ftrace、kpatch、systemtap的基本原理、联系和区别

1、ftrace
Linux当前版本中，功能最强大的调试、跟踪手段。其最基本的功能是提供了动态和静态探测点，用于探测内核中指定位置上的相关信息。
静态探测点，是在内核代码中调用ftrace提供的相应接口实现，称之为静态是因为，是在内核代码中写死的，静态编译到内核代码中的，在内核编译后，就不能再动态修改。在开启ftrace相关的内核配置选项后，内核中已经在一些关键的地方设置了静态探测点，需要使用时，即可查看到相应的信息。
动态探测点，基本原理为：利用mcount机制，在内核编译时，在每个函数入口保留数个字节，然后在使用ftrace时，将保留的字节替换为需要的指令，比如跳转到需要的执行探测操作的代码。

2、kpatch
kpatch是RedHat主导开发的“内核在线升级”工具，可在不重启系统、不中断业务的情况下实现内核在线升级。实现函数级别的执行流程替换。
其基本原理为：基于ftrace，类似于ftrace的动态探测点，利用mcount机制，在内核编译时，在每个函数入口保留数个字节，然后在打补丁时，将“被替换函数”入口保留的字节替换为跳转指令，跳转到kpatch的相关流程中，然后进入“新函数”的执行流程，实现函数级别的执行流程在线替换，最终实现“内核在线升级”的功能。

3、systemTap
另一个具有探测功能的工具，不得不提systemTap。
其原理跟ftrace不同，其基本原理为：在运行systemTap脚本时，动态解析内核，将指定探测点处的代码，替换为int 3指令，实现陷入，在陷入后实现相关信息的探测，探测完成后，int 3返回到原有的执行流程中执行。

4、ftrace和systemTap机制的主要区别
1）ftrace只能在函数入口(或出口？)实现探测，而systemTap可以在函数中的任意位置实现探测。

2）ftrace实现函数替换后，原有函数的执行流程被替换成新函数，新函数执行完成后可以不再返回原函数流程中执行。而systemTap利用的是int 3陷入机制，在探测后会自动跳转会原有流程执行。

原文地址： http://blog.chinaunix.net/uid-14528823-id-4567325.html