[二] Linux动态追踪技术

Security Classification: 【C-1】 | Publish Time:2024-07-31 | Category:Test Notes | Edit

AI摘要:本文介绍了Linux追踪系统的分类，包括数据来源、数据加工与传递手段，以及用户前端工具。主要探讨了probe和tracepoint的概念。probe是一种动态修改程序指令的行为，分为kprobe（内核）和uprobe（应用程序），可用于hook函数体的任意位置，kretprobe和uretprobe专门用于hook函数返回地址。tracepoint是在编译时插入的指令，分为内核tracepoint和应用程序USDT，利用GCC参数实现自动插入指令。trace events是内核中预定义的行为，通过tracefs传递数据，分为tracepoint-based events、kprobe-based events和uprobe-based events。perf events用于性能测量，最初基于性能计数器，后发展为一个框架，能够通过perf_event_open()系统调用将数据传递给用户。 --- (来自模型:gpt-4o-mini-2024-07-18)

https://jvns.ca/blog/2017/07/05/linux-tracing-systems/

## 分类

![](https://img.meituan.net/imgupload/44fa0eceaffa6b9ab9a0e4924da3268f119006.png)

1、数据来源（Data Sources）
2、数据的加工与传递手段（Mechanisms for Collection your Delicious Data）
3、用户前端工具（User Frontends）

## Probe

probe指一类行为，可以在程序运行时动态地修改指令。

分为用于kernel的kprobe、用于application的uprobe两类。

他们都利用了CPU提供的单步调试指令来实现，kprobe / uprobe可用于hook函数体的任意位置，kretprobe / uretprobe则专门用来hook函数的返回地址。

## tracepoint

tracepoint为编译器在编译时插入代码段的一条指令，程序在运行时能够利用这条指令实现跳转。

它分为用于kernel的tracepoint、用于application的USDT（Userland Statically Defined Tracing）。

这里的dynamic意味着该tracepoint是编译器在编译时，自动向函数的起始处添加的指令。GCC允许在编译程序时添加参数-pg，令编译出来的程序在每一个函数起始处自动插入5字节的call mcount指令（AMD64为push rbp之后），从而实现函数的入口与返回时的hook。

而static，即在代码中静态定义的函数调用它是相对dynamic来讲的，在不保证API稳定的情况下，这么做的好处便显而易见了（不会因API的变更而失效）。

## trace events

trace events是kernel中预定义的、用于传递tracing到的数据的一种行为，利用了tracefs向用户传递数据。

有使用了static tracepoint的tracepoint-based events、使用了kprobe的kprobe-based events、使用了uprobe的uprobe-based events三类，后两种合称为dynamic events。

不同于trace events，使用perf events（performance events）采集到的数据能够用来衡量性能，它最初名为performance counter，使用的是PMU获取数据，后来它能够利用的数据获取方式不再局限为PMU，亦发展称为一种框架，实现了类似trace ring buffer的perf ring buffer，perf ring buffer种的数据能够通过perf_event_open()系统调用传递给用户。

Web3 Info

The ownership of the data in this article is secured by blockchain encryption technology and smart contracts, and is solely owned by the creator.

Comment List

Comment

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint

[二] Linux动态追踪技术

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint