2023/4/7

Author: WoodHolz

给我康康/01 (copy).md

@@ -0,0 +1,69 @@
+
+
+![image-20230113192049236](./../picture/image-20230113192049236.png)
+
+![image-20230113193000701](./../picture/image-20230113193000701.png)
+
+![image-20230113193153540](./../picture/image-20230113193153540.png)
+
+done!
+
+## LKD_Chapter_3
+
+计算thread_info的偏移
+
+```asm
+# current_thread_info() assuming 8KB stack size
+movl $-8192, %eax
+andl %esp, %eax
+```
+
+### movx
+
+```  asm
+movx source, destination
+```
+
+movx其中 x 可以是下面的字符：
+
+* l用于32位的长字值
+
+* w用于16位的字值
+
+* b用于8位的字节值
+
+  实例：
+
+```asm
+movl   %eax, %ebx #把32位的EAX寄存器值传送给32位的EBX寄存器值
+movw   %ax, %bx   #把16位的EAX寄存器值传送给16位的EBX寄存器值
+movb   %al, %lx   #把8位的EAX寄存器值传送给8位的EBX寄存器值
+```
+
+
+
+### andl
+
+假定以下值存储在指示的存储器地址和寄存器中：
+
+![enter image description here](./../picture/WVGoy.png)
+
+现在，我们有一条指令：
+
+``` asm
+addl  %ecx, (%eax)
+```
+
+EAX包含0x100; 0x100中的值为0xFF; ECX包含0x1。
+
+0x1 + 0xFF = 0x100。 
+
+然后将最终结果放入EAX指向的地址。 因此，(0X100) == 0x100
+
+### 解析
+
+ESP point to the bottom 
+
+value of EAX == -8192
+
+EAX == -8192 + value of ESP

给我康康/2022_10_1 (copy).md

@@ -0,0 +1,17 @@
+# 内核接收网络包的大致过程
+
+
+
+![接收网络包](./../picture/%E6%8E%A5%E6%94%B6%E7%BD%91%E7%BB%9C%E5%8C%85.png)!](./../2022_10/2022_10_1/%E6%8E%A5%E6%94%B6%E7%BD%91%E7%BB%9C%E5%8C%85.png)
+
+1. 网络中的数据帧被网卡(网络适配器,这里使用简称)接收。
+2. 网卡判断目标地址是否为本机；不是，则抛弃接收的数据帧。
+3. 是，则通过PCIe总线(可以理解为硬件层面上的高速公路)以DMA的方式将数据帧复制到内存`RingBuffer`数据结构。
+4. 在复制后，网卡发送硬中断通知CPU。
+5. CPU在接收到硬中断后发送请求通知网络设备驱动(后简称驱动)。
+6. 驱动响应请求，向`ksoftirqd`线程发送软中断请求，并释放CPU硬中断。
+7. `ksoftirqd`线程调用poll函数进行收包。
+8. `RingBuffer`的数据帧被处理为`SocketBuffer`(后简称`skb`)的形式。
+9. `skb`向上贯穿网络层和运输层。
+10. 通过`socket库`接口将数据送至应用层。
+

给我康康/2022_8_9 Linux网络 (copy).md

@@ -0,0 +1,53 @@
+# 2022_8_9 Linux网络
+
+## Socket Buffer 穿越 TCP/IP 协议栈
+
+### 发送
+
+`Socket Buffer`**由上向下**穿越 TCP/IP 协议栈的各层期间会发生
+
+* 数据包中不断加入穿越的层级的协议的头信息。
+* sk_buff管理结构~~强调下以防混淆~~中描述协议头的地址指针被赋值。
+
+### 接收
+
+`dev_alloc_skb`申请`Socket Buffer`，将接收到的网络数据帧从设备硬件的缓冲区复制到`Socket Buffer `的数据包缓冲区；填写 `sk_buff`管理结构中的地址、接收时间和协议等信息~~填快递单~~（`Socket Buffer`到达内核地址空间~~(Kernel address space?)~~）
+
+当`Socket Buffer`**由下向上**穿越 TCP/IP 协议栈的各层时将发生
+
+* 数据包中不断丢弃穿越的层级的协议的头信息。
+* sk_buff管理结构中描述协议头的地址指针被复位~~置零~~，并调整`sk_buff`结构中
+  指向有效数据的 sk_buff->data 指针。
+
+![Screenshot 2022-08-09 223032](./../picture/Screenshot%202022-08-09%20223032-1678028278780-3.png)
+
+### 优点
+
+Socket Buffer 这样组织的优点是避免了重复复制数据，要传送的数据只需复制两次：
+
+1. 从应用程序的用户地址空间复制到内核地址空间；
+2. 从内核地址空间复制到网络适配器的硬件缓冲区中。
+
+
+
+---
+
+
+
+## 需要衔接的知识点
+
+1. 套接字层
+
+2. TCP/IP各层
+
+3. 产生中断通知内核？？？过程？？？
+
+4. 网络数据帧
+
+5. function `dev_alloc_skb`(我的理解是类似于C中的molloc)
+
+   > 向系统申请`Socket Buffer`
+
+6. sk_buff->data 指针
+
+   * 数据包MAC协议头？？？(数据包以dataref: 1结尾)

