kprobe原理與實現筆記

很久以前挖的坑, 現在還沒填上, 也許以后再詳細分析吧.

kprobe是內核提供的代碼跟蹤工具, 其使用方法見Documentation/kprobes.txt, 此處做個簡要說明. kprobe允許你在任何內核程序位置動態打斷並收集調試信息. 你可以在幾乎熱河內核代碼地址陷入中斷, 指定斷點觸發時的處理程序. 當前有三類探測方式: kprobes, jprobes與kretprobes(也叫return probes). 一個kprobe可以插入到內核任意指令里, 一個jprobe可以插入到內核函數的入口並提供方便的函數參數獲取方式, 一個return probe在指定函數返回時使用.
通常情況下基於kprobe的調試手段被包裝成一個內核模塊. 模塊初始化函數初始化(注冊)一個或多個probes, 退出函數注銷它們. 一個注冊函數如register_kprobe()指定probe插入的位置及probe觸發時的處理程序.
register_/unregister_*probes()函數集對應一組不同的*probes的注冊與注銷函數, 當你需要一次注銷多個probes時這些函數加速注銷處理.
1.1 kprobe原理
當一個kprobe注冊后, 會復制監測地址的指令並將監測地址起始的單個(或多個)字節指令替換為一個中斷指令(如x86平台的int3).
當CPU觸發斷點指令時, 一個中斷會產生, CPU的寄存器被保存, 控制權通過notifier_call_chain轉移到kprobes, kprobes執行pre_handler關聯kprobe, 傳遞句柄, kprobe結構地址與寄存器.
接着kprobes單步運行它保存的指令拷貝(直接單步運行原始指令會更簡單, 但kprobes可能會短暫的移除斷點指令, 這會造成一個小的時間窗口當其它CPU也路過該probe點).
再單步執行指令后kprobes執行post_handler(如果kprobe有該回調句柄). 程序繼續從probe點之后繼續執行.

更多實現說明見Documentation/kprobes.txt.
demo代碼見samples/kprobes/kprobe_example.c.

以下分析kprobes數據結構與源碼, 僅分析kprobe部分, jprobe與kretprobe不額外詳述, 畢竟這塊代碼還是比較簡單的.
 
數據結構:

struct kprobe { 
    //哈希鏈表, 被靜態全局變量kprobe_table管理, 每個被監測地址作為索引 
    //如果一個地址存在多個kprobe則該哈希節點會用aggregate節點替代 
    struct hlist_node hlist; 
    //對於一個地址存在的多個kprobe的鏈表 
    struct list_head list; 
    //因斷點指令不能重入處理, 當多個kprobe一起觸發時會放棄執行后面的probe, 同時該計數增加 
    unsigned long nmissed; 
    //觀察點對應的地址, 用戶在調用注冊接口時可以指定地址, 也可以傳入函數名讓內核自己查找 
    kprobe_opcode_t *addr; 
    //觀察點對應的函數名, 在注冊kprobe時會將其翻譯為十六進制地址並修改addr 
    const char *symbol_name; 
    //相對於入口點地址的偏移, 會在計算addr以后再加上offset得到最終的addr 
    unsigned int offset; 
    //在執行kprobe地址addr指令之前執行的handler 
    kprobe_pre_handler_t pre_handler; 
    //在執行kprobe地址addr指令之后執行的handler 
    kprobe_post_handler_t post_handler; 
    //異常處理句柄, 在執行pre_handler返回值非0時會調用 
    kprobe_fault_handler_t fault_handler; 
    /* 
     * ... called if breakpoint trap occurs in probe handler. 
     * Return 1 if it handled break, otherwise kernel will see it. 
     */ 
    kprobe_break_handler_t break_handler; 
    //保存的操作碼, 當注冊kprobe后對應地址會用中斷指令替代 
    kprobe_opcode_t opcode; 
    //平台相關結構, 具體見下 
    struct arch_specific_insn ainsn; 
    //狀態標記, 被kprobe_mutex保護 
    u32 flags; 
}; 
struct arch_specific_insn { 
    //回調處理的指令, 具體見arch_prepare_kprobe中的初始化 
    kprobe_opcode_t             *insn; 
    kprobe_insn_handler_t       *insn_handler; 
    //指令的條件檢查(通過取指令高4位)回調 
    kprobe_check_cc             *insn_check_cc; 
    //單步調試回調 
    kprobe_insn_singlestep_t    *insn_singlestep; 
    kprobe_insn_fn_t            *insn_fn; 
}; 

 

注冊kprobe:

