ARM架构kprobe应用及实现分析(1.0 简单示例)

网络对krpobe的实现机制及扩展都不是特别详细

由于工作需要及个人爱好，正好有这个机会好好学习此模块及应用到实际中

并将整个应用扩展及当时的分析情况，详细记录下来，希望对感兴趣的人有些许帮助

最开始还是先给个具体的栗子：

参考： kernel/samples 下面有不少的例子

/* For each probe you need to allocate a kprobe structure */static struct kprobe kp = {//.symbol_name= "do_fork",        .symbol_name= "testAddadd5",};

当运行到监控的某个点的时候，会调用此函数

static int handler_pre(struct kprobe *p, struct pt_regs *regs){        printk(" kprobes name is %s pt_regs size is %d \n",p->symbol_name,sizeof(regs->uregs));        return 0;}

初始话，注册一个kprobe，可以传入函数名或者在内存的绝对地址(system.map)

static int __init kprobe_init(void){int ret;kp.pre_handler = handler_pre;        ret = register_kprobe(&kp);        printk(KERN_INFO " Planted kprobe at %p\n", kp.addr);if (ret < 0) {printk(KERN_INFO " register_kprobe failed, returned %d\n", ret);return ret;}return 0;}

注销kprobe探测点

static void __exit kprobe_exit(void){unregister_kprobe(&kp);printk(KERN_INFO " kprobe at %p unregistered\n", kp.addr);}module_init(kprobe_init)module_exit(kprobe_exit)MODULE_LICENSE("GPL");

 

system.map
//现在我们只关心 do_fork testAddadd5 这两个函数
它们在内存的地址如下：
c0052368 T testAddadd5
c00523c0 T do_fork

static struct kprobe kp = {
         //.symbol_name = "do_fork",
        .symbol_name = "testAddadd5",
};
register_kprobe(&kp)
printk(KERN_INFO " Planted kprobe at %p\n", kp.addr);
insmod
<6>[ 9749.442971] (0)[5251:insmod] Planted kprobe at c0052368
发现这里打印的地址与system.map是一致的。