开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

kprobe模块在执行"echo 0> /proc/sys/kernel/ftrace_enabled“后无法工作

kprobe模块是Linux内核中的一个功能，用于在内核函数执行前后插入自定义的代码，以便进行调试、性能分析等操作。执行"echo 0> /proc/sys/kernel/ftrace_enabled"命令会将内核中的ftrace功能禁用，导致kprobe模块无法正常工作。

具体来说，kprobe模块通过在内核函数的入口和出口处插入代码来实现跟踪和监控的功能。它可以用于调试内核函数的执行流程、性能分析、异常处理等场景。kprobe模块的工作原理是通过在内核函数的指令前后插入断点指令，当程序执行到断点时，会触发相应的处理函数。

然而，执行"echo 0> /proc/sys/kernel/ftrace_enabled"命令会将内核中的ftrace功能禁用。ftrace是Linux内核中的一种跟踪工具，可以用于跟踪内核函数的执行情况。禁用ftrace会导致kprobe模块无法正常工作，因为kprobe模块依赖于ftrace来实现代码的插入和跟踪功能。

要解决这个问题，可以尝试执行"echo 1> /proc/sys/kernel/ftrace_enabled"命令来重新启用ftrace功能。这样kprobe模块就可以正常工作了。另外，也可以通过修改系统配置文件来永久启用ftrace功能，具体的配置文件路径和修改方法可以根据不同的Linux发行版而有所不同。

腾讯云提供了一系列云计算相关的产品和服务，其中包括云服务器、云数据库、云存储、人工智能等。在这个问题中，由于不能提及具体的云计算品牌商，无法给出腾讯云相关产品和产品介绍链接地址。但是可以参考腾讯云官方网站，了解他们提供的云计算产品和服务。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Linux内核调试技术——kprobe使用与实现

架构则会设置单步调试flag并回到异常触发前的流程中执行； 4、在单步执行完成后，kprobe执行用户注册的post_handler回调函数； 5、最后，执行流程回到被探测指令之后的正常流程继续执行。...在模块的卸载函数中调用unregister_kprobe函数卸载kp探测点。.../debug/tracing/kprobe_events root@apple:~# echo 'r:myretprobe do_fork $retval' >> /sys/kernel/debug/...# echo 1 > events/kprobes/myprobe/enable root@apple:/sys/kernel/debug/tracing# echo 1 > events/kprobes...如果输出太多了，想要清除就向trace中写0即可 root@apple:/sys/kernel/debug/tracing# echo 0 > trace 3、使用filter进行过滤例如想要把前面列出的

2.4K3 0

【内核模块auth_rpcgss】netns引用计数泄露导致容器弹性网卡残留

我们不久前定位了一个Linux内核bug，这个bug会影响所有在特权容器中启用了use-gss-proxy的Linux环境，表现为容器的网络命名空间(net namespace)无法彻底释放，导致容器终止后关联的虚拟网卡未能自动清除.../bin/bash SYS_TRACE=/sys/kernel/debug/tracing[ -e $SYS_TRACE/events/kprobes/enable ] && echo 0 > $SYS_TRACE.../events/kprobes/enableecho > $SYS_TRACE/kprobe_eventsecho > $SYS_TRACE/traceecho nostacktrace > $SYS_TRACE...net_device=%di" >> $SYS_TRACE/kprobe_events echo stacktrace > $SYS_TRACE/trace_options for evt in `ls...：因为gssproxy进程向/proc/net/rpc/use-gss-proxy写入1之后，触发了内核模块auth_rpcgss的一些列动作，真正有问题的是这个内核模块，而不是gssproxy进程本身

