kprobe原理与实现笔记

很久以前挖的坑, 现在还没填上, 也许以后再详细分析吧.

kprobe是内核提供的代码跟踪工具, 其使用方法见Documentation/kprobes.txt, 此处做个简要说明. kprobe允许你在任何内核程序位置动态打断并收集调试信息. 你可以在几乎热河内核代码地址陷入中断, 指定断点触发时的处理程序. 当前有三类探测方式: kprobes, jprobes与kretprobes(也叫return probes). 一个kprobe可以插入到内核任意指令里, 一个jprobe可以插入到内核函数的入口并提供方便的函数参数获取方式, 一个return probe在指定函数返回时使用.
通常情况下基于kprobe的调试手段被包装成一个内核模块. 模块初始化函数初始化(注册)一个或多个probes, 退出函数注销它们. 一个注册函数如register_kprobe()指定probe插入的位置及probe触发时的处理程序.
register_/unregister_*probes()函数集对应一组不同的*probes的注册与注销函数, 当你需要一次注销多个probes时这些函数加速注销处理.
1.1 kprobe原理
当一个kprobe注册后, 会复制监测地址的指令并将监测地址起始的单个(或多个)字节指令替换为一个中断指令(如x86平台的int3).
当CPU触发断点指令时, 一个中断会产生, CPU的寄存器被保存, 控制权通过notifier_call_chain转移到kprobes, kprobes执行pre_handler关联kprobe, 传递句柄, kprobe结构地址与寄存器.
接着kprobes单步运行它保存的指令拷贝(直接单步运行原始指令会更简单, 但kprobes可能会短暂的移除断点指令, 这会造成一个小的时间窗口当其它CPU也路过该probe点).
再单步执行指令后kprobes执行post_handler(如果kprobe有该回调句柄). 程序继续从probe点之后继续执行.

更多实现说明见Documentation/kprobes.txt.
demo代码见samples/kprobes/kprobe_example.c.

以下分析kprobes数据结构与源码, 仅分析kprobe部分, jprobe与kretprobe不额外详述, 毕竟这块代码还是比较简单的.
 
数据结构:

struct kprobe { 
    //哈希链表, 被静态全局变量kprobe_table管理, 每个被监测地址作为索引 
    //如果一个地址存在多个kprobe则该哈希节点会用aggregate节点替代 
    struct hlist_node hlist; 
    //对于一个地址存在的多个kprobe的链表 
    struct list_head list; 
    //因断点指令不能重入处理, 当多个kprobe一起触发时会放弃执行后面的probe, 同时该计数增加 
    unsigned long nmissed; 
    //观察点对应的地址, 用户在调用注册接口时可以指定地址, 也可以传入函数名让内核自己查找 
    kprobe_opcode_t *addr; 
    //观察点对应的函数名, 在注册kprobe时会将其翻译为十六进制地址并修改addr 
    const char *symbol_name; 
    //相对于入口点地址的偏移, 会在计算addr以后再加上offset得到最终的addr 
    unsigned int offset; 
    //在执行kprobe地址addr指令之前执行的handler 
    kprobe_pre_handler_t pre_handler; 
    //在执行kprobe地址addr指令之后执行的handler 
    kprobe_post_handler_t post_handler; 
    //异常处理句柄, 在执行pre_handler返回值非0时会调用 
    kprobe_fault_handler_t fault_handler; 
    /* 
     * ... called if breakpoint trap occurs in probe handler. 
     * Return 1 if it handled break, otherwise kernel will see it. 
     */ 
    kprobe_break_handler_t break_handler; 
    //保存的操作码, 当注册kprobe后对应地址会用中断指令替代 
    kprobe_opcode_t opcode; 
    //平台相关结构, 具体见下 
    struct arch_specific_insn ainsn; 
    //状态标记, 被kprobe_mutex保护 
    u32 flags; 
}; 
struct arch_specific_insn { 
    //回调处理的指令, 具体见arch_prepare_kprobe中的初始化 
    kprobe_opcode_t             *insn; 
    kprobe_insn_handler_t       *insn_handler; 
    //指令的条件检查(通过取指令高4位)回调 
    kprobe_check_cc             *insn_check_cc; 
    //单步调试回调 
    kprobe_insn_singlestep_t    *insn_singlestep; 
    kprobe_insn_fn_t            *insn_fn; 
}; 

 

注册kprobe:

