「Linux内核调试」使用Ftrace来Hooklinux内核函数

目标：hook几个Linux内核函数调用，如打开文件和启动进程，并利用它来启用系统活动监控并抢先阻止可疑进程。

方法：内核代码的关键点包含安全函数调用，这些调用可能触发安全模块安装的回调，该模块可以分析特定操作的上下文，并决定是允许还是禁止它。

限制：安全模块无法动态加载，所以需要重新编译内核。

方法：所有Linux系统调用处理程序都存储在sys_call_table表中，可以保存旧的处理程序值，并将自己的处理程序添加到表中，这样就能hook任何系统调用。

优点：一是能够完全控制所有系统调用；二是性能开销较小，包含更新系统调用表、监视、调用原始系统调用处理程序；三是通用性较好，不依赖内核版本。

缺点：一是实现较复杂，需查看系统调用表、绕过内存写保护、确保处理程序的安全性；二是有些处理程序无法替换，如有些优化要求在汇编中实现系统调用处理程序；三是只能hook系统调用，限制了入口点。

方法：可以为任何内核指令、函数入口和函数返回点安装处理程序，处理程序可以访问寄存器并更改它们。

优点：一是API很成熟；二是能跟踪内核中任意点，kprobes通过在内核代码中嵌入断点（int3指令）实现。跟踪函数内部的特定指令很有用。

缺点：一是技术复杂，若要获取函数参数或局部变量值，需知道堆栈具体位置及所在寄存器，并手动取出，若要阻止函数调用，还需手动修改进程状态；二是开销太大，超过了修改系统调用表的成本；三是禁用抢占，kprobes基于中断和故障，所以为了执行同步，所有处理程序需以禁用的抢占方式执行，导致的限制是，处理程序中不能等待、分配大量内存、处理输入输出、在信号量和计时器中休眠。

方法：将函数开头的指令替换为通向处理程序的无条件跳转，处理完成后再执行原始指令，再跳回截断函数前执行。类似于kprobes。

优点：一是不需要设置内核编译选项，可在任何函数开头实现；二是开销低，两次跳转即可返回到原始点。

缺点：技术复杂。

ftrace提供很多函数集，可显示调用图、跟踪函数调用频率和长度、过滤特定函数。ftrace的实现基于编译器选项-pg和-mfentry，这些内核选项在每个函数的开头插入一个特殊跟踪函数的调用—mcount()或fentry ()，用于实现ftrace框架。

但是每个函数调用ftrace会使性能降低，所以有一种优化机制——动态trace。内核知道调用mcount()或fentry ()的位置，在早期阶段将机器码替换为nop，当打开Linux内核跟踪时，ftrace调用会被添加到指定的函数中。

以下结构用于描述每个钩子函数：

可以只填写三个字段：name、function、original。

钩子函数包装的结构如下：

第一步是查找被hook函数的地址，通过kallsyms。

第二步，初始化ftrace_ops结构，需设置必要字段func\\flags。

fh_ftrace_thunk()是ftrace在跟踪函数时的回调函数，稍后讨论。flags意义是告诉ftrace保存和恢复寄存器（以修改寄存器），我们可在回调函数中修改这些寄存器的内容（RIP）。

第三步，开始hook，首先用ftrace_set_filter_ip()为需要跟踪的函数打开ftrace，再调用register_ftrace_function()对被hook函数进行注册。记得用ftrace_set_filter_ip()关闭ftrace。

关闭钩子如下，避免钩子函数仍然在其他地方执行：

原理：修改rip寄存器指向自定义的回调函数。

问题：当包装函数调用原始函数时，原始函数将被ftrace再次跟踪，从而导致无穷无尽的递归。

解决：可利用parent_ip（调用钩子函数的返回地址）——ftrace回调参数之一，该参数通常用于构建函数调用图，但也可以用来区分跟踪函数是第一次调用还是重复调用。第一次调用时，parent_ip指向内核某个位置，重复调用时，parent_ip指向包装函数内部，只有第一次执行时执行回调函数，其他调用时需执行原始函数。

内核中hook函数的整体执行流程可参见Hooking linux内核函数（二）：如何使用Ftrace hook函数中的图示。

优点：一是API成熟，代码简单；二是根据名称就能跟踪任何函数；三是开销较低。

缺点：一是配置上有要求，需支持kallsyms函数索引、ftrace框架；二是ftrace只能在函数入口点工作。

编译内核时需设置以下选项：

启发：可以hook某些函数，如堆分配函数kmalloc，记录参数和返回值。

Hooking linux内核函数（一）：寻找完美解决方案

Hooking linux内核函数（二）：如何使用Ftrace hook函数

Hooking linux内核函数（三）：Ftrace的主要优缺点