可以在函数中间打点了，以分析bpf_prog_load函数为例

可以在函数中间打点了，

sudo stap -L 'process("./test").statement("func@test.c:10")'

//12.10更新

查看我内核中　bpf_prog_load　到底是位于哪一行，那么执行：

sudo sta -L 'kernel.statement("bpf_prog_load")'，可以得到：

kernel.statement("bpf_prog_load@/build/linux-Ay7j_C/linux-4.4.0/kernel/bpf/syscall.c:605") $attr:union bpf_attr* $license:char[]

这样我就可以模仿上面的状态看看怎么使能ｂｐｆ咯：

想看看在ｂｐｆ的偏移１０行能得到啥变量

记录一次对：bpf_prog_load函数的分析过程（我不想改内核重编，直接用ｋｐｒｏｂｅ去调试，夜太深，脑袋有点晕晕的，机械记录下来吧）

首先，找到内核的ｖｍｌｉｎｕｘ：

/usr/lib/debug/boot/vmlinux-$(uname -r)

这个事先要下载好：

sudo apt-get update
sudo apt-get install linux-image-$(uname -r)-dbgsym

然后查看函数的起始地址：readelf -s vmlinux | grep bpf_prog_load

hon@station6:~/codebox/lua$ readelf -s vmlinux | grep bpf_prog_load
 14710: ffffffff81172f90  1030 FUNC    LOCAL  DEFAULT    1 bpf_prog_load

辅助下用ｋｐｒｏｂｅ把这个函数的ｋｐｒｏｂｅ的ａｄｄｒ打印出来，也是这个值，所以基本可以放心，0xffffffff81172f90　就是这个函数的起始地址了。

然后反汇编出这个函数：objdump -DSl --start-address=0xffffffff81172f90 --stop-adress=0xffffffff81173396 vmlinux > bpf_prog_load函数，然后反汇编出了４００行汇编代码.

然后我们怎么从这些信息中看到函数进入到这个函数里的调用栈呢？\

这个函数经常出问题，反汇编了一份代码放在了这里：需要的时候再拿出来看：

https://github.com/honpey/codebox/commit/5b914f35af5a20e243f4a1f60d2f1f683eab2ba9

我使用ｋｐｒｏｂｅ查看内核中注册了几种　bpf_prog 的ｔｙｐｅ：在符号表看到链表的地址是：ffffffff81e65560 d bpf_prog_types

    printk("kp->addr:0x%x\n", (unsigned long)kp.addr);
    //0xffffffff81e65560 --> bpf_prog_types
    // it is a list_head
    struct list_head *p = 0xffffffff81e65560;
    struct bpf_prog_type_list *tl;
    list_for_each_entry(tl, p, list_node) {
        printk("tl->type: %d\n", tl->type);
    }

这样能看到所有注册的ｔｙｐｅ, 返现问题所在了

是因为ｓｙｓ_bpf传入的ｔｙｐｅ是５，但是这里只要１２，３，４中类型，所以是因为没哟注册的累心哟，版本不匹配！

４．４版本中不支持ｔｒａｃｅｐｏｉｎｔ的ｔｙｐｅ呀，累心累心，调了一天