(kernel/kprobes.c)int __kprobes register_kprobe(struct kprobe *p) 
{ 
    //获取观察点在内核文件的地址 
    //注意传入的kprobe结构中symbol与addr有且只能有一个为有效值, 否则返回错误EINVAL 
    //如果传入的是函数名symbol则内核会查找符号表并翻译为指令地址, 查找不到也返回错误ENOENT 
    addr = kprobe_addr(p); 
    //判断观察点是否已注册, 判断方式是先根据addr索引kprobe_table查找是否该地址已被监测 
    //如存在节点再根据传入的kprobe指针p索引kprobe->list查找是否有与p相同的节点 
    //如已注册p则返回错误EINVAL 
    ret = check_kprobe_rereg(p); 
    //初始化p的成员, 注意对于flags成员用户只能传递一个标记KPROBE_FLAG_DISABLED 
    p->flags &= KPROBE_FLAG_DISABLED; 
    p->nmissed = 0; 
    INIT_LIST_HEAD(&p->list); 
    //校验kprobe地址是否安全, 观察点地址首先要满足以下要求, 不符合的一律返回EINVAL: 
    //1. 必须在内核代码段(内核本身或驱动模块代码) 
    //2. 不能是禁止kprobe的函数(函数声明带__kprobes属性或在kprobe_blacklist中的函数) 
    //3. 不能是与跳转相关的代码段(不太理解这个jump table是什么, 看定义不是在数据段里吗?) 
    //对于观察点地址落在驱动模块代码中的情况还需注意两点: 
    //1. 增加模块引用计数防止在更新模块代码时模块被意外卸载(在函数返回时释放) 
    //2. 不能是模块.init.text段 
    ret = check_kprobe_address_safe(p, &probed_mod); 
    mutex_lock(&kprobe_mutex); 
    //获取地址对应的kprobe对象, 如不存在即第一次设置该地址的观察点, 反之则注册kprobe集合 
    //register_aggr_kprobe首先判断old_p的pre_handler是否为aggr_pre_handler 
    //如不相等即该地址第二次注册, 使用alloc_aggr_kprobe/init_aggr_kprobe初始化一个集合节点 
    //如果集合节点标记为GONE还需重新准备架构相关代码(详见下文), 最后将新对象加入list链表 
    old_p = get_kprobe(p->addr); 
    if (old_p) { 
        ret = register_aggr_kprobe(old_p, p); 
        goto out; 
    } 
    //准备架构相关代码, 因当前config未定义KPROBES_ON_FTRACE 
    //prepare_kprobe实际调用arch_prepare_kprobe, 该函数具体分析见下文 
    mutex_lock(&text_mutex); 
    ret = prepare_kprobe(p); 
    mutex_unlock(&text_mutex); 
    //初始化哈希表节点 
    INIT_HLIST_NODE(&p->hlist); 
    hlist_add_head_rcu(&p->hlist, 
        &kprobe_table[hash_ptr(p->addr, KPROBE_HASH_BITS)]); 
    //将观察点地址的指令替换为未定义指令 
    //如在非Thumb态就使用KPROBE_ARM_BREAKPOINT_INSTRUCTION(0x07f001f8) 
    //替换后刷新icache, 之后执行到该指令时会进入中断(在init_kprobes中注册), 实现中断处理 
    if (!kprobes_all_disarmed && !kprobe_disabled(p)) 
        arm_kprobe(p); 
} 
(arch/arm/kernel/kprobes.c)int __kprobes arch_prepare_kprobe(struct kprobe *p) 
{ 
    //如在异常代码中直接返回 
    if (in_exception_text(addr)) 
        return -EINVAL; 
    //未定义THUMB2_KERNEL, 忽略相关代码 
    //因ARM RISC架构必定为4字节指令且不支持THUMB保证最低位为零, 所以此处判断低二位为零 
    //因不支持THUMB指令, decode_insn函数指针直接赋值为arm_kprobe_decode_insn 
    thumb = false; 
    if (addr & 0x3) 
        return -EINVAL; 
    insn = *p->addr; 
    decode_insn = arm_kprobe_decode_insn; 
    //保存操作码 
    p->opcode = insn; 
    p->ainsn.insn = tmp_insn; 
    //解码指令步骤, 因未定义THUMB2_KERNEL此处执行arm_kprobe_decode_insn 
    //首先初始化p->ainsn, 注意asi->insn是执行指令数组 
    //数组第一个成员是观察点指令的不带条件判断的部分(因条件处理在外部) 
    //数组第二个成员固定是0xe1a0f00e, 即mov pc, lr指令, 用来跳转回原接口 
    //指令模拟的重点在数组kprobe_decode_arm_table, 对照ARM手册逐个分析, 具体就不展开了 
    //最后返回该指令是否可kprobe, INSN_REJECTED即不可kprobe, 一般为修改程序状态的指令 
    //INSN_GOOD为需要额外slot, 则需额外分配地址有限制的内存, 详见get_insn_slot 
    //INSN_GOOD_NO_SLOT即无需内存的指令 
    switch ((*decode_insn)(insn, &p->ainsn)) { 
    case INSN_REJECTED: 
        return -EINVAL; 
    case INSN_GOOD: 
        p->ainsn.insn = get_insn_slot(); 
        if (!p->ainsn.insn) 
            return -ENOMEM; 
        for (is = 0; is < MAX_INSN_SIZE; ++is) 
            p->ainsn.insn[is] = tmp_insn[is]; 
        flush_insns(p->ainsn.insn, 
            sizeof(p->ainsn.insn[0]) * MAX_INSN_SIZE); 
        p->ainsn.insn_fn = (kprobe_insn_fn_t *) 
            ((uintptr_t)p->ainsn.insn | thumb); 
        break; 
    case INSN_GOOD_NO_SLOT: 
        p->ainsn.insn = NULL; 
        break; 
    } 
} 

