ARM架构kprobe应用及实现分析(6.0 导出堆栈的值)

最新推荐文章于 2024-04-10 22:52:27 发布
最新推荐文章于 2024-04-10 22:52:27 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: kprobe 文章标签: kernel linux android krpobe arm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyongming1982/article/details/16368431
版权
本文详细阐述了在ARM架构下通过函数参数导出并打印堆栈数据的过程,包括如何处理超过四个参数的情况,以及如何利用堆栈指针(SP)进行数据的准确定位和展示。通过实际代码示例展示了如何实现堆栈数据的导出与打印,最终输出展示了堆栈中心数据及其周围数据,验证了导出堆栈数据的可信性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上篇讲过了导出寄存器的值

但是当函数参数多余4个的话(R0 R1 R2 R3 ),其他的值会保存在堆栈中,所以必须导出SP附近的值才能查看其它参数的值

此函数实现如下:

第一个参数为SP的值,第二个是一SP为中心要打印周围栈的数据

static int dump_arm_stack(unsigned int * _addr , unsigned int addrSize)
{   
   int i=0;
   int j=0;
   int word_per_line=4;
   unsigned int * addr = _addr;
   addr = addr + word_per_line*addrSize;

   for(i=0;i<addrSize*2;i++)
   {
         char * middlestack = "---";
         if(i==addrSize)
         {
            middlestack = "$$$";
         }
         printk(" addr:0x%08x %s 0x%08x 0x%08x 0x%08x 0x%08x \n", \
                                    (addr-(i*word_per_line+0)),\
                                    middlestack, \
                                    *(addr-(i*word_per_line+0)),\
                                    *(addr-(i*word_per_line+1)),\
                                    *(addr-(i*word_per_line+2)),\
                                    *(addr-(i*word_per_line+3)) \
                                    );
   }
   return 0;
}

实际调用(regs->uregs[13] 即为stack pointer):

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
        printk(" kprobes name is %s pt_regs size is %d \n",p->symbol_name,sizeof(regs->uregs));
        dump_arm_regs(regs->uregs);
        dump_arm_stack((unsigned int *)regs->uregs[13],5);
	return 0;
}

当探测到实际printk输出如下:

//导出当时堆栈的值
<4>[ 9749.267927]-(0)[186:adbd] addr:0xdbe8ff80 --- 0xdbe8ffa4 0x00000000 0xdbe8e000 0xc000e0a4
<4>[ 9749.269044]-(0)[186:adbd] addr:0xdbe8ff70 --- 0x00000002 0x00043d34 0x00042ff4 0x00000035
<4>[ 9749.270161]-(0)[186:adbd] addr:0xdbe8ff60 --- 0x00000035 0x80045430 0x00000000 0xc8131300
<4>[ 9749.271278]-(0)[186:adbd] addr:0xdbe8ff50 --- 0xdbe8ff7c 0x00000000 0x00000001 0x00000000
<4>[ 9749.272395]-(0)[186:adbd] addr:0xdbe8ff40 --- 0x00000001 0xc063bd50 0x00000088 0x00000055
<4>[ 9749.273512]-(0)[186:adbd] addr:0xdbe8ff30 $$$ 0x00000044 0xc00872a4 0xc00524fc 0xdbe8ff30   //这里是当时堆栈的中心
<4>[ 9749.274629]-(0)[186:adbd] addr:0xdbe8ff20 --- 0xdbe8ff8c 0x00000000 0xdbe8e000 0xdc38f000
<4>[ 9749.275746]-(0)[186:adbd] addr:0xdbe8ff10 --- 0x00001482 0x00000000 0xdbe8e000 0xc4b6b000
<4>[ 9749.276864]-(0)[186:adbd] addr:0xdbe8ff00 --- 0xc06309f4 0x60000013 0xdbe8ff1c 0xc063bd98
<4>[ 9749.277981]-(0)[186:adbd] addr:0xdbe8fef0 --- 0xc00873c8 0xffffffff 0x60000013 0xc0052368

testAddadd5(0x11,0x22,0x33,mytestbuf,0x44,0x55,0x88);

可以看出上面printk输出红色部分与第5,6,7的传入的参数是一致的。

说明导出的stack的值是可信的。

 

 

 

 

