隨筆-162 評論-223 文章-30 trackbacks-0

曾因朋友問到監控，致使我探究了kretprobe的實現，想到編譯中的尾調用優化，作個小結

?1. kretprobe_trampoline_holder該跳轉函數無參是必須的或說最好的通用設計，因為替換返回地址是非正常程序流程，即被探測函數的調用者無感知，不存在為跳轉函數準備入參。若要設計傳參且只讀，則不會破壞被探測函數調用者的上下文，但跳轉函數內部流程怎么用參數是個問題，這需要一種約定

?2. 跳轉函數為調用trampoline_handler準備入參，即在棧上構造一個（不完整的）pt_regs，再把它地址即棧頂賦給rdi，rdi是x86_64上傳入第一參數使用的寄存器，同時預留一個棧單元存放原返回地址（為什么要預留？因為被探測函數返回時，其調用者存放返回地址的棧空間被釋放了，所以得在跳轉函數內造一個）。由于trampoline_handler內調到用戶自定義handler而傳入pt_regs，因此自定義handler內要注意最好別改動pt_regs，否則會破壞被探測函數調用者的上下文

?3. 表面看kretprobe的實現流程有點像尾調用優化，但有本質區別。后者中被調尾函數直接釋放父調用者的棧幀，就可恢復到父調用者的返回地址；前者不能這樣干，因為被探測函數的返回地址被替換了，所以需要一個時地（時機地點）恢復，而這時地正是跳轉函數的收尾序列代碼，把原來的返回地址放于上述2所講的預留棧單元，這樣最后的ret指令彈出它并跳到原返回地址執行。為保證恢復后正常執行，還得恢復被探測函數調用者的上下文即寄存器信息（無須恢復棧內容，因為上述1講到了跳轉函數是無參的）

posted on 2023-09-13 02:26 春秋十二月閱讀(362) 評論(0) 編輯收藏引用所屬分類: System

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！

相關文章: Windows異常分發與子系統圖表集 -- 摘自Windows內核原理與實現淺談Linux共享庫庫函數掛鉤檢測 kretprobe探究思考基于Rust構建WebAssembly 基于VSS可傳輸卷影拷貝的備份架構 Shell（11）: 創建和刪除so庫軟鏈接關于make依賴文件的自動生成 Shell應用（10）：支持開源庫編譯的Makefile Shell應用（9）：自動化批量編譯一種攔截Linux動態庫API的方法及裝置

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

本博客所有隨筆均為原創，因為不定期維護更新，所以轉載請注明出處，如有問題和建議，請留言或評論，發表您的寶貴意見，藉此平臺以分享交流、共同進步。 聯系方式：微信math-engineer

<

2012年6月

>

日

一

二

三

四

五

六

27

28

29

30

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

7

常用鏈接

留言簿(79)

隨筆分類(161)

隨筆檔案(162)

文章分類(30)

詩詞作品集(30)

關注的開源項目

LLVM
編譯系統
nginx
高性能Web服務器
OpenSSL
密碼學庫
suricata
網絡IPS引擎

積分與排名

積分 - 420456
排名 - 56

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

常用鏈接

留言簿(79)

隨筆分類(161)

隨筆檔案(162)

文章分類(30)

關注的開源項目

最新隨筆

積分與排名

最新評論

閱讀排行榜

評論排行榜