#bpftrace #ebpf

t.me/danteslimbo/3336

周末开始想一个问题：在 kretprobe 里面怎样获取 probed 函数的名字。见 t.me/danteslimbo/3327

首先 bpf_get_func_ip 和 PR_REGS_IP 都不行（实测）。

第二个思路就是把所有寄存器都打出来看看，看有哪个寄存器存了可用的地址，用来算出 probed 函数的地址——并没有。

Nameless One 给了一个思路：在 kprobe 的时候存一下地址，在 kretprobe 的时候读出来，我觉得这是正路，但是有点麻烦，后面我把 bio 也做进来再采用这种办法吧。

还有第三个思路就是看 bpftrace 的 probe 看它怎样实现的。当时我以为 bpftrace 也是通过 offset 算地址的思路，所以对着 bpftrace --emit-elf 的 bpf 汇编算了半天，还学了一下如何直接写汇编 ebpf t.me/danteslimbo/3330

昨天想了一下，去看 bpftrace 的翻译出来的 ebpf 内容（用 -dd），把翻译出来 llvm IR 扔进 chatgpt 里面，发现它定义了一个 printf_t 结构体，然后往这个结构体里面写满0，就从 perf_event_output 扔出来，更加迷茫了。

当然 Nameless One 很快找到正确的答案了（此处有掌声）。

看一下

shell

bpftrace -dd -e 'kretprobe:blk_put_request,kretprobe:blk_mq_free_request, kretprobe:blk_mq_alloc_request { printf("%s\n", probe); }'

的结果就会知道答案，简单来说，这里 probed 了三个 kretprobe, bpftrace 会生成三个 prog，在里面给 printf_t 赋值为 {0,0}, {1,0}, {2,0}, 然后在用户态把这个硬编码翻译回来。

哎。

github.com/dantesli...

整了个 release 页。

加上了 github action

t.me/danteslimbo/3277