本文转载自微信公众号「人人都是极客」,作者布道师Peter。转载本文请联系人人都是极客公众号。
上篇文章我们讲了Kprobe的用法,这次我们一起看下其实现的原理。
在上次的模块例子中插入dump_stack函数,获得调用栈的情况,根据栈来反推其调用流程:
- Call trace:
- [
] dump_backtrace+0x0/0x268 - [
] show_stack+0x20/0x28 - [
] dump_stack+0xb4/0xf0 - [
] handler_pre+0x38/0x50 [kprobe_example] - [
] kprobe_breakpoint_handler+0x160/0x1d4 - [
] brk_handler+0x7c/0x90 - [
] do_debug_exception+0xa0/0x174 - Exception stack(0xffff000012f7bd40 to 0xffff000012f7be80)
- bd40: 0000000001200011 0000000000000000 0000000000000000 0000000000000000
- bd60: 0000f39a6ce05558 0000000000000000 0000f39a6ce05558 0000000000000073
- bd80: 00000000000000dc 0000000000000000 0000000000000000 0000000000000000
- bda0: 0000f39a6ce05558 0000000000000000 00000000ffffffff 0000fffffa1150d8
- bdc0: ffff0000080e1b40 0000f39a6c99fd10 0000000000000008 0000000000000000
- bde0: 0000000001200011 00000000ffffffff 0000f39a6c99fd30 0000000040000000
- be00: 0000000000000015 0000000000000124 00000000000000dc ffff000009122000
- be20: ffff8008f0385700 ffff000012f7be80 ffff0000080e1b84 ffff000012f7be80
- be40: ffff0000080e1620 0000000080000145 00000000ffffffff 6544f7a9c1a3c100
- be60: 0000ffffffffffff ffff000008083ac0 ffff000012f7be80 ffff0000080e1620
- [
] el1_dbg+0x18/0x74 - [
] _do_fork+0x0/0x414
可以看出流程为:el1_dbg->do_debug_exception->brk_handler->kprobe_breakpoint_handler->kprobe_handler->handler_pre
从上图可以看出当中断触发时进入el1_sync,然后读取esr_el1寄存器的值,并判断异常的具体类型 ESR_ELx_EC_BREAKPT_CUR=0x31,即EC=110001,进入el1_dbg函数。根据EC=11000的类型我们知道触发当前中断的是breakpoint exception,如下所示:
那么问题来了,breakpoint指令是如何触发的?搞清楚了这个问题也就理解了kprobe添加探针的本质。
替换breakpoint指令
先来看下kprobe的注册流程:register_kprobe->arm_kprobe->__arm_kprobe->arch_arm_kprobe
-
- void __kprobes arch_arm_kprobe(struct kprobe *p)
- {
- patch_text(p->addr, BRK64_OPCODE_KPROBES);
- }
可以清晰看出这里把addr对应位置的指令修改为brk指令,一旦cpu执行到addr,就会触发brk。从而进入上面说的中断函数el1_sync,紧接着进入 kprobe_handler.
- static void __kprobes kprobe_handler(struct pt_regs *regs)
- {
- struct kprobe *p, *cur_kprobe;
- struct kprobe_ctlblk *kcb;
- unsigned long addr = instruction_pointer(regs);
-
- kcb = get_kprobe_ctlblk();
- cur_kprobe = kprobe_running();
-
- p = get_kprobe((kprobe_opcode_t *) addr); //根据pc值获取kprobe
-
- if (p) {
- if (cur_kprobe) {
- if (reenter_kprobe(p, regs, kcb))
- return;
- } else {
-
- set_current_kprobe(p);
- kcb->kprobe_status = KPROBE_HIT_ACTIVE;//开始处理kprobe
-
- if (!p->pre_handler || !p->pre_handler(p, regs)) {
- setup_singlestep(p, regs, kcb, 0);
- return;
- }
- }
- ......
