内核调测工具Kprobe之原理篇

[[382495]]

本文转载自微信公众号「人人都是极客」，作者布道师Peter。转载本文请联系人人都是极客公众号。  

上篇文章我们讲了Kprobe的用法，这次我们一起看下其实现的原理。

在上次的模块例子中插入dump_stack函数，获得调用栈的情况，根据栈来反推其调用流程：

Call trace: 
[<ffff00000808bd84>] dump_backtrace+0x0/0x268 
[<ffff00000808c00c>] show_stack+0x20/0x28 
[<ffff0000090e63e0>] dump_stack+0xb4/0xf0 
[<ffff00000168d0c8>] handler_pre+0x38/0x50 [kprobe_example] 
[<ffff000009103a14>] kprobe_breakpoint_handler+0x160/0x1d4 
[<ffff000008084fd0>] brk_handler+0x7c/0x90 
[<ffff000008081354>] do_debug_exception+0xa0/0x174 
Exception stack(0xffff000012f7bd40 to 0xffff000012f7be80) 
bd40: 0000000001200011 0000000000000000 0000000000000000 0000000000000000 
bd60: 0000f39a6ce05558 0000000000000000 0000f39a6ce05558 0000000000000073 
bd80: 00000000000000dc 0000000000000000 0000000000000000 0000000000000000 
bda0: 0000f39a6ce05558 0000000000000000 00000000ffffffff 0000fffffa1150d8 
bdc0: ffff0000080e1b40 0000f39a6c99fd10 0000000000000008 0000000000000000 
bde0: 0000000001200011 00000000ffffffff 0000f39a6c99fd30 0000000040000000 
be00: 0000000000000015 0000000000000124 00000000000000dc ffff000009122000 
be20: ffff8008f0385700 ffff000012f7be80 ffff0000080e1b84 ffff000012f7be80 
be40: ffff0000080e1620 0000000080000145 00000000ffffffff 6544f7a9c1a3c100 
be60: 0000ffffffffffff ffff000008083ac0 ffff000012f7be80 ffff0000080e1620 
[<ffff0000080830f0>] el1_dbg+0x18/0x74 
[<ffff0000080e1620>] _do_fork+0x0/0x414 

可以看出流程为：el1_dbg->do_debug_exception->brk_handler->kprobe_breakpoint_handler->kprobe_handler->handler_pre

从上图可以看出当中断触发时进入el1_sync，然后读取esr_el1寄存器的值，并判断异常的具体类型 ESR_ELx_EC_BREAKPT_CUR=0x31，即EC=110001，进入el1_dbg函数。根据EC=11000的类型我们知道触发当前中断的是breakpoint exception，如下所示：

那么问题来了，breakpoint指令是如何触发的?搞清楚了这个问题也就理解了kprobe添加探针的本质。

替换breakpoint指令

先来看下kprobe的注册流程：register_kprobe->arm_kprobe->__arm_kprobe->arch_arm_kprobe

/* arm kprobe: install breakpoint in text */ 
void __kprobes arch_arm_kprobe(struct kprobe *p) 
{ 
 patch_text(p->addr, BRK64_OPCODE_KPROBES);  
} 

可以清晰看出这里把addr对应位置的指令修改为brk指令,一旦cpu执行到addr，就会触发brk。从而进入上面说的中断函数el1_sync，紧接着进入 kprobe_handler.

static void __kprobes kprobe_handler(struct pt_regs *regs) 
{ 
 struct kprobe *p, *cur_kprobe; 
 struct kprobe_ctlblk *kcb; 
 unsigned long addr = instruction_pointer(regs); 
 
 kcb = get_kprobe_ctlblk(); 
 cur_kprobe = kprobe_running(); 
 
 p = get_kprobe((kprobe_opcode_t *) addr); //根据pc值获取kprobe 
 
 if (p) { 
  if (cur_kprobe) { 
   if (reenter_kprobe(p, regs, kcb)) 
    return; 
  } else { 
   /* Probe hit */ 
   set_current_kprobe(p); 
   kcb->kprobe_status = KPROBE_HIT_ACTIVE;//开始处理kprobe 
 
   if (!p->pre_handler || !p->pre_handler(p, regs)) { 
    setup_singlestep(p, regs, kcb, 0);  
    return; 
   } 
  } 
...... 
} 

可以看出kprobe_handler里先是进入pre_handler，然后通过setup_singlestep设置single-step相关寄存器，为下一步执行原指令时发生single-step异常做准备。

进入single-step

经过上面的步骤，pre_handler得到了执行，从异常态返回后，原指令也得到了执行，但是由于设置了single-step模式，所以执行完原指令后，马上又进入了single-step的exception。流程为：el1_dbg->do_debug_exception->single_step_handler->kprobe_single_step_handler->post_kprobe_handler->post_handler

总结

至此，我们知道Kprobe实现的本质是breakpoint和single-step的结合，这一点和大多数调试工具一样，比如kgdb/gdb。上面我们是从trace信息反推出来的执行流程，现在我们在从正面整理一下整个过程的来龙去脉：

1. 注册kprobe。注册的每个kprobe对应一个kprobe结构体，该结构体记录着插入点(位置)，以及该插入点本来对应的指令original_opcode;
2. 替换原有指令。使能kprobe的时候，将插入点位置的指令替换为一条异常(BRK)指令，这样当CPU执行到插入点位置时会陷入到异常态;
3. 执行pre_handler。进入异常态后，首先执行pre_handler，然后利用CPU提供的单步调试(single-step)功能，设置好相应的寄存器，将下一条指令设置为插入点处本来的指令，从异常态返回;
4. 再次陷入异常态。上一步骤中设置了single-step相关的寄存器，所以original_opcode刚一执行，便会再次陷入异常态，此时将signle-step清除，并且执行post_handler，然后从异常态安全返回。

步骤2，3，4便是一次kprobe工作的过程，它的一个基本思路就是将本来执行一条指令扩展成执行kprobe->pre_handler--->原指令--->kprobe-->post_handler这样三个过程。

由于考虑到放太多代码不利于阅读，本文并没有详细解读代码对上面流程的实现，感兴趣的小伙伴可以自行阅读，遇到问题可以留言或者群里讨论，最后整理下代码中涉及到的相关寄存器。

相关寄存器

PSTATE

PSTATE不是一个寄存器，它表示的是保存当前process状态信息的一组寄存器或者一些标志位信息的统称。

负数标志 Negative condition flag 
零数标志 Zero condition flag 
进位标志 Carry condition flag 
溢出标志 Overflow condition flag 
D : debug exception MASK ：Watchpoint, Breakpoint, and Software Step exceptions 
A : SError interrupt MASK 
I ：IRQ interrupt MASK 
F ：FIQ  interrupt MASK 
EL, bits [3:2] 
00 EL0 
01 EL1 
10 EL2 
11 EL3 
SP, bit [0] 
0 Use SP_EL0 at all Exception levels. 
1 Use SP_ELx for Exception level ELx. 
PAN, bit [22] 特权访问进制 
0 Privileged reads and write are not disabled by this mechanism. 
1 Disables privileged read and write accesses to addresses accessible at EL0 for an enabled stage 1 translation regime that defines the EL0 permissions 

SPSR

当异常发生的时候，保存当前的PSTATE(CPSR)的状态。

• PSTATE.{N, Z, C, V}：条件标志位，这些位的含义跟之前AArch32位一样，分别表示补码标志，运算结果为0标志，进位标志，带符号位溢出标志.
• PSTATE.SS：异常发生的时候，通过设置 MDSCR_EL1.SS 为 1 启动单步调试机制.
• PSTATE.IL：异常执行状态标志，非法异常产生的时候，会设置这个标志位，会导致的事件.
• PSTATE.{D, A, I, F}：D表示debug异常产生，比如软件断点指令/断点/观察点/向量捕获/软件单步 等;A, I, F表示异步异常标志，异步异常会有两种类型：一种是物理中断产生的，包括SError(系统错误类型，包括外部数据终止)，IRQ或者FIQ;另一种是虚拟中断产生的，这种中断发生在运行在EL2管理者enable的情况下：vSError，vIRQ，vFIQ;

MDSCR_EL1

Monitor Debug System Control Register