2.8K7 1

Kernel调试追踪技术之 Kprobe on ARM64

kprobe一直在X86系统上使用，ARM64的平台支持在2015年合入kernel [8]。...异常处理的注册异常处理的注册在arch/arm64/kernel/debug-monitors.c，是arm64的通用debug模块，kgdb也基于这个模块。...源码树或build文件，编写kernel 模块 kprobe的优势可以不重编kernel对生产系统进行探测，在PC和Server中比较有意义可以动态观察、修改几乎任意代码路径的状态，比Ftrace有更强的定制性...echo 'p:myprobe do_sys_open filename=+0(%x1):string flags=%x2 mode=%x3' > /sys/kernel/debug/tracing/kprobe_events...echo 'r:myretprobe do_sys_open $retval ' >> /sys/kernel/debug/tracing/kprobe_events echo > trace echo

1411 1

kprobe分析内核kworker占用CPU 100%问题总结

/interrupts）网卡中断分布在每个cpu上，网络中断均衡 7、继续ftrace，分析事件： cd /sys/kernel/debug/tracing echo wakeup_rt > current_tracer...echo 0 > options/function-trace echo 1 > events/enable echo 1 > tracing_on echo 0 > tracing_max_latency...kprobe作为轻量级内核调试工具，在诊断内核bug时有着先天独厚的优势，相关其他工具，kprobe有如下优点： 1、不用更新内核 2、可以以模块的形式加载进内核，用完后直接卸载即可，不会对内核造成污染.../proc/kallsyms |grep 813f99c0 ffffffff813f99c0 t rht_deferred_worker 分析rht_deferred_worker源码，得知在重新分配或者收缩失败时...+0x0/0x50 Mar 9 22:50:07 04b280305 kernel: kprobe at rhashtable_rehash_alloc+0x0/0x50 unregistered 只执行了一次

2K1 0

谁动了我的文件---使用kprobe找到目标进程

ctl_path path = { .procname = "kernel",//监控点放到了/proc/sys/kernel目录下 }; static struct ctl_table table...用法就是echo "file_name" > /proc/sys/kernel/who_touch_my_file .data = file_name, .maxlen...(&kp);//其实这里才是入口，ko向kernel注册kprobe if (ret < 0) { printk(KERN_INFO "register_kprobe failed...); cth = register_sysctl_paths(&path, &table);///proc/sys/kernel/who_touch_my_file在这里注册的 if...所谓内核热补丁，也可以用kprobe实现。在不重启内核的情况下，动态加载ko，修改内核行为。

2.2K4 0

Linux内核调试技术——kprobe使用与实现

/debug/tracing/kprobe_events root@apple:~# echo 'r:myretprobe do_fork $retval' >> /sys/kernel/debug/...# echo 1 > events/kprobes/myprobe/enable root@apple:/sys/kernel/debug/tracing# echo 1 > events/kprobes...如果输出太多了，想要清除就向trace中写0即可 root@apple:/sys/kernel/debug/tracing# echo 0 > trace 3、使用filter进行过滤例如想要把前面列出的...PID为513调用信息的给过滤掉，则向filter中写入如下的命令即可： root@apple:/sys/kernel/debug/tracing# echo common_pid!...以上arm架构下实现同原始指令同样效果的单步执行就分析完了，在kprobe流程执行完成后，恢复到regs中保存的上下文后就会从ARM_pc处继续取指执行了。

5.5K2 1

Linux黑科技：浅析动态追踪技术

虽然直到今天，DTrace 本身依然无法在 Linux 中运行，但它同样对 Linux 动态追踪产生了巨大的影响。...这些探针只有在开启探测功能时，才会被执行到；未开启时并不会执行。...如果这个目录不存在，则说明你的系统还没有挂载 debugfs，你可以执行下面的命令来挂载它： mount -t debugfs nodev /sys/kernel/debug ftrace 提供了多个跟踪器...第四步，执行一个 ls 命令后，再关闭跟踪： ls $ echo 0 > tracing_on 实际测试代码如下： # cat available_tracers blk function_graph...do_sys_open > set_graph_function # echo funcgraph-proc > trace_options -bash: echo: write error: Invalid

