kprobes用于内核函数探针,uprobes用于用户空间函数探针,二者均无需修改代码即可动态监控函数执行。1. kprobe在函数入口插入回调,kretprobe在返回时触发;2. 示例通过注册kprobe到do_fork函数,利用pre_handler和post_handler打印进出信息;3. 模块加载后使用dmesg查看日志;4. uprobes可通过perf命令跟踪如malloc等库函数调用;5. 使用时需注意避免在原子上下文操作,且应确保符号名准确并启用相关内核配置CONFIG_KPROBES和CONFIG_UPROBE_EVENTS。
在 Linux 开发中,kprobes 和 uprobes 是动态追踪技术的核心工具,允许你在不修改源码、不重启系统的情况下,对内核或用户空间函数插入探针,用于调试、性能分析或行为监控。它们是 eBPF 之前广泛使用的机制,至今仍非常实用。
什么是 kprobes 和 uprobes
kprobes(Kernel Probes)用于在内核函数执行前或返回时插入回调,支持三种类型:
- kprobe:在函数入口处触发
- jprobe:已废弃,曾用于获取函数参数
- kretprobe:在函数返回时触发
uprobes 是 kprobes 的用户空间版本,允许你对用户程序的函数或地址设置探针,常用于跟踪 glibc 函数调用、自定义应用逻辑等。
编写一个简单的 kprobe 示例
假设你想监控内核中 do_fork 函数的调用情况。
步骤如下:
- 定义 probe 处理函数
- 注册探针
- 卸载模块时注销探针
代码示例(kprobe_demo.c):
#include#include #include static struct kprobe kp = { .symbol_name = "do_fork" }; static int handler_pre(struct kprobe *p, struct pt_regs *regs) { printk(KERN_INFO "kprobe: entering %s\n", p->symbol_name); return 0; } static void handler_post(struct kprobe *p, struct pt_regs *regs, unsigned long flags) { printk(KERN_INFO "kprobe: exited %s\n", p->symbol_name); } static int __init kprobe_init(void) { kp.pre_handler = handler_pre; kp.post_handler = handler_post; if (register_kprobe(&kp) < 0) { return -1; } printk(KERN_INFO "kprobe registered\n"); return 0; } static void __exit kprobe_exit(void) { unregister_kprobe(&kp); printk(KERN_INFO "kprobe unregistered\n"); } module_init(kprobe_init); module_exit(kprobe_exit); MODULE_LICENSE("GPL");
编译该模块需一个简单的 Makefile:
obj-m += kprobe_demo.o all: make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules clean: make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean
加载并查看日志:
sudo insmod kprobe_demo.ko dmesg | tail sudo rmmod kprobe_demo
使用 uprobes 跟踪用户函数
uprobes 不通过模块方式实现,而是通过 debugfs 接口或 perf 工具操作。最常见的方式是通过 perf 或直接写代码使用 uprobe 接口。
以 perf 为例,跟踪某个用户程序中的 malloc 调用:
perf probe -x /lib/x86_64-linux-gnu/libc.so.6 malloc perf record -e probe_libc:malloc -a sleep 5 perf script
如果你想在内核模块中使用 uprobes,可以使用 uprobe_register API,但更推荐结合 eBPF 使用(如 bpftrace 或 libbpf)。
注意事项与限制
kprobes 和 uprobes 强大但有风险和限制:
- 不能在中断上下文或原子区域使用过多阻塞操作(如 print)
- 探针可能影响性能,尤其高频函数
- 某些内核函数(如 inline 或 built-in)无法探测
- 符号名必须准确,可通过 grep do_fork /proc/kallsyms 验证
- 开启 CONFIG_KPROBES 和 CONFIG_UPROBE_EVENTS 内核配置
基本上就这些。掌握 kprobes/uprobes 能帮你深入理解系统行为,是内核开发和故障排查的实用技能。虽然现在更多人转向 eBPF,但理解底层机制仍有价值。
