我阅读了以下有关 kprobes 的内容:
Kprobes 允许您为任何内核指令以及函数入口和函数返回处理程序安装预处理程序和后处理程序
我正在尝试为“_do_sys_open”函数注册一个 kprobe。
$ sudo cat /proc/kallsyms | grep 'do_sys_open'
ffffffff96ac0130 T do_sys_open
编写了注册 kprobe 的基本代码
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
MODULE_LICENSE("GPL");
static struct kprobe kp;;
static char *name = "_do_sys_open";
static int pre_handler(struct kprobe *p, struct pt_regs *regs)
{
return 0;
}
static void post_handler(struct kprobe *p, struct pt_regs *regs,
unsigned long flags)
{
}
static int __init hello_init(void)
{
/* set the handler functions */
kp.pre_handler = pre_handler;
kp.post_handler = post_handler;
kp.symbol_name = name;
return register_kprobe(&kp);
}
static void __exit hello_exit(void)
{
unregister_kprobe(&kp);
}
module_init(hello_init);
module_exit(hello_exit);
加载此模块失败
Unknown symbol in module
这是否意味着此功能不能与 kprobes 一起使用。
它也没有列入黑名单
# cat /sys/kernel/debug/kprobes/blacklist | grep '_do_sys_open'