1341 0

Linux内核调试技术——kprobe使用与实现（二）

需要将debugfs文件系统挂在到/sys/kernel/debug/目录下： # mount -t debugfs nodev /sys/kernel/debug/ 此时/sys/kernel/debug...读取信息接口：/sys/kernel/debug/tracing/trace 读取信息接口：/sys/kernel/debug/tracing/trace_pipe 开启某个kprobe接口： /sys...EVENT>/filter 其中配置属性文件用于用户配置要探测的函数以及探测的方式与参数，在配置完成后，会在events/kprobes/目录下生成对应的目录；其中会生成enabled、format、filter...然后若被探测函数被执行流程触发调用，用户可以通过trace属性文件进行查看。...建议echo用‘>>’重定向输出，否则会把前面的冲掉。通过上面两个命令，下发了两个kprobe，“p do_fork”是当有进程调用do_fork函数的时候，会有打印信息。

4.7K3 0

bpf| 系统分析工具

2 0 /proc/stat 891 irqbalance 2 0 /proc/irq/19/smp_affinity 891 irqbalance...2 0 /proc/interrupts 891 irqbalance 2 0 /proc/stat 891 irqbalance...2 0 /proc/vmstat 833 vmtoolsd 2 0 /proc/stat 833 vmtoolsd 2 0 /proc...Cilium 由在环境中的所有群集节点和服务器上运行的代理组成。它为该节点上运行的工作负荷提供网络、安全性和可观察性。工作负载可以在系统上进行容器化或本机运行。...实时（JIT）编译步骤将程序的通用字节码转换为计算机特定的指令集，以优化程序的执行速度。这使得 eBPF 程序的运行效率与本机编译的内核代码或作为内核模块加载的代码一样高效。

1.2K1 0

uprobe

/sys/kernel/debug/tracing/events/uprobes/p_test_0x115a/enable #echo 1 > /sys/kernel/debug/tracing/events.../uprobes/p_test_0x115a/enable #echo 1 > /sys/kernel/debug/tracing/tracing_on 然后运行用户程序并检查内核的监控返回: $ ....与 kprobe 类似，我们可以在触发 uprobe 时候根据对应寄存器去提取当前执行的上下文信息，比如函数的调用参数等。同时 uprobe 也有类似的同族: uretprobe。...您可以在与 Ftrace 相同的界面中动态创建探测 root@rlk:/sys/kernel/tracing# echo 'p:sample_uprobe /root/Make/main:0x114a...# echo 1 > /sys/kernel/tracing/events/uprobes/sample_uprobe/enable root@rlk:/sys/kernel/tracing# echo

7901 0

内核级防篡改

防篡改技术基于Linux Kernel技术进行的模块开发，相比fanotify、audit、云防护，性能损耗极低（毫秒级），效果最优。...基于Linux Kernel 3.10、4.18，通过register_kprobe方法注册kallsyms_lookup_name探针，检测系统环境是否可以获取sys_call_table，如果可以，...} Debug、编写程序遇到的问题函数参数对不上基于实例开发会有多种参数对不上情况： proc_entry_create 创建函数在多个阶段性版本都会有改变（截止到5.22版本，proc又有新的改变...） netlink同理 4.17后且64位的机器，在调用sys_系列函数时，不再直接传递，而是使用结构体pregs的寄存器来获取内存中的参数 sys_hook_table 在低版本中，需要读取寄存器内容再解析是否为...sys hook table，在3.10后采取prob探针获取（见上）除参数4.17后获取方式做了改变，3.10以及4之后的版本可以通过查阅syscalls头文件得知其对应的参数容易被"..

