Hardware Breakpoint implementation in BCC

### 文档总结：《Hardware Breakpoint Implementation in BCC》 #### 1. 硬件断点概述 硬件断点是一种用于调试器的优雅机制，用于监控内存访问。通过硬件断点，可以高效地跟踪特定地址的内存操作（如读取或写入）。在BCC（BPF Compiler Collection）中，硬件断点的实现支持以下格式： ``` mem:[:access] ``` 例如： ``` perf stat -e mem:0xffffffffbb65f478:rw ``` #### 2. BCC中的硬件断点实现 在BCC中，硬件断点的实现主要通过`libbpf.c`中的`bpf_attach_breakpoint`函数完成。该函数负责在目标进程的每个CPU上附加断点，并创建一个perf事件来捕获断点触发的事件。 核心代码逻辑如下： ```c void bpf_attach_breakpoint(uint64_t symbol_addr, int pid, int progfd, int bp_type) { struct perf_event_attr attr = {}; memset(&attr, 0, sizeof(attr)); attr.size = sizeof(attr); attr.type = PERF_TYPE_BREAKPOINT; attr.bp_len = HW_BREAKPOINT_LEN_4; attr.bp_addr = symbol_addr; attr.bp_type = (_u32)bp_type; attr.sample_period = 1; attr.precise_ip = 2; // 请求同步交付 attr.wakeup_events = 1; int i, nr_cpus = sysconf(_SC_NPROCESSORS_CONF); for (i = 0; i < nr_cpus; i++) { check_on_each_cpu(i, &attr, progfd, pid); } } ``` #### 3. 使用案例 在`breakpoint.py`脚本中，通过BPF（Berkeley Packet Filter）实现了一个内存访问监控的示例： - 定义了一个BPF程序，用于跟踪函数调用栈和计数。 - 使用`BPF_STACK_TRACE`获取栈信息，并通过`BPF_HASH`记录计数。 - 在`func`函数中，获取当前进程ID、任务名，以及内核和用户栈的ID，并更新计数器。 示例代码片段： ```python bpf_text = """ struct stack_key_t { int pid; char name[16]; int user_stack_id; int kernel_stack_id; }; BPF_STACK_TRACE(stack_traces, 16384); BPF_HASH(counts, struct stack_key_t, uint64_t); int func(struct pt_regs *ctx) { struct stack_key_t key = {}; key.pid = bpf_get_current_pid_tgid() >> 32; bpf_get_current_comm(&key.name, sizeof(key.name)); key.kernel_stack_id = stack_traces.get_stackid(ctx, 0); key.user_stack_id = stack_traces.get_stackid(ctx, BPF_F_USER_STACK); u64 zero = 0, *val; val = counts.lookup_or_init(&key, &zero); (*val)++; bpf_trace_printk("Hello, World! Here I accessed an address!\n"); return 0; } """ b = BPF(text=bpf_text) symbol_addr = input() pid = input() bp_type = input() b.attach_breakpoint(symbol_addr, pid, "func", bp_type) ``` #### 总结 文档详细介绍了硬件断点在BCC中的实现，包括其在调试和性能分析中的应用。通过`libbpf.c`中的函数和`breakpoint.py`脚本，展示了如何利用BPF机制实现高效的内存访问监控和事件处理。