Support eBPF

[Godones]

为了在宏内核中引入eBPF的支持，内核最少需要实现以下功能：

1. 内核跟踪点
2. eBPF相关的系统调用
3. 文件系统接口

为了实现一些常用eBPF框架的支持，比如Rust社区的Aya框架，接下来将按照以下路线逐步实现内核功能：

• 生成内核符号表，允许内核根据符号查找地址
• 实现kprobe机制，包括x86/rv64/la64平台
  • rv64/la64已验证
  • x86/aarch64已验证
• 实现tracepoint机制
• 引入eBPF虚拟机支持
• 实现eBPF相关系统调用
• 添加文件系统接口
• 使用Aya框架编写用户态程序
• 实现kretprobe机制
• 实现rawtracepoint机制
• 使用libbpf框架编写用户态程序

独立组件:

• ksym 生成内核符号表
• kprobe kprobe/kretprobe实现
• tracepoint tracepoint/rawtracepoint实现
• kbpf-basic ebpf的Map基础数据结构和helper接口
• tp-lexer tracepoint的filter小型编译器实现

[AsakuraMizu]

我们之前做过把 DWARF 调试信息保存到内核自身的 .rodata 段并在链接时读取的尝试，相关代码位于 https://github.com/Starry-OS/arceos/blob/4b0bc467bd3e74ab8b18a4a664b24915947bdd11/scripts/make/dwarf.sh 和 https://github.com/Starry-OS/arceos/blob/4b0bc467bd3e74ab8b18a4a664b24915947bdd11/modules/axhal/linker.lds.S#L32-L61
虽然实现的有一点丑陋，不过可以避免与文件系统交互，简化流程。

如果类似地把符号表，或者甚至整个带有调试信息的 elf 文件（通过 objcopy --only-keep-debug 生成）内嵌，是否可行呢？特别是如果能内嵌一个完整的 elf 的话，对现在 backtrace 的设计也会有很大程度上的简化。

[Godones]

应该可行

[Godones]

9.15-9.21进度:

• 添加独立库ksym, 补充文档和修复CI错误
• 添加独立库kprobe, 补充文档和修复CI错误
• 修改 axmm，暴露alloc_frame 和 dealloc_frame接口
• 修改axcpu, 允许内核自定义处理断点异常，并添加TrapFrame 到 kprobe库中PtRegs的转换 PR
• 在Starry中添加kprobe的基本支持: 接管断点异常并处理kprobe，实现kprobe中定义的外部接口(修改内核页表属性，分配可执行内存)
• 在 Starry中添加kprobe的基础示例，已在la64/rv64上验证

TODO:

• 由于链接脚本已被修改，这对backtrace造成了影响，当前的axbacktrace实现不够好，需要修复

[Godones]

9.21-10.8 进度：

• 添加unwind和backtrace功能
  • 修改链接脚本生成.eh_frame .gcc_except_table eh_frame_hdr 等section
  • 修改axruntime处理panic异常，打印调用堆栈并执行可能的堆栈展开
  • 在starry中添加panic的测试以及捕获panic的接口
  • 由于上游unwind的loongarch64支持没有合并，暂时关闭loongarch64下的unwind
• 支持基本的tracepoint
  • 扩展static-keys库的接口，以支持自定义的内核代码段修改操作 [PR](Allow users to customize CodeManipulator  Evian-Zhang/static-keys#9)
  • 实现独立库[tracepoint](https://github.com/Starry-OS/tracepoint) 并适配static-keys库的新接口
  • 修改链接脚本以生成__static_keys tracepoint section
  • 在starry中实现tracepoint的回调接口，从而允许获取内核信息、输出信息到缓冲区、修改内核代码段等
  • 在starry中实现debugfs, 扩展DirMapping 接口
  • 实现tracepoint关联的特殊文件以及相应的接口，从而允许在用户态通过文件系统接口访问tracepoint

[Godones]

Starry 分支: ebpf
Arceos 分支: ebpf

tracepoint的文件系统接口使用方法

使用方法:

• 使用define_event_trace定义跟踪点名称和回调函数原型，以及默认的打印方法
• 用户态在/sys/kernel/debug/tracing/events/进入对应子系统下查看存在的跟踪点
• echo 1 > enable开启
• echo 0 > enable关闭
• 查看/sys/kernel/debug/tracing/trace获取输出
• 也可以查看/sys/kernel/debug/tracing/trace_pipe获取输出

已sys_mkdirat的tp跟踪点为例：

starry:/sys/kernel/debug/tracing/events/syscalls/sys_mkdirat# ls -l
total 0
-rw-rw-rw-    1 root     root             0 Jan  1  1970 enable
-rw-rw-rw-    1 root     root             0 Jan  1  1970 format
-rw-rw-rw-    1 root     root             0 Jan  1  1970 id

1. 通过echo 1 > enable 使能该tp
2. 在/tmp目录下创建一些文件
3. cat /sys/kernel/debug/tracing/trace

starry:/# cat /sys/kernel/debug/tracing/trace
# tracer: nop
#
# entries-in-buffer/entries-written: 3/3   #P:32
#
#
#                                _-----=> irqs-off/BH-disabled
#                               / _----=> need-resched
#                              | / _---=> hardirq/softirq
#                              || / _--=> preempt-depth
#                              ||| / _-=> migrate-disable
#                              |||| /     delay
#           TASK-PID     CPU#  |||||  TIMESTAMP  FUNCTION
#              | |         |   |||||     |         |
         busybox-17      [000] .....   231.451497: sys_mkdirat(mkdir at /tmp/d1 with mode NodePermission(OWNER_READ | OWNER_WRITE | OWNER_EXEC | GROUP_READ | GROUP_EXEC | OTHER_READ | OTHER_EXEC))
         busybox-18      [000] .....   231.451848: sys_mkdirat(mkdir at /tmp/d2 with mode NodePermission(OWNER_READ | OWNER_WRITE | OWNER_EXEC | GROUP_READ | GROUP_EXEC | OTHER_READ | OTHER_EXEC))
         busybox-19      [000] .....   231.451878: sys_mkdirat(mkdir at /tmp/d3 with mode NodePermission(OWNER_READ | OWNER_WRITE | OWNER_EXEC | GROUP_READ | GROUP_EXEC | OTHER_READ | OTHER_EXEC))

4. echo 0 > enable 关闭tp

基于kprobe的eBPF系统调用统计

syscall_ebpf：在系统调用分发的入口插入kprobe并附着ebpf程序，统计每个系统调用的次数

1. 直接运行/musl/syscall_ebpf程序
2. 直接查看该程序的输出
3. ctrl+c中断

基于tracepoint的eBPF

mytrace: 在sys_openat 系统调用处定义的tracepoint附着ebpf程序，简单打印当前被打开的文件

1. 直接运行/musl/mytrace & 使其后台运行
2. 进入其他目录，查看已下类似的输出

[INFO  mytrace] Kernel tracepoint sys_enter_openat called, filename :/root/.ash_history

[Godones]

10.9-10.17进展：

• 支持基于kprobe的eBPF程序
  • 添加使用musl工具链编译的rust app，更新编译流程将这些app放到磁盘镜像中
  • 实现独立库kbpf-basic，实现ebpf所需的基本数据结构(Map, ringbuf)和相关的helper函数
  • 在Starry中实现kbpf-basic定义的外部接口，用于对接kbpf-basic的功能
  • 在Starry中实现 bpf 系统调用，以及相关的数据结构的文件系统接口
  • 在Starry中实现perf相关的几个特殊文件，用来向外表示kprobe以及ebpf event功能
  • 在/sys目录下补充几个特殊文件，供用户态程序读取
  • 实现基于kprobe的系统调用统计app
• 支持基于tracepoint的eBPF程序
  • 扩展axmm的接口，提供分配连续多个页的接口
  • 修复对mmap接口修改导致的错误，为事件ringbuf分配连续物理页
  • 修复ebpf event的写入错误，在未映射前忽略事件，在事件关闭后停止写入事件
  • 增加tracepoint的perf类型和相应文件支持，支持在tracepoint上附着ebpf程序
  • 实现基于tracepoint的eBPF app，打印系统被打开的文件

[Godones]

10.18-10.24进展:

• 参考Linux实现新的ksym库
  • 使用启发式算法进行字符串压缩
  • 避免在查找过程中进行堆分配
  • 为两种查找方法实现高效的二分查找
• 添加ksym的设计文档和数据布局
• 更新starry使用新的ksym库, 以及arceos panic自定义符号查找接口
• 修复Aya库中关于loongarch64架构的错误PR
• 更新eBPF用户程序的依赖，支持rv4/la64架构下的编译