1.8K2 0

Linux 内核监控在 Android 攻防中的应用

(kprobe_init) module_exit(kprobe_exit) MODULE_LICENSE("GPL"); 安装该内核模块后，每当系统中的进程调用 fork，就会触发我们的 handler...p /root/test:0x764' > /sys/kernel/debug/tracing/uprobe_events $ echo 1 > /sys/kernel/debug/tracing/events...: $ echo 0 > /sys/kernel/debug/tracing/tracing_on $ echo 0 > /sys/kernel/debug/tracing/events/uprobes.../p_test_0x764/enable $ echo > /sys/kernel/debug/tracing/uprobe_events 原理上面的接口是基于 debugfs (在较新的内核中使用...，对其开启追踪: $ echo 1 > /sys/kernel/debug/tracing/events/random/urandom_read/enable $ echo 1 > /sys/kernel

3.1K3 0

【调试】kprobes(一)基本概念

在执行单步指令后，会调用post_handler，然后继续执行探测点之后的指令。 jprobe工作原理 jprobe是基于kprobe实现的，探测的位置在函数的入口点。...The kprobes debugfs interface 在最近的内核（>2.6.20）中，注册的kprobes列表在/sys/kernel/debug/kprobes/目录下（假设debugfs被安装在.../sys/kernel/debug）。.../sys/kernel/debug/kprobes/list: 列出系统中所有注册的探针 c015d71a k vfs_read+0x0 c011a316 j do_fork+0x0 c03dedc5...The kprobes sysctl interface /proc/sys/debug/kprobes-optimization。打开/关闭kprobes优化。

9251 0

KRIe：一款带有eBPF的Linux内核运行时安全检测工具

如果你的内核在BTFHub上不可用，但你已经能够手动生成内核的BTF数据，那么你就可以在配置文件中提供这些数据。...也就是说，如果你仍然想重新构建eBPF程序的话，你可以直接使用下列命令： # ~ make build-ebpf 接下来，运行下列命令即可构建KRle： # ~ make build 完成项目构建后，即可使用下列命令安装...ptrace: log ## 当检测到一个kprobe 事件时要执行的操作 kprobe: log ## 当检测到一个sysctl 事件时要执行的操作 sysctl:...: kernel/yama/ptrace_scope: block_write_access: true kernel/ftrace_enabled:...: log ## 当检测到一个hooked_syscall事件时要执行的操作 hooked_syscall: log ## kernel_parameter事件配置

8752 0

万字长文解读 Linux 内核追踪机制

，执行完毕后关闭单步，恢复原始执行流。...echo 1 > /sys/kernel/debug/tracing/events/syscalls/sys_enter_connect/enable 查看事件数据。...echo 'p:myprobe do_sys_open dfd=%ax filename=%dx flags=%cx mode=+4($stack)' > /sys/kernel/tracing/kprobe_events...，tracefs 随之诞生了，他会创建一个/sys/kernel/tracing目录，但为了保证兼容性，tracefs 仍然挂载在/sys/kernel/debug/tracing 下。...如果没有启用 debugfs，tracefs 可以挂载在/sys/kernel/tracing。

1K4 2

使用 eBPF 实时持续跟踪进程文件记录

/proc 目录下的 fd 在 hello 在运行状态时，通过查看 /proc/pid/fd 可以获取到文件当前打开的文件句柄： $ ls -hl /proc/`pidof hello`/fd total...fclose(fp); // 先关闭文件句柄 getchar(); return 0; } 我们再去查看 /proc 目录下进程对应的 fd则无法展示出已经关闭的文件相关信息。...# ls -hl /proc/`pidof hello`/fd total 0 lrwx------ 1 root root 64 May 30 16:34 0 -> /dev/pts/0 lrwx--...用户态的程序工作在较低级别的状态，操作系统提供的核心服务工作在高级别的内核态，从而避免用户应用程序破坏系统的正常运行，实现了用户级别的隔离。...内核文档: https://www.kernel.org/doc/html/latest/filesystems/proc.html [16] part 1: https://lwn.net/Articles

