logo标签列表

在Linux内核崩溃信息中,“Code”是什么意思?

linuxlinux-kernelx86crash
3
我有以下堆栈跟踪和崩溃信息,这是在Linux内核加载失败后产生的:
[    3.684670] ------------[ cut here ]------------
[    3.695507] Bad FPU state detected at fpu__clear+0x91/0xc2, reinitializing FPU registers.
[    3.695508] traps: No user code available.
[    3.704745] invalid opcode: 0000 [#1] PREEMPT
[    3.715304] CPU: 0 PID: 1 Comm: swapper Not tainted 4.19.50-android-x86-geeb7e76-dirty #1
[    3.724594] Hardware name: AAEON UP-APL01/UP-APL01, BIOS UPA1AM21 09/01/2017
[    3.732622] EIP: ex_handler_fprestore+0x2e/0x65
[    3.737807] Code: 00 55 89 e5 57 8b 48 04 8d 44 08 04 89 42 30 80 3d e7 fb a0 c1 00 75 16 c6 05 e7 fb a0 c1 01 50 68 b4 38 87 c1 e8 98 ba 00 00 <0f> 0b 58 5a 90 8d 74 26 00 eb f
[    3.759027] EAX: 0000004d EBX: c103d6f9 ECX: c19a2a48 EDX: c19a2a48
[    3.766169] ESI: df4c7e04 EDI: 00000006 EBP: df4c7c6c ESP: df4c7c60
[    3.773316] DS: 007b ES: 007b FS: 0000 GS: 00e0 SS: 0068 EFLAGS: 00010292
[    3.781044] CR0: 80050033 CR2: c168c6b4 CR3: 1e902000 CR4: 001406d0
[    3.788184] Call Trace:
[    3.791026]  ? fpu__clear+0x91/0xc2
[    3.795037]  fixup_exception+0x61/0x6e
[    3.799348]  do_trap+0x35/0xe9
[    3.802864]  do_invalid_op+0xd9f/0x108a
[    3.807269]  ? atime_needs_update+0x68/0xf5
[    3.812058]  ? touch_atime+0x37/0xbd
[    3.816168]  ? __check_object_size+0x83/0x123
[    3.821153]  ? fpu__clear+0x8e/0xc2
[    3.825166]  ? generic_file_read_iter+0x28d/0x723
[    3.830544]  ? generic_file_read_iter+0x28d/0x723
[    3.835931]  ? __vfs_read+0xe9/0x11f
[    3.840043]  common_exception+0x105/0x10e
[    3.844634] EIP: fpu__clear+0x91/0xc2
[    3.848840] Code: eb 05 e8 b4 f2 fd ff ff 0d 98 a8 99 c1 74 3b 90 8d 74 26 00 eb 07 90 8d 74 26 00 eb 1c 83 c8 ff bf c0 8c a2 c1 89 c2 0f c7 1f <a1> f4 8b a2 c1 ff 0d 98 a8 99 1
[    3.870070] EAX: ffffffff EBX: df4c5900 ECX: 00000000 EDX: ffffffff
[    3.877210] ESI: df4c5900 EDI: c1a28cc0 EBP: df4c7e4c ESP: df4c7e40
[    3.884356] DS: 007b ES: 007b FS: 0000 GS: 00e0 SS: 0068 EFLAGS: 00010286
[    3.892085]  ? do_alignment_check+0x1a/0x1a
[    3.896878]  ? common_exception+0x105/0x10e
[    3.901674]  flush_thread+0x33/0x37
[    3.905684]  flush_old_exec+0x540/0x5f9
[    3.910085]  load_elf_binary+0x24b/0xec1
[    3.914584]  ? pick_next_task_fair+0xdf/0x13a
[    3.919575]  ? __schedule+0x4bb/0x63f
[    3.923780]  ? sched_debug_header+0x45/0x40a
[    3.928666]  ? preempt_schedule+0x2d/0x3c
[    3.933266]  search_binary_handler+0x89/0x1ac
[    3.938259]  load_script+0x184/0x19f
[    3.942366]  search_binary_handler+0x89/0x1ac
[    3.947354]  __do_execve_file+0x454/0x668
[    3.951954]  do_execve+0x1b/0x1d
[    3.955673]  run_init_process+0x31/0x36
[    3.960082]  ? rest_init+0x99/0x99
[    3.963992]  kernel_init+0x5e/0xdf
[    3.967905]  ret_from_fork+0x19/0x30
[    3.972014] Modules linked in:
[    3.975542] ---[ end trace 7d27fceeb3852a38 ]---
[    3.980823] EIP: ex_handler_fprestore+0x2e/0x65
[    3.986014] Code: 00 55 89 e5 57 8b 48 04 8d 44 08 04 89 42 30 80 3d e7 fb a0 c1 00 75 16 c6 05 e7 fb a0 c1 01 50 68 b4 38 87 c1 e8 98 ba 00 00 <0f> 0b 58 5a 90 8d 74 26 00 eb f
[    4.007247] EAX: 0000004d EBX: c103d6f9 ECX: c19a2a48 EDX: c19a2a48
[    4.014387] ESI: df4c7e04 EDI: 00000006 EBP: df4c7c6c ESP: c1afa3b0
[    4.021536] DS: 007b ES: 007b FS: 0000 GS: 00e0 SS: 0068 EFLAGS: 00010292
[    4.029265] CR0: 80050033 CR2: c168c6b4 CR3: 1e902000 CR4: 001406d0
[    4.036413] note: swapper[1] exited with preempt_count 1

