曾因朋友問到監控,致使我探究了kretprobe的實現,想到編譯中的尾調用優化,作個小結
?1. kretprobe_trampoline_holder該跳轉函數無參是必須的或說最好的通用設計,因為替換返回地址是非正常程序流程,即被探測函數的調用者無感知,不存在為跳轉函數準備入參。若要設計傳參且只讀,則不會破壞被探測函數調用者的上下文,但跳轉函數內部流程怎么用參數是個問題,這需要一種約定
?2. 跳轉函數為調用trampoline_handler準備入參,即在棧上構造一個(不完整的)pt_regs,再把它地址即棧頂賦給rdi,rdi是x86_64上傳入第一參數使用的寄存器,同時預留一個棧單元存放原返回地址(為什么要預留?因為被探測函數返回時,其調用者存放返回地址的棧空間被釋放了,所以得在跳轉函數內造一個)。由于trampoline_handler內調到用戶自定義handler而傳入pt_regs,因此自定義handler內要注意最好別改動pt_regs,否則會破壞被探測函數調用者的上下文
posted on 2023-09-13 02:26
春秋十二月 閱讀(360)
評論(0) 編輯 收藏 引用 所屬分類:
System