1.9K3 0

使用 BPF 记录 TCP 重传和丢包记录

背景在云函数的日常运营中，经常有用户提出要求协助排查网络问题。一般的手段就是使用 tcpdump 抓包，但是部署抓包往往是在问题发生之后，而且抓包后复现的时机也不确定，往往费时费力。...有了这些背景知识后，我们可以使用 kprobe 来达成这一目标，记录 TCP 重传的例子如下： $ echo 'p:kprobes/tcp_retransmit tcp_retransmit_skb port...=+12(%di):u16 dst=+0(%di):u32 state=+18(%di):u8' >> /sys/kernel/debug/tracing/kprobe_events $ echo 1...重传的日志记录在 /sys/kernel/debug/tracing/trace，下面是一些真实的记录： $ sudo cat /sys/kernel/debug/tracing/trace # tracer...与传统的 kprobe 方式相比， BPF 带来的可编程性极大地提升了开发效率，既没有增加系统的复杂度，也不会牺牲执行效率和安全性。

3.2K9 0

AgentSmith-HIDS：一套轻量级高性能的基于主机的入侵检测系统

我们通过内核模块对进程/用户/文件/网络连接进行整理，如果检测到了CMDB相关信息，那么整合后你将会得到一张从网络到主机/容器/业务信息的调用/依赖关系图；如果组织还部署有数据库审计工具的话，整合后你还可以得到数据库的用户...4、用户态+内核态：AgentSmith-HIDS同时拥有内核态和用户态的模块，可以协同工作。...AgentSmith-HIDS实现了以下几个主要功能： 1、内核栈模块通过Kprobe针对 execve、通信连接、进程注入、文件创建、DNS查询和LKM加载等行为设置了钩子，并且通过兼容Linux命名空间来对容器环境进行监控...3、AntiRootKit，基于Tyton实现，目前已经移植了PROC_FILE_HOOK、SYSCALL_HOOK、LKM_HIDDEN和INTERRUPTS_HOOK，目前仅支持Kernel > 3.10...主机名 Docker 容器名 k8s POD名 AgentSmith-HIDS的组成部分 1、内核驱动模块（LKM），通过Kprobe挂钩关键函数，完成数据捕获； 2、用户态代理，接收驱动捕获的指令并进行处理

2.2K3 0

一次解决磁盘IO读取慢全过程实战

mapping=%di offset=%dx pages=%cx' >/sys/kernel/debug/tracing/kprobe_events echo 'p:submit_ra ra_submit.../kprobe_events echo 'p:sync_ra page_cache_sync_readahead mapping=%di ra=%si rastart=+0(%si) rasize=+8...(%si):u32 rapages=+16(%si):u32' >>/sys/kernel/debug/tracing/kprobe_events echo 'p:async_ra page_cache_async_readahead.../kprobe_events echo 1 >/sys/kernel/debug/tracing/events/kprobes/enable dd if=$1 of=/dev/null bs=4M count...=1024 echo 0 >/sys/kernel/debug/tracing/events/kprobes/enable cat /sys/kernel/debug/tracing/trace_pipe

2K2 0

linux性能工具--ftrace使用

要挂载该目录，需要将如下内容添加到 /etc/fstab 文件： debugfs /sys/kernel/debug debugfs defaults 0 0 1 或者可以在运行时挂载： mount...同时ftrace允许你对一个特定的进程进行跟踪，在/sys/kernel/debug/tracing目录下，文件set_ftrace_pid的值要更新为你想跟踪的进程的PID。...相比 printk，trace event：不开启没有性能损耗开启后不影响代码流程不需要重新编译内核即可获取 debug 信息 2.2 使用实例上面提到了 function 的 trace，在...以 dev_attr_show 函数为例，看看 ftrace 如何帮我们获取调用栈： #cd /sys/kernel/debug/tracing #echo 0 > tracing_on #echo function...调试这种问题的小技巧，即脚本化，这个技巧在很多地方用到： sh -c "echo $$ > set_ftrace_pid; echo 1 > tracing_on; kill xxx; echo 0

1.2K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