stackplz进阶技巧：用uprobe hook动态库函数的完整流程

【免费下载链接】stackplz 基于eBPF的堆栈追踪工具 项目地址: https://gitcode.com/GitHub_Trending/st/stackplz

stackplz是一款基于eBPF的堆栈追踪工具，能够帮助开发者深入分析程序运行时行为。本文将详细介绍如何使用stackplz的uprobe功能来hook动态库函数，通过实际案例展示从配置到结果分析的完整流程，让你轻松掌握这一强大的调试技巧。

一、认识uprobe：动态追踪的利器 🛠️

uprobe是stackplz中用于用户空间函数动态追踪的核心功能，它允许你在不修改目标程序源码的情况下，对指定动态库中的函数进行hook。这种非侵入式的调试方式特别适合分析第三方库或闭源程序的行为。

stackplz的uprobe实现位于user/config/config_uprobe.go，通过配置文件即可灵活定义追踪规则，无需编写复杂的eBPF代码。

二、准备工作：环境与配置文件 📋

2.1 安装stackplz

首先确保你已正确安装stackplz：

git clone https://gitcode.com/GitHub_Trending/st/stackplz
cd stackplz
make

2.2 uprobe配置文件结构

stackplz使用JSON格式的配置文件来定义uprobe规则。典型的uprobe配置文件结构如下（以tests/config_uprobe_test.json为例）：

{
    "type": "uprobe",
    "library": "libc.so",
    "points": [
        {
            "name": "open64",
            "params": [
                {"type": "str"},
                {"type": "int"},
                {"type": "int", "format": "hex"},
                {"type": "ptr", "reg": "x8"}
            ]
        },
        {
            "name": "__openat",
            "params": [
                {"type": "str", "reg": "x1", "filter": ["w:/data/app"]}
            ]
        }
    ]
}

三、配置详解：打造你的追踪规则 🔧

3.1 基本配置项

• type: 必须设置为"uprobe"，告诉stackplz这是一个uprobe类型的配置
• library: 指定要hook的动态库路径或名称，如"libc.so"、"/system/lib64/libart.so"等
• points: 数组类型，定义要hook的函数列表

3.2 函数参数配置

每个函数配置包含：

• name: 函数名称，如"open64"、"__openat"
• params: 函数参数定义数组，每个参数可指定：
  • type: 参数类型，如"str"（字符串）、"int"（整数）、"ptr"（指针）
  • reg: 指定参数所在的寄存器（可选）
  • format: 输出格式，如"hex"（十六进制）
  • filter: 过滤规则，如只追踪包含特定路径的字符串参数

四、实战演示：追踪libc中的文件操作函数 🚀

4.1 编写配置文件

创建一个名为config_libc_open.json的配置文件：

{
    "type": "uprobe",
    "library": "libc.so",
    "points": [
        {
            "name": "open64",
            "params": [
                {"type": "str", "filter": ["r:/etc/"]},
                {"type": "int", "format": "octal"},
                {"type": "int", "format": "hex"}
            ]
        }
    ]
}

4.2 运行stackplz

使用以下命令启动stackplz，指定目标进程PID和配置文件：

./stackplz --pid <目标进程PID> --config config_libc_open.json

4.3 分析输出结果

成功运行后，stackplz会输出类似以下的追踪结果：

图：stackplz追踪libc中open64函数的输出结果，显示了函数调用参数和返回值

五、高级技巧：堆栈追踪与过滤 🌟

5.1 启用堆栈追踪

要获取函数调用堆栈，只需在配置中添加"stack": true：

{
    "name": "open64",
    "stack": true,
    "params": [
        {"type": "str"}
    ]
}

启用后，stackplz将输出完整的函数调用堆栈，帮助你定位调用来源：

图：stackplz显示的函数调用堆栈信息，包含完整的调用链

5.2 使用过滤器精确定位

通过filter配置可以只追踪符合特定条件的调用，例如只记录写操作：

{
    "name": "open64",
    "params": [
        {"type": "str"},
        {"type": "int", "filter": [">=0x2"]}  // 只追踪具有写权限的打开操作
    ]
}

六、常见问题与解决方案 ❓

6.1 无法找到动态库

如果遇到"library not found"错误，确保：

• 库路径正确，可以使用ldd <目标程序>查看依赖库路径
• 对于Android应用，可能需要指定完整路径，如"/data/app/.../lib/arm64/libxxx.so"

6.2 函数参数解析错误

参数解析错误通常是因为：

• 参数类型配置不正确，参考user/argtype/中的类型定义
• 架构不匹配，arm和arm64的寄存器布局不同，确保使用对应架构的配置

6.3 性能影响

uprobe追踪会对目标进程产生一定性能影响，可通过以下方式优化：

• 合理设置过滤器，减少不必要的追踪
• 避免同时追踪过多函数
• 在生产环境中谨慎使用

七、总结

通过本文的介绍，你已经掌握了使用stackplz的uprobe功能来hook动态库函数的完整流程。从配置文件编写到结果分析，stackplz提供了简洁而强大的接口，让动态追踪变得轻松高效。无论是调试应用问题还是分析第三方库行为，uprobe都是你不可或缺的利器。

想要了解更多高级用法，可以参考官方文档docs/CONFIG.md，探索更多过滤规则和参数配置选项。现在就动手尝试，开启你的eBPF追踪之旅吧！

【免费下载链接】stackplz 基于eBPF的堆栈追踪工具 项目地址: https://gitcode.com/GitHub_Trending/st/stackplz