嵌入式Linux的调试方案
嵌入式Linux的调试方案
- 应用程序调试
-
- 1. GDB命令行调试
- 2. VSCode + gdbserver图形化调试
- 3. strace显示用户空间发出的系统调用
- 4. oops找出段错误发生的位置
- 驱动程序调试
-
- 1. 使用printk函数
- 2. oops查看消息
- 3. /proc 和 sysfs文件系统,或者 ioctl 系统调用
应用程序调试
1. GDB命令行调试
嵌入式系统中一般在 PC 端运行 gdb 工具,源码也是在 PC 端,源码对应的可执行文件放到开发板中运行。为此我们需要在开发板中运行 gdbserver,通过网络与 PC 端的 gdb 进行通信。因此要想在 PC 上通过 gdb 调试嵌入式程序,那么需要两个东西:gdb 和 gdbserver,其中 gdb 是运行在 PC 上的,gdbserver 需要我们移植到开发板上。
- 一般交叉编译已经自带了 gdb 和 gdbserver,因此可以不用移植,直接使用交叉编译器中的 gdbserver 拷贝到开发板根文件系统 /bin 目录下即可。
- 如果交叉编译器没有自带 gdb 和 gdbserver 那就需要自己手动编译了(参考正点原子)
【尽量保证gdb 和 gdbserver的版本一致,来自同一个交叉编译器的版本】
具体调试步骤:
1. (主机)arm-linux-gnueabihf-gcc gdbtest.c -o gdbtest -g //编译测试程序,注意-g 选项,"这样编译出来的可执行文件才带有调试信息,这一点一定要切记"
2. (开发板)gdbserver 192.168.2.15(主机IP):2001 gdbtest //启动开发板上的 gdbserver
3. (主机)arm-linux-gnueabihf-gdb gdbtest
(gdb) target remote 192.168.2.8:2001 //连接到开发板上
4. (开发板显示)Remote debugging from host 192.168.2.15, port 2001 >> 连接成功
常用调试命令:
1. l 命令(list)打印出了调试程序的所有源码,如果源码没有打印完的话就重复按下“l”命令,或者按下回车键,gdb 调试工具中回车键表示重复上一个命令
l 函数名(这样就可以在对应的源函数中打断点) 或者 l 地址
2. b 命令(break)用于设置断点; b + 函数名, b + 行号
3. c 命令用于运行到断点处,输入 c 命令程序就会运行,直到下一个断点处
4. s 命令(step)是单步运行执行,此函数会进入到函数里面
5. n 命令(next)也是单步运行,但是 n 命令不会进入到函数里面
6. p 命令(print)用于打印某个变量值
7. q 命令(quit)用于退出调试,开发板上的 gdbserver 也会停止
2. VSCode + gdbserver图形化调试
a. VSCode设置
- 给 VScode 安装远程调试插件“Remote Development”,点击“调试”->“添加配置”,然后
选择“C++(GDB/LLDB)”选项- 会在当前文件夹新建一个名为“launch.json”的文件,此文件会存放在.vscode 目录下
- 配置launch.json文件
b. VScode调试方法
- (开发板)gdbserver 192.168.2.15(主机IP):2001 gdbtest //启动开发板上的 gdbserver
- 通过 VSCode 图形界面调试
3. strace显示用户空间发出的系统调用
a. 编译与移植
- strace源码下载
- 编译与移植步骤
tar -xjf strace-4.5.15.tar.bz2 cd strace-4.5.15/ patch -p1 <../strace-fix-arm-bad-syscall.patch ./configure --host=arm-linux CC=arm-linux-gnueabihf-gcc make cp strace /usr/bin/ #复制到开发板板的 /usr/bin
b. 使用方法
insmod dri.ko
strace -o log.txt ./test /dev/xyz0
strace -o log.txt rmmod dri # 也可以直接跟踪模块
#-t加入秒的时标, -tt为ms的时标
#具体内容查看log.txt文件
4. oops找出段错误发生的位置
- 段错误的发生,一般是由于内存操作不当导致的,如指针的分配和回收
- 栈的溢出和堆的不合理分配,通常也会导致段错误的发生
- oops详细的使用流程比较复杂
驱动程序调试
1. 使用printk函数
最简单的方法是通过 printk 打印变量或者寄存器的地址和值,printk函数中可以使用附加不同的日志级别或消息优先级,如下例子:
printk(KERN_DEBUG “Here is :%s: %i \n”,__FILE,__LINE__);
上述例子中宏KERN_DEBUG和后面的“之间没有逗号,因为宏实际是字符串,在编译时会由编译器将它和后面的文本拼接在一起。在头文件
#define KERN_EMERG "<0>" /* system is unusable */
#define KERN_ALERT "<1>" /* action must be taken immediately*/
#define KERN_CRIT "<2>" /* critical conditions */