什么是“Code”?我还能知道引起内核崩溃的确切x86指令(而不是C函数)吗?
编辑:已更新代码。我试图在虚拟化环境中运行Linux。
指令<0f> 0b是导致异常的指令。那就是UD2指令。通常这表示代码不应该到达那个位置(可能检测到某种未定义行为?也许刚才那个call指令(字节e8 98 ba 00 00)本来不应该返回,但它确实返回了。如果没有看到那个函数,很难说清楚。 - Michael Petch
你是否在模拟器(如KVM/QEMU)中运行此程序? - Michael Petch
谢谢你的帮助!是的,我们正在虚拟化环境中运行。我已经更新了原始帖子。因此,可能是其他原因导致了这个非法指令。 - sal_guy
不,显然仍在运行 0f 0b ud2 导致非法指令异常。这就是 ud2 的唯一目的。虚拟化环境只是使得更容易附加调试器到虚拟机并在崩溃后进行调查,或者更早地设置断点。 - Peter Cordes
2
@PeterCordes:我实际上询问虚拟化环境,因为在某些Linux版本和一些虚拟机(包括KVM)中存在一些已知的FPU相关错误。我怀疑这可能与实际崩溃问题有关。我没有从调试的角度询问虚拟化环境。我怀疑最终可能是一个XY问题,因为OP在评论中建议“我最初不理解为什么Linux会崩溃”。 - Michael Petch
1
阅读我的评论,以了解彼得的答案。 - 0andriy
1个回答
2

Code是x86机器码的十六进制转储(假定来自遗留的32位内核,因为它只转储了32位寄存器内容)。

<>标记的字节是EIP指向的位置,所以它是ex_handler_fprestore内的故障指令。

将其提供给反汇编器,例如https://defuse.ca/online-x86-assembler.htm#disassembly2或Linux的崩溃转储解码脚本https://elixir.bootlin.com/linux/latest/source/scripts/decodecode

请记住,x86机器码使用可变长度编码,无法明确地向后解码。但这是编译器生成的代码,所以至少我们可以假设不应该有重叠的指令或静态数据与代码混合(因为x86没有这样的好处)。如果在编译器生成的代码中找到函数的开头,其余指令都将是“正常的”。

