Linux 开发：如何用 kprobes / uprobes 编写内核探针

kprobes用于内核函数探针，uprobes用于用户空间函数探针，二者均无需修改代码即可动态监控函数执行。1. kprobe在函数入口插入回调，kretprobe在返回时触发；2. 示例通过注册kprobe到do_fork函数，利用pre_handler和post_handler打印进出信息；3. 模块加载后使用dmesg查看日志；4. uprobes可通过perf命令跟踪如malloc等库函数调用；5. 使用时需注意避免在原子上下文操作，且应确保符号名准确并启用相关内核配置CONFIG_KPROBES和CONFIG_UPROBE_EVENTS。

在 Linux 开发中，kprobes 和 uprobes 是动态追踪技术的核心工具，允许你在不修改源码、不重启系统的情况下，对内核或用户空间函数插入探针，用于调试、性能分析或行为监控。它们是 eBPF 之前广泛使用的机制，至今仍非常实用。

什么是 kprobes 和 uprobes

kprobes（Kernel Probes）用于在内核函数执行前或返回时插入回调，支持三种类型：

• kprobe：在函数入口处触发
• jprobe：已废弃，曾用于获取函数参数
• kretprobe：在函数返回时触发

uprobes 是 kprobes 的用户空间版本，允许你对用户程序的函数或地址设置探针，常用于跟踪 glibc 函数调用、自定义应用逻辑等。

编写一个简单的 kprobe 示例

假设你想监控内核中 do_fork 函数的调用情况。

步骤如下：

• 定义 probe 处理函数
• 注册探针
• 卸载模块时注销探针

代码示例（kprobe_demo.c）：

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kprobes.h>

static struct kprobe kp = {
    .symbol_name = "do_fork"
};

static int handler_pre(struct kprobe *p, struct pt_regs *regs)
{
    printk(KERN_INFO "kprobe: entering %s\n", p->symbol_name);
    return 0;
}

static void handler_post(struct kprobe *p, struct pt_regs *regs, unsigned long flags)
{
    printk(KERN_INFO "kprobe: exited %s\n", p->symbol_name);
}

static int __init kprobe_init(void)
{
    kp.pre_handler = handler_pre;
    kp.post_handler = handler_post;

    if (register_kprobe(&kp) < 0) {
        return -1;
    }
    printk(KERN_INFO "kprobe registered\n");
    return 0;
}

static void __exit kprobe_exit(void)
{
    unregister_kprobe(&kp);
    printk(KERN_INFO "kprobe unregistered\n");
}

module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");

编译该模块需一个简单的 Makefile：

ListenLeap

AI辅助通过播客学英语

101

查看详情

obj-m += kprobe_demo.o
all:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
clean:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

加载并查看日志：

sudo insmod kprobe_demo.ko
dmesg | tail
sudo rmmod kprobe_demo

使用 uprobes 跟踪用户函数

uprobes 不通过模块方式实现，而是通过 debugfs 接口或 perf 工具操作。最常见的方式是通过 perf 或直接写代码使用 uprobe 接口。

以 perf 为例，跟踪某个用户程序中的 malloc 调用：

perf probe -x /lib/x86_64-linux-gnu/libc.so.6 malloc
perf record -e probe_libc:malloc -a sleep 5
perf script

如果你想在内核模块中使用 uprobes，可以使用 uprobe_register API，但更推荐结合 eBPF 使用（如 bpftrace 或 libbpf）。

注意事项与限制

kprobes 和 uprobes 强大但有风险和限制：

• 不能在中断上下文或原子区域使用过多阻塞操作（如 print）
• 探针可能影响性能，尤其高频函数
• 某些内核函数（如 inline 或 built-in）无法探测
• 符号名必须准确，可通过 grep do_fork /proc/kallsyms 验证
• 开启 CONFIG_KPROBES 和 CONFIG_UPROBE_EVENTS 内核配置

基本上就这些。掌握 kprobes/uprobes 能帮你深入理解系统行为，是内核开发和故障排查的实用技能。虽然现在更多人转向 eBPF，但理解底层机制仍有价值。

以上就是Linux 开发：如何用 kprobes / uprobes 编写内核探针的详细内容，更多请关注php中文网其它相关文章！