输出并解析C++的调用堆栈 -rdynamic ******************
tycoon的专栏
08-29 1552
http://blog.atime.me/research/glibc-backtrace-parsing.html
Linux内核调试利器|kprobe 原理与实现
weixin_60043341的博客
08-12 668
本文主要介绍了 kprobe 的原理与实现,正如本文开始时所说,kprobe 机制的细节很多,所以本文不可能对所有细节进行分析。如果大家对 kprobe 的所有实现细节有兴趣,可以自行阅读源码。
ARM架构kprobe应用实现分析(10 trap中断注册及回调)
李子的备忘录
11-19 2241
首先可以看下探测点检测到非法指令时候,产生中断的dump_stack: symbol] (dump_backtrace+0x0/0x10c) from [] (dump_stack+0x18/0x1c) symbol] (dump_stack+0x0/0x1c) from [] (handler_pre+0x144/0x19c [kk]) symbol] (handler_pre+0x0/0
ARM架构kprobe应用实现分析(8.0 register_kprobe实现)
李子的备忘录
11-19 2129
int __kprobes register_kprobe(struct kprobe *p) { int ret = 0; struct kprobe *old_p; struct module *probed_mod; kprobe_opcode_t *addr; //返回要探测的决定地址 addr = kprobe_addr(p); if (IS_
ARM架构kprobe应用实现分析(1.0 简单示例)
李子的备忘录
11-16 2014
网络对krpobe实现机制及扩展都不是特别详细 由于工作需要及个人爱好,正好有这个机会好好学习此模块及应用到实际中 并将整个应用扩展及当时的分析情况,详细记录下来,希望对感兴趣的人有些许帮助 最开始还是先给个具体的栗子:   static struct kprobe kp = { //.symbol_name = "do_fork", .symbol_name =
ARM架构kprobe应用实现分析(7.0 自动显示参数的)
李子的备忘录
11-19 1847
通过前面的介绍 知道参数在寄存器及堆栈的位置,我们就有可能显示参数的 jprobe也可以显示参数的,但是其有缺点:不能探测函数时加上偏移量 具体上下文请参考: ARM架构kprobe应用实现分析(3.0 被探测函数说明) 导出参数的函数: static int dump_arm_parameter(struct pt_regs *regs) { int i=0;
深入探索:kprobe内核调试技术分析
kprobeLinux 2.6.14版本中已经得到了支持,但不幸的是,该版本的kprobe并不适用于ARM架构,仅支持i386、x86_64、ppc64、ia64和sparc64等平台。这意味着对于ARM平台的使用者,需要进行kprobe的移植工作。然而,本文...
Kprobe模块在测试崩溃转储中的应用
崩溃转储文件通常包含程序的调用堆栈、寄存器信息、系统状态和内存映像等数据,这些数据可以帮助开发者分析和定位程序崩溃的原因。 4. 调试内核崩溃 在Linux系统中,内核崩溃是一个严重的问题,可能导致数据丢失或...
lkdtm.rar_crash_kprobe
09-24
kprobe实现确保了对系统性能的影响最小,因为它只在探针点被触及时才执行用户定义的代码。 **kprobe在内核调试中的应用** 1. **故障排查**:kprobe可以用来检测内核中的问题,比如追踪特定函数的调用路径,检查...
arm64-kprobes
最新发布
2201_75718536的博客
04-10 1987
kprobe 是一种动态调试机制,用于debugging,动态跟踪和修改内核行为等,probe的含义是像一个探针,可以不修改分析对象源码的情况下,获取Kernel的运行时信息。​
ARM架构kprobe应用实现分析(11 原理)
李子的备忘录
12-03 3235
1 拷贝探测的code , 插入特殊指令(ARM是插入未定义指令) 2 CPU运行到未定义指令,会产生trap, 进入ISR,并保存当前寄出去的状态   通过LINUX的通知机制,会执行“pre_handler”(前提是你已经注册过了) 3 进入单步模式,运行你备份出来的代码  (此代码运行的是拷贝出来的,防止别的CPU也恰巧运行到此位置) 4 单步模式后,运行“post_handler
C/C++ 程序段错误退出时输出堆栈信息
prochsh的专栏
03-23 1432
Linux 平台下可以使用 `<execinfo.h>` 里的 `backtrace_*` 函数,详见 [Backtraces](http://www.gnu.org/software/libc/manual/html_node/Backtraces.html),例子如下, ```c++ #include <stdio.h> #include <execinfo.h> #include <signal.h> #include <stdlib.h
kprobe()
程序猿Ricky的日常干货
05-04 1425
Kprobe config CONFIG_KPROBES=y CONFIG_KALLSYMS=y or CONFIG_KALLSYMS_ALL=y Kprobe struct struct kprobe { struct hlist_node hlist; /* list of kprobes for multi-handler support */ ...
kernel 调试技术之kprobe
持续学习和分享感兴趣的技术
04-20 910
kprobelinux内核提供了一个钩子回调机制,能够让我们轻松的加入回调函数在指定的函数之前调用。方便我们在不更改调试模块代码的情况下,加入回调函数以供调试使用。 实验环境 Ubuntu16.04 准备工作 查找想要hook的kernel内核函数。 sudo vim /boot/System.map-$(uname -r) 代码实例 这里我们决定对内核函数_do_...
linux中断内核堆栈与svc,linux-kernel – 未定义的异常处理程序(__und_svc)kprobes中的作用是什么?...
weixin_33978451的博客
05-01 142
您可能无法获得响应,因为您对事物的理解不是很好,并且linux-arm-kernel列表上的任何人都需要一些时间来响应.阅读kprobes.txt并详细研究ARM体系结构.If kprobe is handled undefined instruction exception(bcos kprobe only created), then why __und_svc() is invoked. w...
获取kprobes嗅探的函数参数
kfy2011的专栏
12-16 2795
获取kprobes嗅探的函数参数 疑问: 我已经用kprobes对一个函数进行嗅探,我需要在pre_handler处理函数里获取被嗅探函数的参数。 被嗅探函数如下: void foobar(int arg, int arg2, int arg3,int arg4, int arg5, int arg6, int arg7, int arg8) {     printk("foobar
linux 从入参获取函数名字,linux – 使用kprobes获取函数参数
weixin_31046701的博客
05-04 301
我已经在函数上放了一个kprobe,现在我需要在kprobe的预处理函数中获取它的参数.这是我的功能:void foobar(int arg, int arg2, int arg3, int arg4, int arg5, int arg6, int arg7, int arg8){printk("foobar called\n");}把kprobe放在上面并调用函数:...kp.addr = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值