给我康康/Ebpf安全开发 (copy).md

@@ -0,0 +1,80 @@
+## Linux内核树源码编译
+
+安装依赖
+
+```bash
+sudo apt-get install git fakeroot build-essential ncurses-dev xz-utils libssl-dev bc flex libelf-dev bison binutils-dev libcap-dev libreadline-dev pahole -y
+```
+
+查看可用的源码版本
+
+```bash
+apt-cache search linux-source 
+```
+
+安装
+
+```bash
+# 复制配置文件
+sudo cp /boot/config-$(uname -r) /usr/src/linux-source-5.15.0/linux-source-5.15.0/.config
+cd linux-source-5.15.0/
+
+# 如果需要修改配置
+make menuconfig
+
+# 复制签名
+sudo cp -R ../debian .
+sudo cp -R ../debian.master .
+# 多线程编译
+sudo make -j 8 modules
+sudo make -C samples/bpf
+sudo make modules_install
+sudo make -j 8
+sudo make install
+
+# 安装启动项
+sudo update-initramfs -c -k 5.15.60
+sudo update-grub
+
+# 卸载启动项：
+sudo update-initramfs -d -k 5.15.60
+sudo rm -rf /boot/*5.15.60*
+sudo update-grub
+
+dpkg --get-selections|grep linux
+sudo apt-get remove linux-headers-5.15.0-43-generic linux-image-5.15.0-43-generic
+sudo apt autoremove
+```
+
+
+
+## Linux内核tools子模块编译
+
+进入linux-source目录下的tools文件夹直接make
+
+
+
+## Linux跟踪文件系统
+
+### Linux跟踪技术
+
+* TRACEFS
+* Ftrace手动Uprobe Hook
+* Ftrace手动Kprobe Hook
+* Hook技术
+
+
+
+```bash
+# 查看tracefs的挂载
+mount | grep tracefs
+
+# 查看bugfs的挂载
+mount | grep bugfs
+```
+
+
+
+之前总结的ebpf的uprobe/kprobe工作机制与是传统的hook机制相似
+
+实际使用Hook时，需要知道目标函数的偏移量

给我康康/LKD (copy).md

@@ -0,0 +1,71 @@
+## list_entry()函数 ——从获取目标进程到linux内核双链表的思想与实现
+
+``` c
+list_entry(task -> task.next, struct task_struct, tasks) //LKD_Chapter_3_page_26 对于给定进程，获取链表中的下一个进程
+```
+
+
+
+``` c
+
+#define list_entry(ptr, type, member) \
+	container_of(ptr, type, member)
+ 
+#define container_of(ptr, type, member) ({			\
+	const typeof( ((type *)0)->member ) *__mptr = (ptr); // (1) 
+	(type *)( (char *)__mptr - offsetof(type,member) );}) // (2) 
+        
+#define offsetof(TYPE, MEMBER) ((size_t) &((TYPE *)0)->MEMBER)
+```
+
+用途： 利用结构体的已知__成员__（一般是__包含__在结构体中的指针）获得结构体对象的首地址，即获得结构体指针。
+
+
+
+（1）定义一个常量指针__mptr，并将ptr赋值给它。合法性检查
+
+（2）用当前节点地址ptr值剪掉member离type结构体首地址的距离，最后就得到了ptr节点指向的节点的type类型结构体的首地址。
+
+示意图
+
+
+
+![list_entry&内核链表](./../picture/list_entry&%E5%86%85%E6%A0%B8%E9%93%BE%E8%A1%A8-1675393729053-1.jpg)
+
+
+
+验证offset计算偏移量
+
+``` c
+#include <stdio.h>
+
+/*
+typedef struct listhead
+{
+    
+    listhead * prev;
+    listhead * next;
+}listhead;
+*/
+
+typedef struct 
+{
+    long long num;
+    char name;
+    int num_1;
+    //listhead tasks;
+}node;
+
+int main()
+    {
+        printf("offset:%u\n", \
+        &((node *) 0) -> num_1);
+    }
+```
+
+<img src="./../picture/image-20230301085557782.png" alt="image-20230301085557782" style="zoom: 200%;" />
+
+# 感想
+
+1. 利用这个知识应该可以改进之前写的eBPF程序，返回一些有用的数据
+2. 发现我的读书学习过分看重次要问题了，是在阅读LKD进程部分时不知道list_entry才去查的，但是留有一个印象就好，应该把重点放在阅读进程，线程主要问题的学习和理解上。

