我试图将kprobe转换为可加载的内核模块。
我能够运行内核树中samples/kprobes/文件夹中提供的示例。
如果我们在内核中配置了kprobes(CONFIG_KPROBES),那么__und_svc()处理程序中的svc_entry宏将扩展为64字节。
参考: http://lxr.free-electrons.com/source/arch/arm/kernel/entry-armv.S?a=arm#L245
我的目标是不触及内核端,在不启用CONFIG_KPROBES的情况下,将kprobe作为内核模块。
因此,内核编译时没有启用CONFIG_KPROBES。所以在__und_svc()中,svc_entry宏将扩展为0。
我想要解决以下疑问:
如果kprobe处理未定义指令异常(因为只有kprobe被创建),那么为什么会调用__und_svc()?__und_svc()处理程序在kprobes方面的作用是什么?
如果64字节内存是必需的,那么如何在不编译内核的情况下分配它?即如何动态完成?
请分享您的知识。
在 ARM 上,模式如果 kprobe 处理未定义指令异常(因为只有创建了 kprobe),那么为什么会调用
__und_svc()。就 kprobe 而言,__und_svc()处理程序的作用是什么?
0b11011 是未定义指令模式。当发生未定义指令时的流程如下:
__vectors_start,它只是跳转到vector_und。代码是一个名为vector_stub的宏,它决定是调用__und_svc还是__und_usr。堆栈是每个进程保留的 4/8k 页面。它是包含任务结构和内核堆栈的内核页面。
kprobe通过在您希望探测的代码地址处放置未定义指令来工作。也就是说,它涉及未定义指令处理程序。这应该很明显。它调用两个例程call_fpe或do_undefinstr()。您感兴趣的是第二种情况,它获取操作码并调用call_undef_hook()。使用register_undef_hook()添加钩子;您可以在arch_init_kprobes()中看到。主回调kprobe_handler使用一个struct pt_regs *regs调用,这恰好是在__und_svc中保留的额外内存。请注意例如kretprobe_trampoline(),它正在与当前执行的堆栈玩弄。
如果64字节的内存是必需的,则如何在不编译内核的情况下进行分配。即如何动态执行它?
不,不是这样。您可以使用不同的机制,但可能需要修改kprobes代码。最有可能的是您将不得不限制功能。完全重写堆栈帧并在事后保留额外的64字节也是可能的。这不是像kmalloc()那样的分配。它只是从监管者堆栈指针添加/减去一个数字。我猜测该代码会将未定义处理程序的返回地址重新编写为在kprobed地址的上下文(ISR、底半部/线程IRQ、work_queue、内核任务)中执行。但是可能还存在其他问题,您尚未遇到。如果永远不调用arch_init_kprobes(),则可以在__und_svc中始终进行预留;它只会消耗64字节的堆栈,这将使内核堆栈溢出的可能性更大。也就是说,改变:
__und_svc:
@ Always reserve 64 bytes, even if kprobe is not active.
svc_entry 64
arch_init_kprobes()是实际安装该功能的函数。
call_undef_hook()相关内容的启发。这更加详细了解了此事。但是我无法更改entry-armv.S中的__und_svc()。在提交d30a0c8bf99f0e6a7d8c57bd4524039585ffbced中,只添加了这64个字节。因此,我正在尝试理解他们添加了哪个功能/错误修复。 - Jeyaramsvc_entry,然后始终使用 svc_entry 64。您不需要拉取完整的补丁集。git diff d30a0c8bf99~1..d30a0c8bf99 给我一个完整的补丁。您可以保存它并运行 echo svc_entry.patch | patch -p1。或者您是在问是否可以不重新编译内核并修复此问题?这几乎是不可能的;您必须重新编写所有的 arm/kernel/kprobes.c 代码。 - artless noise