. 00 EL0 
  11. 01 EL1 
  12. 10 EL2 
  13. 11 EL3 
  14. SP, bit [0] 
  15. 0 Use SP_EL0 at all Exception levels. 
  16. 1 Use SP_ELx for Exception level ELx. 
  17. PAN, bit [22] 特权访问进制 
  18. 0 Privileged reads and write are not disabled by this mechanism. 
  19. 1 Disables privileged read and write accesses to addresses accessible at EL0 for an enabled stage 1 translation regime that defines the EL0 permissions 

SPSR

当异常发生的时候,保存当前的PSTATE(CPSR)的状态。

MDSCR_EL1

Monitor Debug System Control Register

 

 

来源:人人都是极客内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