kprobe/jprobe调试内核的注意事项-dsheng-ChinaUnix博客

Dsheng

首页　| 　博文目录　| 　关于我

dsheng

博客访问： 315720
博文数量： 81
博客积分： 1810
博客等级：上尉
技术积分： 725
用户组：普通用户
注册时间： 2008-05-25 17:38

文章分类

全部博文（81）

linux sched（1）
Python（3）
阅读计划（0）
machine lea（5）
推荐系统（1）
软件工程（1）
poker（0）
amazon（1）
vpn（0）
C（1）
嵌入式系统（5）
GPS（1）
版本管理（2）
时间系统（2）
linux网络（1）
linux调试与诊断（6）
MIPS（4）
RT Linux（9）
开源工具（5）
arm（5）
RFC（2）
linux系统管理（7）
未分配的博文（19）

文章存档

2016年（4）

2015年（11）

2014年（16）

2013年（37）

2012年（11）

2011年（2）

我的朋友

相关博文

kprobe/jprobe调试内核的注意事项

分类： LINUX

2013-08-12 16:27:16

网上一些经验总结和技术文档,收录起来.

内核调试,真是坑爹~

-------------------------

用Kprobe和retprobe注册的handler运行于原子（atomic）上下文，因为它们都是运行在int3的异常处理函数或调试（debug）中断的处理函数中，并且两者都是在关闭当前cpu中断的前提下执行的。相比之下，Jprobe就灵活得多了，用它注册的handler的执行环境和原始的执行环境并没有两样，堆栈环境和cpu寄存器都是相同的。
因为Jprobe执行用户注册的handler之前有保存现场（主要是int3之前的CPU寄存器的值）的工作，所以Jprobe的handler是没有办法破坏寄存器的值的，但是可以改变堆栈中的变量的值，Kprobe将没有这些限制，它对系统具有完全的访问权限，另一方面，Kprobe也比Jprobe危险得多，如果只是简单的打印一些系统信息，推荐用Jprobe，不要冒险！
Jprobe机制和用户空间的setjmp和longjmp的实现比较类似，事实上，它的内核代码的注释部分也是如此作类比的，所以用register_jprobe注册的代码段，最后必须要用jprobe_return进行返回，当然，如果你想让它一去不复返除外。这点就象用kprobe注册的handler必须是可以返回的函数一样。目前，能想到的就这么多了。
BTW: 看kprobe的内核代码的时侯，发现有的地方还是有些缺陷的，比如说某些地方用preempt_disable()关闭了抢占，但是当函数出错返回的时侯，并没有打开抢占。不知道最新的内核有没有修复这些细节，懒得去看了，应该没有哪个正式的发型版会打开这个选项的。所以文章标题中所提到的注入的可能性也就比较小了，本来这个东西出现的背景就是为了方便内核开发者的调试工作！
---------------------------
http://www-128.ibm.com/developerworks/cn/linux/l-kprobes.html

---------------------------------
1. IBM开发者网站:
使用 Kprobes 调试内核
http://www.ibm.com/developerworks/cn/linux/l-kprobes.html
Linux 下的一个全新的性能测量和调式诊断工具 Systemtap，第 1 部分: kprobe
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1
2. 国外大学的kprobes tutorial
3. 《Essential Linux Device Driver》中"调试设备驱动"之kernel probes章节
4. 《Linux Debugging and Performance Tuning: Tips and Techniques》中"Dynamic probes"一章

阅读(1617) | 评论(0) | 转发(0) |

上一篇：Linux内核kprobe机制实现浅析

下一篇：为什么rsync能够快速删除400000文件

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6