5250 2024-09-27 14:10 采纳率: 0%
浏览 1

使用kprobe监控do_filp_open函数, 参数获取失败,原因在哪里?

我使用kprobe监控do_filp_open函数, 获取参数异常,原因在哪里?

代码如下

SEC("kprobe/do_filp_open")
int do_filp_open_exit(struct  pt_regs *ctx){
        struct filename * pathname = (struct filename *)PT_REGS_PARM2(ctx);
        const struct open_flags * op = (struct open_flags *)PT_REGS_PARM3(ctx);

        if(op->open_flag & O_CREAT || op->intent & LOOKUP_CREATE) { //运行时这里报错 提示invalid mem access 'inv'
            e->type = CREATEFILE;
            __builtin_memcpy(e->event_name, "createfile", sizeof("createfile"));
        }
}

内核版本是5.4.18
我确认了内核版本的该函数的参数,并无更改

求他检测的一些函数同样使用PT_REGS_PARM3命令可以获取到函数,也排除了宏的问题。

还有什么其他的方法可以分析原因吗?

另外 我在内核5.4版本上要替换我代码中的fexit监控的函数。原本的代码是运行在6.0的 所以支持fexit,同时可以获取到参数和返回值。
在5.4版本上kretprobe只能获取返回值 ,kprobe只能获取参数 有没有其他好的探测方式?

  • 写回答

1条回答 默认 最新

  • 一轮明月照丘壑 2024-09-27 18:21
    关注

    以下回复参考:皆我百晓生券券喵儿等免费微信小程序作答:

    关于你的问题,我会尝试给出一些可能的解决方案和思路。

    首先,对于在使用 kprobe 监控 do_filp_open 函数时获取参数异常的问题,这可能有几个可能的原因:

    1. 参数位置或类型不正确:你需要确保你获取的参数的位置和类型是正确的。请再次检查 do_filp_open 函数的参数列表,确保你获取的参数位置和类型正确无误。在内核函数参数获取中,如果稍有偏差(如参数位置偏移或者类型不匹配),就可能导致获取失败。此外,也需要注意内核版本差异可能导致函数参数的变化。
    2. 寄存器访问问题:在某些情况下,可能由于某些特定的内核版本或者特定的系统配置,某些寄存器的访问可能存在问题。可以尝试使用其他方法获取参数,例如直接访问函数的栈内存。请注意这是一种相对复杂并且可能存在风险的方法,需要谨慎操作。

    关于在内核 5.4 版本上替换代码中的 fexit 监控函数的问题,由于不同内核版本的功能和API可能存在差异,因此可能需要一些特殊的处理方式。对于你的问题,可以尝试以下方法:

    1. 使用 kretprobe:虽然 kprobe 只能获取参数,但你可以尝试使用 kretprobe 来获取返回值。如果你需要同时获取参数和返回值,可能需要结合使用 kprobe 和 kretprobe。你可以在函数返回前使用 kretprobe 设置一个断点来获取返回值。
    2. 修改代码以适应内核版本:如果可能的话,尝试修改你的代码以适应当前内核版本的功能和API。这可能涉及到一些重构工作,但长期来看可能是解决这个问题的最佳方式。
    3. 寻找替代方案:如果以上方法都无法解决问题,可能需要寻找替代的监控方案。例如,你可以考虑使用其他内核调试工具或方法来实现你的需求。

    最后,关于分析原因的方法,你可以尝试使用内核调试工具(如 SystemTap、Kprobes Trace 等)来获取更多的调试信息,以便更好地定位问题。此外,你也可以查阅相关文档或社区讨论,看看是否有其他人遇到过类似的问题并提供了解决方案。

    评论

报告相同问题?