 

初始化kprobe:

(kernel/kprobes.c)static int __init init_kprobes(void) 
{ 
    //初始化哈希表节点 
    for (i = 0; i < KPROBE_TABLE_SIZE; i++) { 
        INIT_HLIST_HEAD(&kprobe_table[i]); 
        INIT_HLIST_HEAD(&kretprobe_inst_table[i]); 
        raw_spin_lock_init(&(kretprobe_table_locks[i].lock)); 
    } 
    //初始化kprobe黑名单(非__krpobe属性又不能被kprobe的函数) 
    for (kb = kprobe_blacklist; kb->name != NULL; kb++) { 
        kprobe_lookup_name(kb->name, addr); 
        if (!addr) 
            continue; 
        kb->start_addr = (unsigned long)addr; 
        symbol_name = kallsyms_lookup(kb->start_addr, 
            &size, &offset, &modname, namebuf); 
        if (!symbol_name) 
            kb->range = 0; 
        else 
            kb->range = size; 
    } 
    kprobes_all_disarmed = false; 
    //架构相关初始化, 调用两个函数arm_kprobe_decode_init与register_undef_hook 
    //前者主要是arm指令相关初始化, 其中find_str_pc_offset是计算str pc指令带来多少pc偏移 
    //因为ARM是三级流水线(取指译码执行), PC地址实际领先执行指令, str pc时就需要减去偏移 
    //如果ARM架构大于7统一是8, 否则就需要计算实际偏移, 具体计算方式很简单, 不详述 
    //剩下两个判断没仔细看, 反正大于v7的架构都是空定义 
    //register_undef_hook是核心, 它注册了上文的KPROBE_ARM_BREAKPOINT_INSTRUCTION异常中断 
    //其中undef_hook是针对所有未定义指令的hook的链表头 
    err = arch_init_kprobes(); 
    //下面两个notifier没仔细看, 不知道注册了有什么用, 先放放 
    if (!err) 
        err = register_die_notifier(&kprobe_exceptions_nb); 
    if (!err) 
        err = register_module_notifier(&kprobe_module_nb); 
} 

 

kprobe中断处理:

