前言:使用printk打印变量等方法,是调试内核的有效方法之一,但是这种方法必须重新构建并用新内核启动,调试效率比较低.以内核模块的方式使用kprobes.jprobes,就可以在任意地址插入侦测器,执行包括printk在内的各种调试工作,而无须重新构建内核,也无须重启. 一.首先内核必须支持kprobes.jprobes: #make menuconfig General setup  ---> [*] Kprobes 使内核支持kprobes. 二.kprobes的使用方法:1.分配一个kp…

https://landley.net/kdocs/ols/2007/ols2007v1-pages-215-224.pdf https://www.kernel.org/doc/Documentation/kprobes.txt https://www.ibm.com/developerworks/cn/linux/l-kprobes.html Linux内核调试技术——kprobe使用与实现 http://blog.csdn.net/luckyapple1028/article/detail…

Kprobes [用途][参考kernel/Documentation/kprobes.txt帮助文档] Kprobes是一个轻量级内核调试工具,同时又是其他一些更高级的内核调试工具(如perf和systemtap)的基础,在Linux 4.0内核版本中,eBPF特性也寄生于kprobe之上. [原理] Kprobes的主要作用是在指定函数调用前后添加自定义函数,从而实现动态探测点的功能. Kprobes有两种使用方法:1)模块加载:2)通过debugfs操作. [接口说明][参考kernel/…

Kprobes是一种运行时动态调试内核的机制, 你可以用它设置断点并收集调试信息, 甚至改变内核行为. Kprobes分三种, 普通kprobes以及基于普通kprobes的jprobes和kretprobes. kprobes可以注入某个地址, jprobes用来注入某个函数入口, 而kretprobes则用来注入某个函数返回. 实现原理 Kprobes的实现主要利用了处理器的异常和单步执行特性. 以普通kprobes举例, 注册时它会复制一份被注入的指令, 并加入断点(例如x86的int 3…

使用printk打印变量等方法,是调试内核的有效方法之一,但是这种方法必须重新构建并用新内核启动,调试效率比较低.以内核模块的方式使用kprobes.jprobes,就可以在任意地址插入侦测器,执行包括printk在内的各种调试工作,而无须重新构建内核,也无须重启. 一.首先内核必须支持kprobes.jprobes: #make menuconfig General setup  ---> [*] Kprobes 使内核支持kprobes. 二.kprobes的使用方法:1.分配一个kprob…

我们在阅读Linux内核是,常见到这些宏 __init, __initdata, __initfunc(), asmlinkage, ENTRY(), FASTCALL()等等.它们定义在 /include/linux/init.h 和 /include/linux/linkage.h 以及其他一些.h 文件中. 1. __init 位置:/include/linux/init.h 定义: #define __init   __attribute__ ((__section__ (".init.…

刚才尝试使用tcp_probe来查看tcp的窗口的变化,最初按照tcpprobe | The Linux Foundation的步骤进行设置,但是iperf之后tcp_probe并没有输出结果.按照tcp_probe module does no output中的回答先modprobe -r tcp_probe后加载就好了. google过程中发现对于tcp_probe的使用和源码分析还两个不错的参考材料 mscom_network_start [Digitale Elektronik und…

catalog . 引言 . proc文件系统 . 简单的文件系统 . sysfs 0. 引言 传统上,文件系统用于在块设备上持久存储数据,但也可以使用文件系统来组织.提供.交换并不存储在块设备上的信息,这些信息可以由内核动态生成,VFS的虚拟抽象层从架构上提供了这种功能,我们接下来着重讨论几种无持久存储的文件系统 . proc文件系统(proc filesystem) 它使得内核可以生成与系统的状态和配置有关的信息,该信息可以由用户和系统程序从普通文件读取,而无需专门的工具与内核通信(通过简单…

目录 . 简介 . 进程虚拟地址空间 . 内存映射的原理 . 数据结构 . 对区域的操作 . 地址空间 . 内存映射 . 反向映射 .堆的管理 . 缺页异常的处理 . 用户空间缺页异常的校正 . 内核缺页异常 . 在内核和用户空间之间复制数据 1. 简介 用户层进程的虚拟地址空间是Linux的一个重要抽象,它向每个运行进程提供了同样的系统视图,这使得多个进程可以同时运行,而不会干扰到其他进程内存中的内容,此外,它容许使用各种高级的程序设计技术,如内存映射,学习虚拟内存,同样需要考察可用物理内存中…

目录 . Linux exec指令执行监控Hook方案 . 在"Multi-Threadeed Program"环境中调用fork存在的风险 . Fork When Multi-Threadeed Program的安全设计原则 . Fork When Multi-Threadeed Program Deaklock Demo Code 1. Linux exec指令执行监控Hook方案 . 基于LD_PRELOAD技术的glibc API劫持Hook技术 ) 优点: 位于Ring3应用…