[AsakuraMizu]

您可以把其中使用 https://github.com/nbdd0121/unwinding 代替 axbacktrace 的部分单独整理一下吗？

[Godones]

具体的需求是什么？

[AsakuraMizu]

您在 “9.15-9.21进度”中说：

当前的axbacktrace实现不够好，需要修复

现在的实现方式确实比较暴力。我后来也学习了一下星绽的实现，他们就是直接用的这个 unwinding 库。如果您这边已经有可以用的 unwinding 集成的话，可以合并到主线中来

[Godones]

可以，我看看如何单独拆除一个patch来。

[Godones]

PR: Starry-OS/StarryOS#19

[Godones]

10.25-10.31进展:

• 支持基于rawtracepoint的eBPF程序 Support rawtracepoint-based eBPF applications.
  • 完善tracepoint内部实现，区分默认日志/通用事件回调/raw事件回调的接口
  • 更新kbpf-basic增加rawtracepoint的参数类型转换
  • 在Starry中增加rawtracepoint的处理并添加用户态程序示例--rawtp
• 支持基于kretprobe的eBPF程序 support kretprobe-based eBPF app.
  • 修复kretprobe中instances未回收错误并扩充pt_regs获取返回值的接口
  • 在Starry中增加kretprobe的处理并并添加用户态程序示例--kret

[Godones]

如何使用kretprobe获取函数返回值

kretprobe是一种内核探针，允许我们在内核函数返回时执行自定义代码。通过kretprobe，我们可以捕获函数的返回值，并进行相应的处理。但是由于Rust和C语言的常见使用方法不同，可能会导致无法直接得到正确的返回值。

以以下Rust代码示例:

fn add(x: usize, y: usize) -> usize {
    return x + y;
}

这里首先说明一下调用约定：在 x86-64 System V（Linux / macOS 等）下，整数/指针类型的前六个参数分别通过寄存器传递：rdi, rsi, rdx, rcx, r8, r9；第一个函数返回值通过 rax 返回, 第二个返回值通过 rdx 返回。

这段代码产生的汇编代码是:

0000000000015280 <add>:
   15280:	48 8d 04 37          	lea    (%rdi,%rsi,1),%rax
   15284:	c3                   	ret    

也就是说，函数返回值存储在 rax 寄存器中。因此，我们可以直接通过pt_regs结构体中的rax字段来获取返回值。这和C语言的处理是类似的。

但是在内核项目中，大多数的函数的返回值通常用Result或者Option来表示，这些类型返回值可能会存储在多个寄存器中。例如，Result<T, E>类型的返回值通常会使用 rax 和 rdx 两个寄存器来存储。

以以下Rust代码示例:

pub fn detect_func(x: usize, y: usize, z: Option<usize>) -> Option<usize> {
    if let Some(z) = z {
        Some(x + y + z)
    } else {
        None
    }
}

这段代码产生的汇编代码是:

0000000000015270 <detect_func>:
   15270:	48 89 d0             	mov    %rdx,%rax
   15273:	48 8d 14 37          	lea    (%rdi,%rsi,1),%rdx
   15277:	48 01 ca             	add    %rcx,%rdx
   1527a:	c3                   	ret     

• 第1条指令 mov %rdx,%rax：把传入的第三个参数（rdx）复制到 rax，用来作为返回值的准备（因为之后会修改 rdx）。
• 第2条指令 lea (%rdi,%rsi,1),%rdx：计算 rdi + rsi，并把结果写回 rdx（覆盖原来的 rdx）。
• 第3条指令 add %rcx,%rdx：把 rcx 加到上一步的结果上，最终 rdx = rdi + rsi + rcx。
• ret：返回，返回值在 rax（仍然是原来的 rdx）

这里可以看到，对于Option<usize>类型的参数，Rust编译器将其存储在rdx和rcx寄存器中,并且rdx通常是一个tag位，用来表示是否为Some（非空）或者None（空），而rcx存储实际的值。在函数返回时，rax寄存器中存储的是tag位，而rdx寄存器中存储的是实际的值。因此，在kretprobe中获取这个函数的返回值时，我们需要同时读取rax和rdx寄存器的值。

对于Result<T, E>类型的返回值也是类似的处理方式。我们需要根据具体的实现来确定返回值存储在哪些寄存器中，并在kretprobe中进行相应的读取。

尽管这可以处理大多数情况，但Rust有时会做进一步的优化，比如niche-optimized。在上面的示例中，Option<usize> 在这个目标和编译设置下不是niche-optimized成单个字（usize），编译器把它当作带有显式 tag（判别位） + payload（数据）的枚举（scalar pair）来传递和返回。如果 Option 的底层类型有可用的 niche（例如 Option 或 Option<非空指针>），编译器通常能把 None/Some 合并到单个寄存器，从而避免这个额外的 tag 寄存器。因此，在使用kretprobe获取Rust函数的返回值时，务必了解函数的返回类型及其在寄存器中的存储方式，以确保正确地读取返回值。

特殊情况处理

在内核的一些函数中，似乎仍然无法通过获取寄存器的值来正确获取返回值。这还等待进一步的分析。

[AsakuraMizu]

在内核的一些函数中，似乎仍然无法通过获取寄存器的值来正确获取返回值。这还等待进一步的分析。

返回值不一定完全通过寄存器传递，大于 16 字节的结构体将通过栈传递。

[Godones]

11.1-11.7 进展:

• 增加ringbuf的完整支持 Add ringbuf map support and add poll interface for map.
  • 参考Linux实现了Ringbuf数据结构
  • 实现几乎所有Ringbuf相关的helper 接口(剩余的一两个接口不太常用)
  • 扩充了kbpf-basic的外部接口，以请求内核分配物理页/vmap。增加PollWaker抽象。
• 实现loongarch64架构的完整eBPF支持 Add new kernel helper for bpf.
  • 扩充Starry的实现以支持kbpf-basic新增的外部接口(alloc_page/free_page/vmap/vunmap..)
  • 更新所有eBPF程序依赖到Aya主线 ，通过feature控制eBPF程序的多架构编译

[Godones]

TODO: Arm/x86-64支持

[Godones]

11.8-11.14进展:

• 实现aarch64的kprobe/kretprobe
  • 扩展kprobe库的aarch64架构支持 add arm64 support and fix x86_64 errors
  • 扩展axcpu库对kprobe的支持，更新break handler的接口定义 Add kprobe support to aarch64 arch and extend break handler parameter.
  • 更新arceos的链接脚本和编译选项，生成可以捕获panic的代码
• 实现x86_64/aarch64的eBPF程序支持 add x86_64/aarch64 support for eBPF
• 同步arceos/Starry到最新状态并修复编译错误

[Godones]

TODO: uprobe/uretprobe/tracepoint filter

[Godones]

11.15-11.21 进展：

• 学习uprobe相关知识
• 重构kprobe的实现，重用kprobe的基本功能来实现uprobe refactor kprobe and add uprobe support.
  • 扩展对内核的接口依赖，区分用户空间可执行页/内核空间可执行页
• 实现tracepoint的filter功能，可以视为一个小型的编译器，将用户传递的表达式编译为一个可执行表达式树，在tp被触发时执行。

独立create:
tp-lexer

[Godones]

基于uprobe的eBPF工作原理

uprobe（用户空间探针）是一种用于在用户空间应用程序中动态插入探针的机制。它允许开发者在不修改应用程序源代码的情况下，监控和分析用户空间程序的行为。eBPF（扩展的伯克利包过滤器）是一种强大的内核技术，允许在内核中运行用户定义的程序，以实现高效的数据包处理和系统监控。eBPF与uprobe结合使用，可以实现对用户空间应用程序的深入监控和分析。

uprobe的工作原理

uprobe通过在用户空间应用程序的特定函数入口处插入探针来工作。当应用程序执行到该函数时，uprobe会触发一个事件，允许eBPF程序捕获该事件并执行预定义的操作。以下是uprobe的工作流程：

1. 探针插入：开发者使用工具（如bpftrace或BCC）在用户空间应用程序的特定函数入口处插入uprobe探针。探针可以插入在函数的开始处或结束处。
2. 事件触发：当应用程序执行到插入探针的函数时，uprobe会触发一个事件(通常是break异常)。这个事件会通知内核，eBPF程序需要执行。
3. eBPF程序执行：内核加载并执行与uprobe事件关联的eBPF程序。eBPF程序可以访问函数的参数、返回值以及其他上下文信息。
4. 数据收集和处理：eBPF程序可以收集数据（如函数调用次数、参数值等），并将这些数据存储在内核空间的映射中，供后续分析使用。
5. 用户空间读取数据：用户空间应用程序可以通过系统调用从内核空间读取eBPF程序收集的数据，以进行进一步的分析和处理。

eBPF与uprobe的结合

以Aya框架中的uprobe为例，其挂载ebpf的接口是 program.attach("getaddrinfo", "libc", pid, None /* cookie */)?; ，其中第一个参数是函数名，第二个参数是库名，第三个参数是进程ID，第四个参数是可选的cookie。这个接口会在指定的函数入口处插入uprobe探针，并将eBPF程序与该探针关联起来。

uprobe的运行过程主要分为几个步骤：

1. 在指定具体进程的情况下，搜索进程的内存映射，找到指定库（如libc）的路径。
2. 如果未指定具体进程，则首先检查该库是否是绝对路径
   1. 如果是绝对路径，则直接使用该路径
   2. 如果不是绝对路径，则在/etc/ld.so.cache中搜索该库的路径
3. 计算指定跟踪点在库中的偏移地址
   1. 用户程序可以指定三种偏移类型

   pub enum UProbeAttachLocation<'a> {
    /// The location of the target function in the target object file.
    Symbol(&'a str),
    /// The location of the target function in the target object file, offset by
    /// the given number of bytes.
    SymbolOffset(&'a str, u64),
    /// The offset in the target object file, in bytes.
    AbsoluteOffset(u64),
}

4. 计算跟踪点在进程内存中的实际地址（函数符号地址 + 偏移地址）
5. 在库中插入uprobe探针

对于插入探针的过程，内核的处理过程：

• 如果是不指定pid的情况，则在所有加载该库的进程中插入uprobe探针
• 如果是指定pid的情况，则只在该进程中插入uprobe探针

由于共享库正常情况下被多个进程共享使用，因此全局插入uprobe探针时，理论上只需要在共享的物理页上修改指令，而对于指定pid插入uprobe探针时，则需要为该进程单独创建一份私有的内存页，并在该页上修改指令。

[Godones]

11.22-11.28：进展

• 适配tracepoint的filter功能
  • 重构tp-lexer解析器的实现，允许静态定义scheme和Context，从而避免动态内存分配 Refactor the context and schema to avoid memory allocation.
  • 支持数值类型和字符串的直接比较，避免动态格式化的性能开销；补充更多的测试
  • 在Starry中补充filter文件的支持并测试其功能 add tracepoint filter support.
• 支持基于uprobe的eBPF应用
  • 修复uprobe中关于运行时分配用户态可执行页相关的错误；补充并重新定义已有的外部接口 Refactor the uprobe-related interfaces and fix the bugs.
  • 修复axcpu中两个小bug add debug exception for x86_64 and fix the break exception definition error in aarch64.
  • 在Starry中添加/proc/pid/maps的支持
  • 在Starry中添加uprobe的支持，并附带一个upb示例eBPF应用 add uprobe support and add an example for uprobe

[Godones]

11.29-12.05：进展

• 尝试在Starry实现uprobe的多进程插桩(针对动态库的插桩)，但动态链接的程序无法运行
• rust kernel的内核可加载模块探索 https://github.com/Starry-OS/kmod
  • 研究Linux LKM的实现方式，以及对应的rust实现方式
  • 写了基础的builder/parser/loader来实验

[Godones]

12.06-12.12：进展

• 修复已有的uprobe bug，增加uprobe的动态库插桩示例。目前仍然不能实现对所有加载同一个动态库的程序进行探测，因为缺乏类似Linux的反向映射机制 fix uprobe error and add an ebpf app.
• 补充一个总结文档，描述当前的eBPF for Starry支持情况和常见用法用例 eBPF for Starry
• kmod的推进 Implement loader for kmod.
  • 将模块构建器实现改为Makefile，更容易修改和配置
  • 学习ELF重定位的知识，并参考Linux实现模块的加载，先实现rv64架构上的重定位功能

[Godones]

TODO:

• 规范内核符号表的生成
• 简单的kmod demo