(arch/arm/kernel/traps.c)asmlinkage void __exception do_undefinstr(struct pt_regs *regs) 
{ 
    pc = (void __user *)instruction_pointer(regs); 
    //未定义THUMB2_KERNEL去除相关代码 
    if (processor_mode(regs) == SVC_MODE) { 
        instr = *(u32 *) pc; 
    } else if (thumb_mode(regs)) { 
        if (get_user(instr, (u16 __user *)pc)) 
            goto die_sig; 
        if (is_wide_instruction(instr)) { 
            unsigned int instr2; 
            if (get_user(instr2, (u16 __user *)pc+1)) 
                goto die_sig; 
            instr <<= 16; 
            instr |= instr2; 
        } 
    } else if (get_user(instr, (u32 __user *)pc)) { 
        goto die_sig; 
    } 
    //遍历钩子链表找到符合的钩子调用回调处理, 此处即kprobe_trap_handler 
    if (call_undef_hook(regs, instr) == 0) 
        return; 
    info.si_signo = SIGILL; 
    info.si_errno = 0; 
    info.si_code  = ILL_ILLOPC; 
    info.si_addr  = pc; 
    arm_notify_die("Oops - undefined instruction", regs, &info, 0, 6); 
} 
(arch/arm/kernel/traps.c)static int __kprobes kprobe_trap_handler(struct pt_regs *regs, unsigned int instr) 
{ 
    //kprobe中断处理是时关中断的! 
    local_irq_save(flags); 
    kprobe_handler(regs); 
    local_irq_restore(flags); 
} 
(arch/arm/kernel/kprobes.c)void __kprobes kprobe_handler(struct pt_regs *regs) 
{ 
    //这里两个变量的定义都是对于每个CPU的, why? 
    kcb = get_kprobe_ctlblk(); 
    cur = kprobe_running(); 
    //未定义THUMB2_KERNEL去除相关代码 
    p = get_kprobe((kprobe_opcode_t *)regs->ARM_pc); 
    //获取pc地址所对应的kprobe对象, 如果p存在即存在kprobe 
    //如果p不存在但cur存在则可能对应存在jprobe(因为cur存在即有probe但又没有该地址的kprobe, 只可能是jprobe) 
    //否则probe已被移除, 什么都不做, 等退出后看当前地址指令是否会恢复 
    if (p) { 
        //kprobe存在又区分两种情况, 如果cur也存在即之前还有kprobe在执行 
        //则kprobe->nmissed增加, 正常运行断点指令后退出, 不执行pre_handler/post_handler 
        //否则即当前kprobe是唯一中断的kprobe, 先设置当前CPU的current_kprobe与状态 
        //然后先执行pre_handler, 根据其返回值(为0)正常运行或(为1)直接跳转异常处理句柄 
        //最后复位全局current_kprobe 
        if (cur) { 
            /* Kprobe is pending, so we're recursing. */ 
            switch (kcb->kprobe_status) { 
            case KPROBE_HIT_ACTIVE: 
            case KPROBE_HIT_SSDONE: 
                /* A pre- or post-handler probe got us here. */ 
                kprobes_inc_nmissed_count(p); 
                save_previous_kprobe(kcb); 
                set_current_kprobe(p); 
                kcb->kprobe_status = KPROBE_REENTER; 
                singlestep(p, regs, kcb); 
                restore_previous_kprobe(kcb); 
                break; 
            default: 
                /* impossible cases */ 
                BUG(); 
            } 
        } else if (p->ainsn.insn_check_cc(regs->ARM_cpsr)) { 
            /* Probe hit and conditional execution check ok. */ 
            set_current_kprobe(p); 
            kcb->kprobe_status = KPROBE_HIT_ACTIVE; 
            /* 
             * If we have no pre-handler or it returned 0, we 
             * continue with normal processing.  If we have a 
             * pre-handler and it returned non-zero, it prepped 
             * for calling the break_handler below on re-entry, 
             * so get out doing nothing more here. 
             */ 
            if (!p->pre_handler || !p->pre_handler(p, regs)) { 
                kcb->kprobe_status = KPROBE_HIT_SS; 
                singlestep(p, regs, kcb); 
                if (p->post_handler) { 
                    kcb->kprobe_status = KPROBE_HIT_SSDONE; 
                    p->post_handler(p, regs, 0); 
                } 
                reset_current_kprobe(); 
            } 
        } else { 
            /* 
             * Probe hit but conditional execution check failed, 
             * so just skip the instruction and continue as if 
             * nothing had happened. 
             */ 
            singlestep_skip(p, regs); 
        } 
    } else if (cur) { 
        /* We probably hit a jprobe.  Call its break handler. */ 
        if (cur->break_handler && cur->break_handler(cur, regs)) { 
            kcb->kprobe_status = KPROBE_HIT_SS; 
            singlestep(cur, regs, kcb); 
            if (cur->post_handler) { 
                kcb->kprobe_status = KPROBE_HIT_SSDONE; 
                cur->post_handler(cur, regs, 0); 
            } 
        } 
        reset_current_kprobe(); 
    } else { 
        /* 
         * The probe was removed and a race is in progress. 
         * There is nothing we can do about it.  Let's restart 
         * the instruction.  By the time we can restart, the 
         * real instruction will be there. 
         */ 
    } 
}