- }
可以看出kprobe_handler里先是进入pre_handler,然后通过setup_singlestep设置single-step相关寄存器,为下一步执行原指令时发生single-step异常做准备。
进入single-step
经过上面的步骤,pre_handler得到了执行,从异常态返回后,原指令也得到了执行,但是由于设置了single-step模式,所以执行完原指令后,马上又进入了single-step的exception。流程为:el1_dbg->do_debug_exception->single_step_handler->kprobe_single_step_handler->post_kprobe_handler->post_handler
总结
至此,我们知道Kprobe实现的本质是breakpoint和single-step的结合,这一点和大多数调试工具一样,比如kgdb/gdb。上面我们是从trace信息反推出来的执行流程,现在我们在从正面整理一下整个过程的来龙去脉:
- 注册kprobe。注册的每个kprobe对应一个kprobe结构体,该结构体记录着插入点(位置),以及该插入点本来对应的指令original_opcode;
- 替换原有指令。使能kprobe的时候,将插入点位置的指令替换为一条异常(BRK)指令,这样当CPU执行到插入点位置时会陷入到异常态;
- 执行pre_handler。进入异常态后,首先执行pre_handler,然后利用CPU提供的单步调试(single-step)功能,设置好相应的寄存器,将下一条指令设置为插入点处本来的指令,从异常态返回;
- 再次陷入异常态。上一步骤中设置了single-step相关的寄存器,所以original_opcode刚一执行,便会再次陷入异常态,此时将signle-step清除,并且执行post_handler,然后从异常态安全返回。
步骤2,3,4便是一次kprobe工作的过程,它的一个基本思路就是将本来执行一条指令扩展成执行kprobe->pre_handler--->原指令--->kprobe-->post_handler这样三个过程。
由于考虑到放太多代码不利于阅读,本文并没有详细解读代码对上面流程的实现,感兴趣的小伙伴可以自行阅读,遇到问题可以留言或者群里讨论,最后整理下代码中涉及到的相关寄存器。
相关寄存器
PSTATE
PSTATE不是一个寄存器,它表示的是保存当前process状态信息的一组寄存器或者一些标志位信息的统称。
- 负数标志 Negative condition flag
- 零数标志 Zero condition flag
- 进位标志 Carry condition flag
- 溢出标志 Overflow condition flag
- D : debug exception MASK :Watchpoint, Breakpoint, and Software Step exceptions
- A : SError interrupt MASK
- I :IRQ interrupt MASK
- F :FIQ interrupt MASK
- EL, bits [3:2]
- 00 EL0
- 01 EL1
- 10 EL2
- 11 EL3
- SP, bit [0]
- 0 Use SP_EL0 at all Exception levels.
- 1 Use SP_ELx for Exception level ELx.
- PAN, bit [22] 特权访问进制
- 0 Privileged reads and write are not disabled by this mechanism.
- 1 Disables privileged read and write accesses to addresses accessible at EL0 for an enabled stage 1 translation regime that defines the EL0 permissions
SPSR
当异常发生的时候,保存当前的PSTATE(CPSR)的状态。
- PSTATE.{N, Z, C, V}:条件标志位,这些位的含义跟之前AArch32位一样,分别表示补码标志,运算结果为0标志,进位标志,带符号位溢出标志.
- PSTATE.SS:异常发生的时候,通过设置 MDSCR_EL1.SS 为 1 启动单步调试机制.
- PSTATE.IL:异常执行状态标志,非法异常产生的时候,会设置这个标志位,会导致的事件.
- PSTATE.{D, A, I, F}:D表示debug异常产生,比如软件断点指令/断点/观察点/向量捕获/软件单步 等;A, I, F表示异步异常标志,异步异常会有两种类型:一种是物理中断产生的,包括SError(系统错误类型,包括外部数据终止),IRQ或者FIQ;另一种是虚拟中断产生的,这种中断发生在运行在EL2管理者enable的情况下:vSError,vIRQ,vFIQ;
MDSCR_EL1
Monitor Debug System Control Register