#define KERN_ERR "<3>" /* error conditions */
#define KERN_WARNING "<4>" /* warning conditions */
#define KERN_NOTICE "<5>" /* normal but significant condition */
#define KERN_INFO "<6>" /* informational */
#define KERN_DEBUG "<7>" /* debug-level messages */
//未指定优先级的默认级别定义在/kernel/printk.c中:
#define DEFAULT_MESSAGE_LOGLEVEL 4 /* KERN_WARNING */
只有当优先级的值小于console_loglevel这个整数变量的值,信息才能显示出来。而console_loglevel的初始值DEFAULT_CONSOLE_LOGLEVEL也定义在/kernel/printk.c中。不够打印级别的信息会被写到日志中通过 dmesg 命令来查看。
#define DEFAULT_CONSOLE_LOGLEVEL 7 /* anything MORE serious than KERN_DEBUG */
通过对/proc/sys/kernel/printk的访问来改变console_loglevel的值:
cat /proc/sys/kernel/printk #查看当前控制台的打印级别
echo "新的打印级别 4 1 7" >/proc/sys/kernel/printk
#四个数字的含义:当前的loglevel、默认loglevel、最小允许的loglevel、引导时的默认loglevel
自己写一个驱动去读写寄存器的值,这个想法有点意思
2. oops查看消息
参考博客:
https://blog.csdn.net/caijp1090/article/details/7471862
oops 意为“惊讶”,kernel的一种特殊称呼。当你的驱动有问题,内核不惊讶才怪。
oops根据 faulty.c 编译出faulty.ko,并 insmod faulty.ko。执行echo yang >/dev/faulty,结果内核就惊讶了。内核为什么会惊讶呢?因为faulty驱动的write函数执行了*(int *)0 = 0,向内存0地址写入,这是内核绝对不会容许的。
52 ssize_t faulty_write (struct file *filp, const char __user *buf, size_t count,
53 loff_t *pos)
54 {
55 /* make a simple fault by dereferencing a NULL pointer */
56 *(int *)0 = 0;
57 return 0;
58 }
/
1 Unable to handle kernel NULL pointer dereference at virtual address 00000000
2 pgd = c3894000
3 [00000000] *pgd=33830031, *pte=00000000, *ppte=00000000
4 Internal error: Oops: 817 [#1] PREEMPT
5 Modules linked in: faulty scull
6 CPU: 0 Not tainted (2.6.22.6 #4)
7 PC is at faulty_write+0×10/0×18 [faulty]
8 LR is at vfs_write+0xc4/0×148
9 pc : [<bf00608c>] lr : [<c0088eb8>] psr: a0000013
10 sp : c3871f44 ip : c3871f54 fp : c3871f50
11 r10: 4021765c r9 : c3870000 r8 : 00000000
12 r7 : 00000004 r6 : c3871f78 r5 : 40016000 r4 : c38e5160
13 r3 : c3871f78 r2 : 00000004 r1 : 40016000 r0 : 00000000
14 Flags: NzCv IRQs on FIQs on Mode SVC_32 Segment user
15 Control: c000717f Table: 33894000 DAC: 00000015
16 Process sh (pid: 745, stack limit = 0xc3870258)
17 Stack: (0xc3871f44 to 0xc3872000)
18 1f40: c3871f74 c3871f54 c0088eb8 bf00608c 00000004 c38e5180 c38e5160
19 1f60: c3871f78 00000000 c3871fa4 c3871f78 c0088ffc c0088e04 00000000 00000000
20 1f80: 00000000 00000004 40016000 40215730 00000004 c002c0e4 00000000 c3871fa8
21 1fa0: c002bf40 c0088fc0 00000004 40016000 00000001 40016000 00000004 00000000
