本文转载自微信公众号「人人都是极客」,作者布道师Peter。转载本文请联系人人都是极客公众号。
上篇文章我们讲了Kprobe的用法,这次我们一起看下其实现的原理。
在上次的模块例子中插入dump_stack函数,获得调用栈的情况,根据栈来反推其调用流程:
- Call trace:
- [<ffff00000808bd84>] dump_backtrace+0x0/0x268
- [<ffff00000808c00c>] show_stack+0x20/0x28
- [<ffff0000090e63e0>] dump_stack+0xb4/0xf0
- [<ffff00000168d0c8>] handler_pre+0x38/0x50 [kprobe_example]
- [<ffff000009103a14>] kprobe_breakpoint_handler+0x160/0x1d4
- [<ffff000008084fd0>] brk_handler+0x7c/0x90
- [<ffff000008081354>] do_debug_exception+0xa0/0x174
- Exception stack(0xffff000012f7bd40 to 0xffff000012f7be80)
- bd40: 0000000001200011 0000000000000000 0000000000000000 0000000000000000
- bd60: 0000f39a6ce05558 0000000000000000 0000f39a6ce05558 0000000000000073
- bd80: 00000000000000dc 0000000000000000 0000000000000000 0000000000000000
- bda0: 0000f39a6ce05558 0000000000000000 00000000ffffffff 0000fffffa1150d8
- bdc0: ffff0000080e1b40 0000f39a6c99fd10 0000000000000008 0000000000000000
- bde0: 0000000001200011 00000000ffffffff 0000f39a6c99fd30 0000000040000000
- be00: 0000000000000015 0000000000000124 00000000000000dc ffff000009122000
- be20: ffff8008f0385700 ffff000012f7be80 ffff0000080e1b84 ffff000012f7be80
- be40: ffff0000080e1620 0000000080000145 00000000ffffffff 6544f7a9c1a3c100
- be60: 0000ffffffffffff ffff000008083ac0 ffff000012f7be80 ffff0000080e1620
- [<ffff0000080830f0>] el1_dbg+0x18/0x74
- [<ffff0000080e1620>] _do_fork+0x0/0x414
可以看出流程为:el1_dbg->do_debug_exception->brk_handler->kprobe_breakpoint_handler->kprobe_handler->handler_pre
从上图可以看出当中断触发时进入el1_sync,然后读取esr_el1寄存器的值,并判断异常的具体类型 ESR_ELx_EC_BREAKPT_CUR=0x31,即EC=110001,进入el1_dbg函数。根据EC=11000的类型我们知道触发当前中断的是breakpoint exception,如下所示:
那么问题来了,breakpoint指令是如何触发的?搞清楚了这个问题也就理解了kprobe添加探针的本质。
替换breakpoint指令
先来看下kprobe的注册流程:register_kprobe->arm_kprobe->__arm_kprobe->arch_arm_kprobe
- /* arm kprobe: install breakpoint in text */
- void __kprobes arch_arm_kprobe(struct kprobe *p)
- {
- patch_text(p->addr, BRK64_OPCODE_KPROBES);
- }
可以清晰看出这里把addr对应位置的指令修改为brk指令,一旦cpu执行到addr,就会触发brk。从而进入上面说的中断函数el1_sync,紧接着进入 kprobe_handler.
- static void __kprobes kprobe_handler(struct pt_regs *regs)
- {
- struct kprobe *p, *cur_kprobe;
- struct kprobe_ctlblk *kcb;
- unsigned long addr = instruction_pointer(regs);
- kcb = get_kprobe_ctlblk();
- cur_kprobe = kprobe_running();
- p = get_kprobe((kprobe_opcode_t *) addr); //根据pc值获取kprobe
- if (p) {
- if (cur_kprobe) {
- if (reenter_kprobe(p, regs, kcb))
- return;
- } else {
- /* Probe hit */
- set_current_kprobe(p);
- kcb->kprobe_status = KPROBE_HIT_ACTIVE;//开始处理kprobe
- if (!p->pre_handler || !p->pre_handler(p, regs)) {
- setup_singlestep(p, regs, kcb, 0);
- return;
- }
- }
- ......
- }
可以看出kprobe_handler里先是进入pre_handler,然后通过setup_singlestep设置single-step相关寄存器,为下一步执行原指令时发生single-step异常做准备。
进入single-step
经过上面的步骤,pre_handler得到了执行,从异常态返回后,原指令也得到了执行,但是由于设置了single-step模式,所以执行完原指令后,马上又进入了single-step的exception。流程为:el1_dbg->do_debug_exception->single_step_handler->kprobe_single_step_handler->post_kprobe_handler->post_handler
总结
至此,我们知道Kprobe实现的本质是breakpoint和single-step的结合,这一点和大多数调试工具一样,比如kgdb/gdb。上面我们是从trace信息反推出来的执行流程,现在我们在从正面整理一下整个过程的来龙去脉:
步骤2,3,4便是一次kprobe工作的过程,它的一个基本思路就是将本来执行一条指令扩展成执行kprobe->pre_handler--->原指令--->kprobe-->post_handler这样三个过程。
由于考虑到放太多代码不利于阅读,本文并没有详细解读代码对上面流程的实现,感兴趣的小伙伴可以自行阅读,遇到问题可以留言或者群里讨论,最后整理下代码中涉及到的相关寄存器。
相关寄存器
PSTATE
PSTATE不是一个寄存器,它表示的是保存当前process状态信息的一组寄存器或者一些标志位信息的统称。
- 负数标志 Negative condition flag
- 零数标志 Zero condition flag
- 进位标志 Carry condition flag
- 溢出标志 Overflow condition flag
- D : debug exception MASK :Watchpoint, Breakpoint, and Software Step exceptions
- A : SError interrupt MASK
- I :IRQ interrupt MASK
- F :FIQ interrupt MASK
- EL, bits [3:2]
- 00 EL0
- 01 EL1
- 10 EL2
- 11 EL3
- SP, bit [0]
- 0 Use SP_EL0 at all Exception levels.
- 1 Use SP_ELx for Exception level ELx.
- PAN, bit [22] 特权访问进制
- 0 Privileged reads and write are not disabled by this mechanism.
- 1 Disables privileged read and write accesses to addresses accessible at EL0 for an enabled stage 1 translation regime that defines the EL0 permissions
SPSR
当异常发生的时候,保存当前的PSTATE(CPSR)的状态。
MDSCR_EL1
Monitor Debug System Control Register
哦~我完成了uni-app手机app开发,如何让他更新呢~ 我来告诉你 在这里插入图片描...
1.现在赶作业是一种时尚,所以我很赶得上潮流。 2.我房间里堆满了情人节卡片,...
二手 域名 在哪里买?二手域名的购买途径并不唯一,在买二手域名之前,可以查看...
操作场景 如果您需要使用创建的云服务器搭建一个对外展示的网站或者Web应用程序...
无人驾驶汽车行驶在马路上; 遇上行人会自动减速暂停; 而它的实际驾驶者居然在1...
一名曾仅使用 JavaScript 的开发者解释自己为何从反对 TypeScript 到转变为 Type...
作者 | 许晓斌 来源 | 阿里巴巴云原生公众号 写作动机 我们为何写作?对于许多技...
案例背景 案例分析 案例解答 MySQL InnoDB 的索引原理 索引类型 通过主键查询(...
购买 云服务器 的流程?如果已经选定了云服务厂商,其实整个 云服务器 的购买流...
客户简介 哔哩哔哩(bilibili)现为国内领先的年轻人文化社区,该网站于2009年6...