给我康康/LKD_chapter_1 (copy).md

@@ -0,0 +1,23 @@
+# 一些特性
+
+* 系统几乎一切被当作文件对待（Socket除外）
+
+* fork()系统调用创建进程
+
+* 简单稳定的进程间通信
+
+# 初理解系统调用
+
+> 当一个程序执行一条系统调用时，可以说内核正在代其执行.
+
+可以把系统调用理解为我们去旭日餐厅点炒菜的过程，当程序执行系统调用时，相当通过服务员告诉厨师要做什么菜，这里的服务员就是系统调用界面，厨师就是内核，当厨师完成炒菜后会通过服务员交给我们，也就是用户进程程序得到返回的结果，整个过程完毕。
+
+# 处理器任意时间的活动概括
+
+1. 运行于用户空间执行用户进程
+2. 运行在内核空间的进程上下文，执行内核进程（当CPU空转时也在运行处于其中的空进程）
+3. 运行在内核空间的中断上下文，处理中断 
+
+# 一点联想
+
+Linux内核代码（包括其他系统）的设计都应该足够简洁，并被安全可靠地实现来解决现实存在的问题。《代码整洁之道》（*Clean Code*）这本书应该加入学习计划（又挖坑🤯)

给我康康/LKD_chapter_2 (copy).md

@@ -0,0 +1,51 @@
+# 内核开发特点
+
+## 无C库或标准头文件
+
+### 库和头文件的区别
+
+* 头文件是文本文件，可以阅读编写更改；而库文件是二进制文件，已经预先编译完成,无法直接阅读。
+
+* 头文件在编译预处理阶段被处理插入程序文本；而库文件这是在编译链接阶段由链接器与源文件合并。(对此处有疑问的同志可以查看c程序的编译过程，如*CSAPP* 1.2程序被其他程序翻译成不同的格式)
+
+## 编程必须使用GNU C
+
+### 我对内联函数的理解
+
+在程序文件中“写”/定义一次，在需要使用的地方“标记”引用，在编译程序时系统自动将定义的函数展开加入到字段中。
+
+### 内联函数与函数调用的本质区别
+
+没有单独在其他物理位置创建函数体，而是被展开在文件代码中，这样也就省去了调用通信的时间消耗（优点），但同时代码会变长，占用更多内存空间或指令缓存（缺点）。
+
+* 也因为上面的区别在定义内联函数时需要使用`static`为关键字，并用`inline`限定。例如：
+
+``` c
+// include/linux/skbuff.h
+static inline unsigned char *skb_end_pointer(const struct sk_buff *skb) 
+```
+
+这里使用static关键字就是使系统在编译时不会为内联函数单独开辟函数体的空间。
+
+### 分支声明
+
+使用unlikely()对绝少发生的分支进行标记优化。例如：
+
+```c
+/* 假设error绝大多数时间为0，即极少出错 */
+if(unlikely(error)){  
+	/* *** */
+}
+```
+
+likely()的使用同理。
+
+* 因为分支一般判断特殊情况，所以unlikely()的使用更加广泛。
+
+# 读书时的疑问
+
+1. 优化分支条件，需要正确判断条件是否绝少或通常发生；此处可否运用聚类算法？
+2. 进程和线程概率的区别。(在第三章就会有一个初步的认识)
+
+
+