(kernel/kprobes.c)int __kprobes register_kprobe(struct kprobe *p) 
{ 
    //獲取觀察點在內核文件的地址 
    //注意傳入的kprobe結構中symbol與addr有且只能有一個為有效值, 否則返回錯誤EINVAL 
    //如果傳入的是函數名symbol則內核會查找符號表並翻譯為指令地址, 查找不到也返回錯誤ENOENT 
    addr = kprobe_addr(p); 
    //判斷觀察點是否已注冊, 判斷方式是先根據addr索引kprobe_table查找是否該地址已被監測 
    //如存在節點再根據傳入的kprobe指針p索引kprobe->list查找是否有與p相同的節點 
    //如已注冊p則返回錯誤EINVAL 
    ret = check_kprobe_rereg(p); 
    //初始化p的成員, 注意對於flags成員用戶只能傳遞一個標記KPROBE_FLAG_DISABLED 
    p->flags &= KPROBE_FLAG_DISABLED; 
    p->nmissed = 0; 
    INIT_LIST_HEAD(&p->list); 
    //校驗kprobe地址是否安全, 觀察點地址首先要滿足以下要求, 不符合的一律返回EINVAL: 
    //1. 必須在內核代碼段(內核本身或驅動模塊代碼) 
    //2. 不能是禁止kprobe的函數(函數聲明帶__kprobes屬性或在kprobe_blacklist中的函數) 
    //3. 不能是與跳轉相關的代碼段(不太理解這個jump table是什么, 看定義不是在數據段里嗎?) 
    //對於觀察點地址落在驅動模塊代碼中的情況還需注意兩點: 
    //1. 增加模塊引用計數防止在更新模塊代碼時模塊被意外卸載(在函數返回時釋放) 
    //2. 不能是模塊.init.text段 
    ret = check_kprobe_address_safe(p, &probed_mod); 
    mutex_lock(&kprobe_mutex); 
    //獲取地址對應的kprobe對象, 如不存在即第一次設置該地址的觀察點, 反之則注冊kprobe集合 
    //register_aggr_kprobe首先判斷old_p的pre_handler是否為aggr_pre_handler 
    //如不相等即該地址第二次注冊, 使用alloc_aggr_kprobe/init_aggr_kprobe初始化一個集合節點 
    //如果集合節點標記為GONE還需重新准備架構相關代碼(詳見下文), 最后將新對象加入list鏈表 
    old_p = get_kprobe(p->addr); 
    if (old_p) { 
        ret = register_aggr_kprobe(old_p, p); 
        goto out; 
    } 
    //准備架構相關代碼, 因當前config未定義KPROBES_ON_FTRACE 
    //prepare_kprobe實際調用arch_prepare_kprobe, 該函數具體分析見下文 
    mutex_lock(&text_mutex); 
    ret = prepare_kprobe(p); 
    mutex_unlock(&text_mutex); 
    //初始化哈希表節點 
    INIT_HLIST_NODE(&p->hlist); 
    hlist_add_head_rcu(&p->hlist, 
        &kprobe_table[hash_ptr(p->addr, KPROBE_HASH_BITS)]); 
    //將觀察點地址的指令替換為未定義指令 
    //如在非Thumb態就使用KPROBE_ARM_BREAKPOINT_INSTRUCTION(0x07f001f8) 
    //替換后刷新icache, 之后執行到該指令時會進入中斷(在init_kprobes中注冊), 實現中斷處理 
    if (!kprobes_all_disarmed && !kprobe_disabled(p)) 
        arm_kprobe(p); 
} 
(arch/arm/kernel/kprobes.c)int __kprobes arch_prepare_kprobe(struct kprobe *p) 
{ 
    //如在異常代碼中直接返回 
    if (in_exception_text(addr)) 
        return -EINVAL; 
    //未定義THUMB2_KERNEL, 忽略相關代碼 
    //因ARM RISC架構必定為4字節指令且不支持THUMB保證最低位為零, 所以此處判斷低二位為零 
    //因不支持THUMB指令, decode_insn函數指針直接賦值為arm_kprobe_decode_insn 
    thumb = false; 
    if (addr & 0x3) 
        return -EINVAL; 
    insn = *p->addr; 
    decode_insn = arm_kprobe_decode_insn; 
    //保存操作碼 
    p->opcode = insn; 
    p->ainsn.insn = tmp_insn; 
    //解碼指令步驟, 因未定義THUMB2_KERNEL此處執行arm_kprobe_decode_insn 
    //首先初始化p->ainsn, 注意asi->insn是執行指令數組 
    //數組第一個成員是觀察點指令的不帶條件判斷的部分(因條件處理在外部) 
    //數組第二個成員固定是0xe1a0f00e, 即mov pc, lr指令, 用來跳轉回原接口 
    //指令模擬的重點在數組kprobe_decode_arm_table, 對照ARM手冊逐個分析, 具體就不展開了 
    //最后返回該指令是否可kprobe, INSN_REJECTED即不可kprobe, 一般為修改程序狀態的指令 
    //INSN_GOOD為需要額外slot, 則需額外分配地址有限制的內存, 詳見get_insn_slot 
    //INSN_GOOD_NO_SLOT即無需內存的指令 
    switch ((*decode_insn)(insn, &p->ainsn)) { 
    case INSN_REJECTED: 
        return -EINVAL; 
    case INSN_GOOD: 
        p->ainsn.insn = get_insn_slot(); 
        if (!p->ainsn.insn) 
            return -ENOMEM; 
        for (is = 0; is < MAX_INSN_SIZE; ++is) 
            p->ainsn.insn[is] = tmp_insn[is]; 
        flush_insns(p->ainsn.insn, 
            sizeof(p->ainsn.insn[0]) * MAX_INSN_SIZE); 
        p->ainsn.insn_fn = (kprobe_insn_fn_t *) 
            ((uintptr_t)p->ainsn.insn | thumb); 
        break; 
    case INSN_GOOD_NO_SLOT: 
        p->ainsn.insn = NULL; 
        break; 
    } 
} 

 

初始化kprobe:

(kernel/kprobes.c)static int __init init_kprobes(void) 
{ 
    //初始化哈希表節點 
    for (i = 0; i < KPROBE_TABLE_SIZE; i++) { 
        INIT_HLIST_HEAD(&kprobe_table[i]); 
        INIT_HLIST_HEAD(&kretprobe_inst_table[i]); 
        raw_spin_lock_init(&(kretprobe_table_locks[i].lock)); 
    } 
    //初始化kprobe黑名單(非__krpobe屬性又不能被kprobe的函數) 
    for (kb = kprobe_blacklist; kb->name != NULL; kb++) { 
        kprobe_lookup_name(kb->name, addr); 
        if (!addr) 
            continue; 
        kb->start_addr = (unsigned long)addr; 
        symbol_name = kallsyms_lookup(kb->start_addr, 
            &size, &offset, &modname, namebuf); 
        if (!symbol_name) 
            kb->range = 0; 
        else 
            kb->range = size; 
    } 
    kprobes_all_disarmed = false; 
    //架構相關初始化, 調用兩個函數arm_kprobe_decode_init與register_undef_hook 
    //前者主要是arm指令相關初始化, 其中find_str_pc_offset是計算str pc指令帶來多少pc偏移 
    //因為ARM是三級流水線(取指譯碼執行), PC地址實際領先執行指令, str pc時就需要減去偏移 
    //如果ARM架構大於7統一是8, 否則就需要計算實際偏移, 具體計算方式很簡單, 不詳述 
    //剩下兩個判斷沒仔細看, 反正大於v7的架構都是空定義 
    //register_undef_hook是核心, 它注冊了上文的KPROBE_ARM_BREAKPOINT_INSTRUCTION異常中斷 
    //其中undef_hook是針對所有未定義指令的hook的鏈表頭 
    err = arch_init_kprobes(); 
    //下面兩個notifier沒仔細看, 不知道注冊了有什么用, 先放放 
    if (!err) 
        err = register_die_notifier(&kprobe_exceptions_nb); 
    if (!err) 
        err = register_module_notifier(&kprobe_module_nb); 
} 

 

kprobe中斷處理:

(arch/arm/kernel/traps.c)asmlinkage void __exception do_undefinstr(struct pt_regs *regs) 
{ 
    pc = (void __user *)instruction_pointer(regs); 
    //未定義THUMB2_KERNEL去除相關代碼 
    if (processor_mode(regs) == SVC_MODE) { 
        instr = *(u32 *) pc; 
    } else if (thumb_mode(regs)) { 
        if (get_user(instr, (u16 __user *)pc)) 
            goto die_sig; 
        if (is_wide_instruction(instr)) { 
            unsigned int instr2; 
            if (get_user(instr2, (u16 __user *)pc+1)) 
                goto die_sig; 
            instr <<= 16; 
            instr |= instr2; 
        } 
    } else if (get_user(instr, (u32 __user *)pc)) { 
        goto die_sig; 
    } 
    //遍歷鈎子鏈表找到符合的鈎子調用回調處理, 此處即kprobe_trap_handler 
    if (call_undef_hook(regs, instr) == 0) 
        return; 
    info.si_signo = SIGILL; 
    info.si_errno = 0; 
    info.si_code  = ILL_ILLOPC; 
    info.si_addr  = pc; 
    arm_notify_die("Oops - undefined instruction", regs, &info, 0, 6); 
} 
(arch/arm/kernel/traps.c)static int __kprobes kprobe_trap_handler(struct pt_regs *regs, unsigned int instr) 
{ 
    //kprobe中斷處理是時關中斷的! 
    local_irq_save(flags); 
    kprobe_handler(regs); 
    local_irq_restore(flags); 
} 
(arch/arm/kernel/kprobes.c)void __kprobes kprobe_handler(struct pt_regs *regs) 
{ 
    //這里兩個變量的定義都是對於每個CPU的, why? 
    kcb = get_kprobe_ctlblk(); 
    cur = kprobe_running(); 
    //未定義THUMB2_KERNEL去除相關代碼 
    p = get_kprobe((kprobe_opcode_t *)regs->ARM_pc); 
    //獲取pc地址所對應的kprobe對象, 如果p存在即存在kprobe 
    //如果p不存在但cur存在則可能對應存在jprobe(因為cur存在即有probe但又沒有該地址的kprobe, 只可能是jprobe) 
    //否則probe已被移除, 什么都不做, 等退出后看當前地址指令是否會恢復 
    if (p) { 
        //kprobe存在又區分兩種情況, 如果cur也存在即之前還有kprobe在執行 
        //則kprobe->nmissed增加, 正常運行斷點指令后退出, 不執行pre_handler/post_handler 
        //否則即當前kprobe是唯一中斷的kprobe, 先設置當前CPU的current_kprobe與狀態 
        //然后先執行pre_handler, 根據其返回值(為0)正常運行或(為1)直接跳轉異常處理句柄 
        //最后復位全局current_kprobe 
        if (cur) { 
            /* Kprobe is pending, so we're recursing. */ 
            switch (kcb->kprobe_status) { 
            case KPROBE_HIT_ACTIVE: 
            case KPROBE_HIT_SSDONE: 
                /* A pre- or post-handler probe got us here. */ 
                kprobes_inc_nmissed_count(p); 
                save_previous_kprobe(kcb); 
                set_current_kprobe(p); 
                kcb->kprobe_status = KPROBE_REENTER; 
                singlestep(p, regs, kcb); 
                restore_previous_kprobe(kcb); 
                break; 
            default: 
                /* impossible cases */ 
                BUG(); 
            } 
        } else if (p->ainsn.insn_check_cc(regs->ARM_cpsr)) { 
            /* Probe hit and conditional execution check ok. */ 
            set_current_kprobe(p); 
            kcb->kprobe_status = KPROBE_HIT_ACTIVE; 
            /* 
             * If we have no pre-handler or it returned 0, we 
             * continue with normal processing.  If we have a 
             * pre-handler and it returned non-zero, it prepped 
             * for calling the break_handler below on re-entry, 
             * so get out doing nothing more here. 
             */ 
            if (!p->pre_handler || !p->pre_handler(p, regs)) { 
                kcb->kprobe_status = KPROBE_HIT_SS; 
                singlestep(p, regs, kcb); 
                if (p->post_handler) { 
                    kcb->kprobe_status = KPROBE_HIT_SSDONE; 
                    p->post_handler(p, regs, 0); 
                } 
                reset_current_kprobe(); 
            } 
        } else { 
            /* 
             * Probe hit but conditional execution check failed, 
             * so just skip the instruction and continue as if 
             * nothing had happened. 
             */ 
            singlestep_skip(p, regs); 
        } 
    } else if (cur) { 
        /* We probably hit a jprobe.  Call its break handler. */ 
        if (cur->break_handler && cur->break_handler(cur, regs)) { 
            kcb->kprobe_status = KPROBE_HIT_SS; 
            singlestep(cur, regs, kcb); 
            if (cur->post_handler) { 
                kcb->kprobe_status = KPROBE_HIT_SSDONE; 
                cur->post_handler(cur, regs, 0); 
            } 
        } 
        reset_current_kprobe(); 
    } else { 
        /* 
         * The probe was removed and a race is in progress. 
         * There is nothing we can do about it.  Let's restart 
         * the instruction.  By the time we can restart, the 
         * real instruction will be there. 
         */ 
    } 
}