22 1fc0: 00000004 40016000 40215730 00000004 00000001 00000000 4021765c 00000000
23 1fe0: 00000000 bea60964 0000266c 401adb40 60000010 00000001 00000000 00000000
24 Backtrace:
25 [<bf00607c>] (faulty_write+0×0/0×18 [faulty]) from [<c0088eb8>] (vfs_write+0xc4/0×148)
26 [<c0088df4>] (vfs_write+0×0/0×148) from [<c0088ffc>] (sys_write+0x4c/0×74)
27 r7:00000000 r6:c3871f78 r5:c38e5160 r4:c38e5180
28 [<c0088fb0>] (sys_write+0×0/0×74) from [<c002bf40>] (ret_fast_syscall+0×0/0x2c)
29 r8:c002c0e4 r7:00000004 r6:40215730 r5:40016000 r4:00000004
30 Code: e1a0c00d e92dd800 e24cb004 e3a00000 (e5800000)
- 1行惊讶的原因,也就是报告出错的原因;
- 2-4行是OOP信息序号;
- 5行是出错时内核已加载模块;
- 6行是发生错误的CPU序号;
- 7-15行是发生错误的位置,以及当时CPU各个寄存器的值,这最有利于我们找出问题所在地;
- 16行是当前进程的名字及进程ID
- 17-23行是出错时,栈内的内容
- 24-29行是栈回溯信息,可看出直到出错时的函数递进调用关系(确保>- CONFIG_FRAME_POINTER被定义)
- 30行是出错指令及其附近指令的机器码,出错指令本身在小括号中
反汇编 faulty.ko(arm-linux-gnueabihf-objdump -D faulty.ko > faulty.dis )可以看到如下的语句如下:
0000007c <faulty_write>:
7c: e1a0c00d mov ip, sp
80: e92dd800 stmdb sp!, {fp, ip, lr, pc}
84: e24cb004 sub fp, ip, #4 ; 0×4
88: e3a00000 mov r0, #0 ; 0×0
8c: e5800000 str r0, [r0]
90: e89da800 ldmia sp, {fp, sp, pc}
/
//定位出错位置以及获取相关信息的过程:
9 pc : [<bf00608c>] lr : [<c0088eb8>] psr: a0000013
25 [<bf00607c>] (faulty_write+0×0/0×18 [faulty]) from [<c0088eb8>] (vfs_write+0xc4/0×148)
26 [<c0088df4>] (vfs_write+0×0/0×148) from [<c0088ffc>] (sys_write+0x4c/0×74)
出错代码是faulty_write函数中的第5条指令((0xbf00608c-0xbf00607c)/4+1=5),该函数的首地址是0xbf00607c,该函数总共6条指令(0×18),该函数是被0xc0088eb8的前一条指令调用的(即:函数返回地址是0xc0088eb8。这一点可以从出错时lr的值正好等于0xc0088eb8得到印证)。调用该函数的指令是vfs_write的第49条(0xc4/4=49)指令。
达到出错处的函数调用流程是:write(用户空间的系统调用)–>sys_write–>vfs_write–>faulty_write
执行 cat /dev/faulty,内核又再一次惊讶:
1 Unable to handle kernel NULL pointer dereference at virtual address 0000000b
2 pgd = c3a88000
3 [0000000b] *pgd=33a79031, *pte=00000000, *ppte=00000000
4 Internal error: Oops: 13 [#2] PREEMPT
5 Modules linked in: faulty
6 CPU: 0 Not tainted (2.6.22.6 #4)
7 PC is at vfs_read+0xe0/0×140
8 LR is at 0xffffffff
9 pc : [] lr : [ ] psr: 20000013
10 sp : c38d9f54 ip : 0000001c fp : ffffffff
11 r10: 00000001 r9 : c38d8000 r8 : 00000000
12 r7 : 00000004 r6 : ffffffff r5 : ffffffff r4 : ffffffff
13 r3 : ffffffff r2 : 00000000 r1 : c38d9f38 r0 : 00000004
14 Flags: nzCv IRQs on FIQs on Mode SVC_32 Segment user
15 Control: c000717f Table: 33a88000 DAC: 00000015
16 Process cat (pid: 767, stack limit = 0xc38d8258)
