kprobe内核调试unlink系统调用

前言：kprobe内核调试unlink系统调用

参考文章：https://www.kernel.org/doc/html/latest/trace/kprobes.html
参考文章：https://linux.die.net/man/2/unlinkat
参考文章：https://github.com/eunomia-bpf/bpf-developer-tutorial/blob/main/src/2-kprobe-unlink/README.zh.md

kprobes技术

通过kprobes插桩技术可以实现在不影响内核正常运行下，动态监测指定的函数有无被调用、何时被调用、执行是否正确以及函数的入参和返回值是什么。

因此 kprobes 技术具有对内核执行流程影响小和操作方便的优点。

kprobes探测技术

kprobes技术的3种探测手段分别是kprobe、jprobe 和 kretprobe。

kprobe(KernelSpace)

首先 kprobe 是最基本的探测方式，是实现后两种的基础，它可以在任意的位置放置探测点（就连函数内部的某条指令处也可以），它提供了探测点的调用前pre_handler、调用后post_handler和内存访问出错fault_handler，总共3种回调方式。

pre_handler：函数将在被探测指令被执行前回调
post_handler：会在被探测指令执行完毕后回调（注意不是被探测函数）
fault_handler：会在内存访问出错时被调用；

jprobe

jprobe基于kprobe实现，它用于获取被探测函数的入参值。

kretprobe

kretprobe从名字中就可以看出其用途了，它同样基于kprobe实现，用于获取被探测函数的返回值。

kprobe应用

实现用于监测和捕获在Linux内核中执行的unlink系统调用。

unlink 系统调用的功能是删除一个文件，这个eBPF程序通过使用kprobe（内核探针）在do_unlinkat函数的入口和退出处放置钩子，实现对该系统调用的跟踪。

注意：kprobe/do_unlinkat 并不是内核中的一个跟踪点（tracepoint），而是通过 kprobe 机制对内核函数 do_unlinkat 设置的一个动态探针。kprobe 和 tracepoint 是两种不同的内核事件监控机制，它们有各自的特点和用途。

在下面的代码中对内核函数do_unlinkat设置了入口kprobe以及出口kretprobe的动态探针，对应定义了两个函数，如下所示

 #include "vmlinux.h"
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>
#include <bpf/bpf_core_read.h>
 
char LICENSE[] SEC("license") = "Dual BSD/GPL";
 
SEC("kprobe/do_unlinkat")
int BPF_KPROBE(do_unlinkat, int dfd, struct filename *name)
{
    pid_t pid;
    const char *filename;
 
    pid = bpf_get_current_pid_tgid() >> 32;
    filename = BPF_CORE_READ(name, name);
    bpf_printk("KPROBE ENTRY pid = %d, filename = %s\n", pid, filename);
    return 0;
}
 
SEC("kretprobe/do_unlinkat")
int BPF_KRETPROBE(do_unlinkat_exit, long ret)
{
    pid_t pid;
 
    pid = bpf_get_current_pid_tgid() >> 32;
    bpf_printk("KPROBE EXIT: pid = %d, ret = %ld\n", pid, ret);
    return 0;
}

观察cat /sys/kernel/debug/tracing/trace_pipe中的输出变化，可以看到当执行了rm操作的时候会输出对应的bpf_trace_printk信息，如下图所示

 touch test1
rm test1

注：关于BPF_CORE_READ使用用法

 value = BPF_CORE_READ(struct_ptr, field1, field2, ..., fieldN);
struct_ptr：指向你要访问的结构体的指针。
field1, field2, ..., fieldN：依次是你要访问的嵌套结构体的字段名。
value：读取到的值，类型与最后一个字段的类型一致

posted @ 2024-12-02 00:26 zpchcbd 阅读(33) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· ebpf环境搭建及tracepoint内核调试sys_enter_write

· tracepoint内核调试sys_enter_openat系统调用

· 转载-奇小葩-深入ftrace kprobe原理解析

· 【调试】kprobes(一)基本概念

· linux kprobes

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)

kprobe内核调试unlink系统调用

kprobes技术

kprobes探测技术

kprobe(KernelSpace)

jprobe

kretprobe

kprobe应用

我的标签

随笔档案

博客友链

	#include "vmlinux.h"
	#include <bpf/bpf_helpers.h>
	#include <bpf/bpf_tracing.h>
	#include <bpf/bpf_core_read.h>

	char LICENSE[] SEC("license") = "Dual BSD/GPL";

	SEC("kprobe/do_unlinkat")
	int BPF_KPROBE(do_unlinkat, int dfd, struct filename *name)
	{
	pid_t pid;
	const char *filename;

	pid = bpf_get_current_pid_tgid() >> 32;
	filename = BPF_CORE_READ(name, name);
	bpf_printk("KPROBE ENTRY pid = %d, filename = %s\n", pid, filename);
	return 0;
	}

	SEC("kretprobe/do_unlinkat")
	int BPF_KRETPROBE(do_unlinkat_exit, long ret)
	{
	pid_t pid;

	pid = bpf_get_current_pid_tgid() >> 32;
	bpf_printk("KPROBE EXIT: pid = %d, ret = %ld\n", pid, ret);
	return 0;
	}

	value = BPF_CORE_READ(struct_ptr, field1, field2, ..., fieldN);
	struct_ptr：指向你要访问的结构体的指针。
	field1, field2, ..., fieldN：依次是你要访问的嵌套结构体的字段名。
	value：读取到的值，类型与最后一个字段的类型一致

记录部分个人学习和部分实战的笔记 我会慢慢补全部分空白的文章 :)

kprobe内核调试unlink系统调用

kprobes技术

kprobes探测技术

kprobe(KernelSpace)

jprobe

kretprobe

kprobe应用

我的标签

随笔档案

博客友链

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)