00字节看起来像前一个指令的一部分或函数之间的填充:从那里解码将给我们add BYTE PTR [ebp-0x77],dl,这是合理的,接下来的in eax,0x57不是非驱动程序函数。

更有可能的是0x89字节是MOV指令的操作码。

如果我们删除00字节并从55(即push ebp)开始,我们将得到一个正常的函数体,其中包括您期望使用-Os-fno-omit-frame-pointer编译时的堆栈帧设置序言。

一般来说,您可以逐个删除字节,直到获得看起来正常的解码,该解码至少在故障指令上具有指令边界。(但需要一些经验才能看起来“正常”;反汇编可能在错误的情况下偶然同步。这对于x86机器码并不罕见。)

# skipped the 00 byte which would desync decoding
0:  55                      push   ebp
1:  89 e5                   mov    ebp,esp
3:  57                      push   edi
4:  8b 48 04                mov    ecx,DWORD PTR [eax+0x4]      # EAX = 1st function arg, ECX = tmp
7:  8d 44 08 04             lea    eax,[eax+ecx*1+0x4]
b:  89 42 30                mov    DWORD PTR [edx+0x30],eax     # EDX = 2rd function arg
e:  80 3d e7 fb a0 c1 00    cmp    BYTE PTR ds:0xc1a0fbe7,0x0
15: 75 16                   jne    0x2d
17: c6 05 e7 fb a0 c1 01    mov    BYTE PTR ds:0xc1a0fbe7,0x1
1e: 50                      push   eax
1f: 68 b4 38 87 c1          push   0xc18738b4
24: e8 98 ba 00 00          call   0xbac1
29: 0f 0b                   ud2                     ### <=== EIP points here

# stuff after this probably isn't real code; it's unreachable
2b: 58                      pop    eax
2c: 5a                      pop    edx
2d: 90                      nop
2e: 8d 74 26 00             lea    esi,[esi+eiz*1+0x0]
32: eb                      .byte 0xeb

所以这个函数最终会调用一个具有堆栈参数的noreturn函数。(32位x86 Linux内核使用-mregparm = 3构建,因此前三个参数按顺序在EAX,EDX,ECX中,因此要么这个函数不是regparm,要么它有超过3个参数。您可以看到该函数使用EAX和EDX作为传入参数:在写入之前读取。)
但由于某种原因,它不是jmp tailcall;也许为了异常回溯,它希望将此函数的堆栈帧放在堆栈上。(即使这个内核是使用-fomit-frame-pointer作为-O2的一部分构建的,这可能解释了push ebp/mov ebp,esp。)
您必须查看ex_handler_fprestore的C源代码才能猜测可能的原因。 ud2是非法指令。编译器(或inline asm?)将其放置在那里,以便如果函数返回,则会出现故障。这是清晰的迹象,表明此执行路径应该是不可达的,或者标记为有意作为assert()类型的机制陷阱。(在Linux中,寻找BUG_ON())。
为什么不使用内核源代码树中的简单“decodecode”脚本? - 0andriy
1
@0andriy:谢谢,好建议。我通常不会调试内核崩溃转储,所以我只是出于好奇的态度来回答这个问题,没有使用除基本汇编器/反汇编器之外的现有工具的经验。 - Peter Cordes
1
啊,忘了提到在99.9%的情况下,代码中的ud2意味着*查找BUG_ON()*。 - 0andriy
1
@0andriy:谢谢,我不确定BUG_ON()是否会跳转到更详细的错误报告,或者它只是一个ud2。另外请注意,如果您使用clang或某些现代GCC版本进行编译,则某些类型的C未定义行为可能会被编译为ud2(而不是对通过函数的执行路径进行正常代码生成,该路径始终导致某种编译器不想处理的UB)。 - Peter Cordes
1
事实证明,XSAVES/XRSTORS引起了UD异常,因为虚拟化环境不支持这些功能。感谢您的帮助! - sal_guy
显示剩余2条评论
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接