17 Stack: (0xc38d9f54 to 0xc38da000)
18 9f40: 00002000 c3c105a0 c3c10580
19 9f60: c38d9f78 00000000 c38d9fa4 c38d9f78 c0088f88 c0088bb4 00000000 00000000
20 9f80: 00000000 00002000 bef07c80 00000003 00000003 c002c0e4 00000000 c38d9fa8
21 9fa0: c002bf40 c0088f4c 00002000 bef07c80 00000003 bef07c80 00002000 00000000
22 9fc0: 00002000 bef07c80 00000003 00000000 00000000 00000001 00000001 00000003
23 9fe0: 00000000 bef07c6c 0000266c 401adab0 60000010 00000003 00000000 00000000
24 Backtrace: invalid frame pointer 0xffffffff
25 Code: ebffff86 e3500000 e1a07000 da000015 (e594500c)
26 Segmentation fault
不过这次惊讶却令人大为不解。oops竟然说出错的地方在vfs_read(要知道它可是大拿们千锤百炼的内核代码),这怎么可能?哈哈,万能的内核也不能追踪函数调用栈了,这是为什么?其实问题出在faulty_read的43行,它导致入栈的r4、r5、r6、fp全部变为了0xffffffff,ip、lr的值未变,这样一来faulty_read函数能够成功返回到它的调用者——vfs_read。 但是可怜的vfs_read(忠实的APTCS规则遵守者)并不知道它的r4、r5、r6已经被万恶的faulty_read改变,这样下去vfs_read命运就可想而知了——必死无疑!虽然内核很有能力,但缺少了正确的fp的帮助,它也无法追踪函数调用栈。
36 ssize_t faulty_read(struct file *filp, char __user *buf,
37 size_t count, loff_t *pos)
38 {
39 int ret;
40 char stack_buf[4];
41
42 /* Let’s try a buffer overflow */
43 memset(stack_buf, 0xff, 20); //出错
44 if (count > 4)
45 count = 4; /* copy 4 bytes to the user */
46 ret = copy_to_user(buf, stack_buf, count);
47 if (!ret)
48 return count;
49 return ret;
50 }
/
00000000 <faulty_read>:
0: e1a0c00d mov ip, sp
4: e92dd870 stmdb sp!, {r4, r5, r6, fp, ip, lr, pc}
8: e24cb004 sub fp, ip, #4 ; 0×4
c: e24dd004 sub sp, sp, #4 ; 0×4,这里为stack_buf[]在栈上分配1个字的空间,局部变量ret使用寄存器存储,因此就不在栈上分配空间了
10: e24b501c sub r5, fp, #28 ; 0x1c
14: e1a04001 mov r4, r1
18: e1a06002 mov r6, r2
1c: e3a010ff mov r1, #255 ; 0xff
20: e3a02014 mov r2, #20 ; 0×14
24: e1a00005 mov r0, r5
28: ebfffffe bl 28 <faulty_read+0×28> //这里在调用memset
78: e89da878 ldmia sp, {r3, r4, r5, r6, fp, sp, pc}
总结:
- 内核能力超强,但它不是,也不可能是万能的。所以即使你能力再强,也要和你的team member搞好关系,否则在关键时候你会倒霉的;
- 出错的是faulty_read,vfs_read却做了替罪羊。所以人不要被表面现象所迷惑,要深入看本质;
- 内核本来超级健壮,可是你写的驱动是内核的组成部分,由于它出错,结果整体崩盘。所以当你加入一个团队的时候一定要告诫自己,虽然你的角色也许并不重要,但你的疏忽大意将足以令整个非常牛X的团队崩盘。反过来说,当你是team leader的时候,在选团队成员的时候一定要慎重、慎重、再慎重,即使他只是一个小角色。
- 千万别惹堆栈,它一旦出问题,定位错误将会是一件非常困难的事情。所以,千万别惹你的领导,否则你将死得很难看。
3. /proc 和 sysfs文件系统,或者 ioctl 系统调用
/proc 虚拟文件系统,内核可利用它向外输出信息。/proc目录下的每一个文件都被绑定到一个内核函数,这个函数在此文件被读取时,动态地生成文件的内容。典型的例子就是ps、top命令就是通过读取/proc下的文件来获取他们需要的信息。
sysfs是一个基于ram的内存文件系统(ramfs)。它提供了一种方法用于导出内核数据结构,属性,以及它们两者之间的联系到用户空间。
ioctl系统调用会调用驱动的ioctl方法,我们可以通过设置不同的命名号来编写一些测试函数,使用ioctl系统调用在用户级调用这些函数进行调试。