SystemTap
Posted 0xhack
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SystemTap相关的知识,希望对你有一定的参考价值。
SystemTap 是监控和跟踪运行中的 Linux 内核的操作的动态方法。这句话的关键词是动态,因为 SystemTap 没有使用工具构建一个特殊的内核,而是允许您在运行时动态地安装该工具。它通过一个名为Kprobes 的应用编程接口(API)来实现该目的,本文将探索这个 API。我们首先了解以前的一些内核跟踪方法,然后在深入探讨 SystemTap 的架构及其使用。
安装
//安装 $ sudo apt-get install systemtap //测试是否支持 $ sudo stap -ve ‘probe begin { log("hello world") exit() }‘
Ubuntu 存在一些问题/。
SystemTap架构
动态检测内核
SystemTap 用于检查运行的内核的两种方法是 Kprobes 和 返回探针。但是理解任何内核的最关键要素是内核的映射,它提供符号信息(比如函数、变量以及它们的地址)。有了内核映射之后,就可以解决任何符号的地址,以及更改探针的行为。
kprobes技术包括的3种探测手段分别时kprobe、jprobe和kretprobe。
kprobe:最基本的探测方式,是实现后两种的基础,特定于架构,它在需要检查的指令的第一个字节中插入一个断点指令。当调用该指令时,将执行针对探针的特定处理函数。执行完成之后,接着执行原始的指令(从断点开始)。它可以在任意的位置放置探测点(就连函数内部的某条指令处也可以),它提供了探测点的调用前、调用后和内存访问出错3种回调方式,分别是pre_handler、post_handler和fault_handler,其中pre_handler函数将在被探测指令被执行前回调,post_handler会在被探测指令执行完毕后回调(注意不是被探测函数)。
jprobe:基于kprobe实现,它用于获取被探测函数的入参值。
kretprobe:基于kprobe实现,用于获取被探测函数的返回值,注意,因为一个函数可能有多个返回点,所以听起来事情有些复杂。不过,它实际使用一种称为 trampoline 的简单技术。您将向函数条目添加一小段代码,而不是检查函数中的每个返回点。这段代码使用 trampoline 地址替换堆栈上的返回地址 —— Kretprobe 地址。当该函数存在时,它没有返回到调用方,而是调用 Kretprobe(执行它的功能),然后从 Kretprobe 返回到实际的调用方。
以上是关于SystemTap的主要内容,如果未能解决你的问题,请参考以下文章