  • 参数列表过长,无法通过bpf syscall加载eBPF程序时
    2018-02-06 22:41
    回答 2 已采纳 Your problem here is the way you try to load the BPF bytecode. b, err := ioutil.ReadFile("bpf/bbf
  • linux ebpf - kprobe_do_sys_open
    2023-07-14 22:26
    Configure-Handler的博客 _x64_sys_openat 是一种以绝对...,没有进行初始化,bpf字节码不会为该结构体申请空间,根本原因是没有进行结构体的初始化!声明部分,**看来还是得学一学bpf的汇编,**从报错信息来看,是非法从直接从栈中读取数据?
  • linux内核调试工具之kprobe
    2022-10-24 22:26
    为了维护世界和平_的博客 2005年使用的典型CPU,kprobe命中需要0.5到1.0微秒来处理,返回探测命中的时间通常比kprobe命中的时间长50-75%在运行过程中想看某个函数的变量,需要重新编译内核。将内核输出都写到log.txt中(dmesg只能写部分),...
  • 内核调试之kprobe
    2022-03-22 17:58
    苟浩的博客 本文以 do_filp_open 函数为例,来看一下kprobe在trace里的基本使用,do_filp_open代码如下: struct file *do_filp_open(int dfd, struct filename *pathname, const struct open_flags *op)
  • 【调试】kprobes(二)使用方法
    2023-04-07 22:44
    嵌入式与Linux那些事的博客 上一节介绍了kprobe的基本概念,下面我们将使用几个具体的例子,看下kprobe在实际使用中有那些应用场景。ARM32,ARM64,X86寄存器及访问方式。
  • bpftrace参考指南
    2022-03-25 11:11
    品小虾的博客 文章目录前言一、名词解释二、使用示范1. help2. Hello World3. One-Liners程序4. 列出可跟踪点5. 调试输出6. 输出详情7. 环境变量8. 其它选项三、语法格式1. 程序结构{...}2. 过滤/.../3. 注释//, /**/4. 常量5. c...
  • kernel启动流程-start_kernel的执行_7.arch_call_rest_init
    2021-02-24 08:38
    HZero.chen的博客 前言 本专题文章承接之前《kernel启动流程_head.S的执行》专题文章,我们知道在head.S执行过程中保存了bootloader传递的启动参数、启动模式以及FDT地址等,创建了内核空间的页表,最后为init进程初始化好了堆栈,并...
  • 问题排查利器:Linux 原生跟踪工具 Ftrace 必知必会
    2022-03-15 18:30
    米开朗基杨的博客 TLDR:建议收藏,需要时查阅。如果你只是需要快速使用工具来进行问题排查,包括但不限于函数调用栈跟踪、函数调用子函数流程、函数返回结果,那么推荐你直接使用 BCC trace[1] 或 B...
  • 往linux内核函数挂钩子
    2018-11-28 18:38
    zhuyong006的博客 本文讲解替换一个已经在内存中的函数,使得执行流流入我们自己的逻辑,然后再调用原始的函数。比如有个函数叫做funcion,而你希望统计一下调用function的次数,最直接的方法就是如果有谁调用function的时候,调到...
  • Linux内核 eBPF基础:ftrace源码分析:过滤函数和开启追踪
    2021-05-14 19:06
    rtoax的博客 ftrace_process_regex函数 函数首先将获取func,在我们的例子中,func="schedul",然后会调用下面的代码: func = strsep(&next, ":"); if (!next) { ret = ftrace_match_records(hash, func, len); if (!ret...
  • 动态追踪怎么用?
    2021-08-06 14:34
    程序猿加油站的博客 以往,在排查和调试性能问题时,我们往往需要先为应用程序设置一系列的断点(比如使用 GDB),然后以手动或者脚本(比如 GDB 的 Python 扩展)的方式,在这些断点处分析应用程 序的状态。或者,增加一系列的日志,从.
  • objtrace代码调试
    2022-11-03 11:50
    mozart1756的博客 (echo 'p vfs_open arg1=+0x38(+0x8($arg1)):string' > ./kprobe_events) 首先分析一下kprobe的实现,以“echo 'p vfs_open arg1=+0x38(+0x8($arg1)):string' > ./kprobe_events”为例,该命令在函数vfs_...
  • socket 源码解析之创建
    2019-02-25 17:23
    泮小俊233的博客 //在 listen() 函数中监听到的连接数量 __u32 sk_priority; //优先级 struct ucred sk_peercred; // SO_PEERCRED 设置 long sk_rcvtimeo; // SO_RCVTIMEO 设置接受超时时间 long sk_sndtimeo; // SO_...
  • linux hook方法整理
    2020-08-20 15:16
    Frank-Wang的博客 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流,下面简要分类linux系统下的各种hook方式,主要有三类:修改函数指针,直接修改指令,利用系统提供的注册机制. 函数指针hook...
  • 简述API HOOK技术及原理
    2023-05-01 17:51
    大大大考拉的博客 而在应用程序建立套接字的时候选择了v4还是v6,都是同一个系统调用(sys_socket),只是传入的参数是不一样的,那么内核根据传参的差异,灵活的选择使用不同函数来初始化套接字,不同的函数使用各自对应的结构体来...
  • 第10章 无持久存储的文件系统 (3)
    2024-08-19 14:57
    山下小童的博客 跟踪TCP连接事件: 使用Kprobe在内核TCP连接函数中插入断点,当TCP连接建立或关闭时,将信息记录到顺序文件中。 记录的信息包括:源地址、目标地址、连接建立 / 关闭时间戳等。 2. 跟踪收发包: 在收发包函数中插入...
  • 10无持久存储的文件系统
    2024-09-12 15:26
    hgcn的博客 10无持久存储的文件系统 在内存中的文件系统,信息由内核动态生成 proc文件系统(proc filesystem),它使得内核可以生成与系统的状态和配置有关的信息。该信息可以由用户和系统程序从普通文件读取,而无需专门的工具...
  • 转载_Linux内核调试方法
    2013-08-27 16:00
    williamwanglei的博客 kdb:只能在汇编代码级进行调试;  优点是不需要两台机器进行调试。  gdb:在调试模块时缺少一些至关重要的功能,它可用来查看内核的运行情况,包括反汇编内核函数。  kgdb:能很方便的在源码级对内核进行调试...
  • 4进程虚拟内存
    2024-09-12 14:35
    hgcn的博客 两者之间设置了一个安全隙 建立进程内存空间的布局 do_execve search_binary_handler load_elf_binary 在使用 load_elf_binary 装载一个ELF二进制文件时,将创建进程的地址空间,而exec系统调用刚好使用了该函数 ...
  • 没有解决我的问题, 去提问

问题事件

  • 创建了问题 9月27日

悬赏问题

  • ¥15 如何在vue.config.js中读取到public文件夹下window.APP_CONFIG.API_BASE_URL的值
  • ¥50 浦育平台scratch图形化编程
  • ¥20 求这个的原理图 只要原理图
  • ¥15 vue2项目中,如何配置环境,可以在打完包之后修改请求的服务器地址
  • ¥20 微信的店铺小程序如何修改背景图
  • ¥15 UE5.1局部变量对蓝图不可见
  • ¥15 一共有五道问题关于整数幂的运算还有房间号码 还有网络密码的解答?(语言-python)
  • ¥20 sentry如何捕获上传Android ndk 崩溃
  • ¥15 在做logistic回归模型限制性立方条图时候,不能出完整图的困难
  • ¥15 G0系列单片机HAL库中景园gc9307液晶驱动芯片无法使用硬件SPI+DMA驱动,如何解决?