本篇文章介绍 Intel 处理器的LBR指令追踪功能,通过该功能可以从硬件层面获取CPU执行的指令信息,原理和流程大致如下:
CPUID
指令读取处理器的各种标识和特性信息,判断是否支持硬件调试功能,rdmsr
/ wrmsr
指令是否可用;wrmsr
指令设置 IA32_DEBUGCTL MSR
寄存器,开启LBR功能;rdmsr
指令读取 IA32_DEBUGCTL MSR
寄存器,获取跳转指令信息;下面我们将对这几个方能进行更加详细的介绍。
该指令可以从读取处理器的各种标识和特性信息(比如:CPU型号和支持的功能),并将指令执行完后返回的信息保存在 EAX, EBX, ECX,和 EDX 寄存器中。
CPUID指令有两组功能:一组返回的是基本信息,另一组返回的是扩展信息。
该指令有一个输入参数(可能会有两个),该参数会传递给EAX(ECX)寄存器,一般情况下只输入一个参数,根据输入参数的不同,返回给EAX, EBX, ECX, and EDX寄存器的信息也不一样。简介如下:
针对不同的输入,返回结果如下:
这里我们重点关注EAX = 01H时,ECX,EDX返回的结果。
这里给出一个简单的应用程序来获取处理器厂商ID(vendor ID)和 family ,如下:
#include
#define X86_VENDOR_INTEL 0
#define X86_VENDOR_AMD 1
#define X86_VENDOR_UNKNOWN 2
#define QCHAR(a, b, c, d) ((a) + ((b) << 8) + ((c) << 16) + ((d) << 24))
#define CPUID_INTEL1 QCHAR('G', 'e', 'n', 'u')
#define CPUID_INTEL2 QCHAR('i', 'n', 'e', 'I')
#define CPUID_INTEL3 QCHAR('n', 't', 'e', 'l')
#define CPUID_AMD1 QCHAR('A', 'u', 't', 'h')
#define CPUID_AMD2 QCHAR('e', 'n', 't', 'i')
#define CPUID_AMD3 QCHAR('c', 'A', 'M', 'D')
#define CPUID_IS(a, b, c, ebx, ecx, edx) \
(!((ebx ^ (a))|(edx ^ (b))|(ecx ^ (c))))
static inline void cpuid(int op, unsigned int *eax, unsigned int *ebx,
unsigned int *ecx, unsigned int *edx)
{
asm volatile("cpuid" //asm 表示内核汇编,执行cpuid指令, volatile 表示告诉gcc编译器不要优化代码
: "=a" (*eax), //第一个冒号后面: 是输出参数。
"=b" (*ebx), //输出操作数约束应该带有一个约束修饰符 "=",指定它是输出操作数
"=c" (*ecx),
"=d" (*edx)
: "0" (*eax) //第二个冒号后面: 是输入参数 Intel手册也说明ecx有时候也作为输入参数
: "memory");
}
static int x86_vendor(void)
{
unsigned eax = 0x00000000;
unsigned ebx, ecx = 0, edx;
cpuid(0, &eax, &ebx, &ecx, &edx);
if (CPUID_IS(CPUID_INTEL1, CPUID_INTEL2, CPUID_INTEL3, ebx, ecx, edx))
printf("GenuineIntel\n");
return X86_VENDOR_INTEL;
if (CPUID_IS(CPUID_AMD1, CPUID_AMD2, CPUID_AMD3, ebx, ecx, edx))
printf("AuthenticAMD\n");
return X86_VENDOR_AMD;
return X86_VENDOR_UNKNOWN;
}
static int x86_family(void)
{
unsigned eax = 0x00000001;
unsigned ebx, ecx = 0, edx;
int x86;
cpuid(1, &eax, &ebx, &ecx, &edx);
x86 = (eax >> 8) & 0xf;
if (x86 == 15)
x86 += (eax >> 20) & 0xff;
return x86;
}
int main()
{
unsigned int eax = 0;
unsigned int ebx = 0;
unsigned int ecx = 0;
unsigned int edx = 0;
cpuid(0, &eax, &ebx, &ecx, &edx);
printf("EBX ← %x (“Genu”)EDX ← %x (“ineI”) ECX ← %x (“ntel”)\n", ebx, edx ,ecx);
int vendor = x86_vendor();
int family = x86_family();
printf("%d %d \n", vendor, family);
return 0;
}
执行结果如下:
该结果与Intel软件发开者手册一致。
使用lscpu
命令也可以看到Vendor ID
和CPU family
信息。
除了在应用层通过汇编指令调用cpuid指令外,还可以在内核模块直接调用cpuid函数接口
该接口定义在arch/x86/include/asm/processor.h
(内核版本3.10.0)中:
/*
* Generic CPUID function
* clear %ecx since some cpus (Cyrix MII) do not set or clear %ecx
* resulting in stale register contents being returned.
*/
static inline void cpuid(unsigned int op,
unsigned int *eax, unsigned int *ebx,
unsigned int *ecx, unsigned int *edx)
{
*eax = op;
*ecx = 0;
__cpuid(eax, ebx, ecx, edx);
}
#define __cpuid native_cpuid
static inline void native_cpuid(unsigned int *eax, unsigned int *ebx,
unsigned int *ecx, unsigned int *edx)
{
/* ecx is often an input as well as an output. */
asm volatile("cpuid"
: "=a" (*eax),
"=b" (*ebx),
"=c" (*ecx),
"=d" (*edx)
: "0" (*eax), "2" (*ecx)
: "memory");
}
通过一个简单的模块测试cpuid指令:
#include
#include
//内核模块初始化函数
static int __init lkm_init(void)
{
unsigned int eax = 0;
unsigned int ebx = 0;
unsigned int ecx = 0;
unsigned int edx = 0;
cpuid(0, &eax, &ebx, &ecx, &edx);
printk("EBX:%xh(“Genu”) EDX:%xh(“ineI”) ECX:%xh(“ntel”)\n", ebx, edx ,ecx);
return 0;
}
//内核模块退出函数
static void __exit lkm_exit(void)
{
printk(KERN_DEBUG "exit\n");
}
module_init(lkm_init);
module_exit(lkm_exit);
MODULE_LICENSE("GPL");
Makefile文件:
obj-m := kcpuid.o
all:
make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
clean:
make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean
MSR(Model Specific Register)是x86架构中的概念,指的是在x86架构处理器中,一系列用于控制CPU运行、功能开关、调试、跟踪程序执行、监测CPU性能等方面的寄存器。
不同的CPU型号或不同的CPU厂商(Intel&AMD),它的MSR寄存器可能是不一样的,它会根据具体的CPU型号的变化而变化,每款新的CPU都有可能引入新的MSR寄存器。
在前面我们提到,通过CPUID可以查询当前CPU是否支持RDMSR,WRMSR指令,而这两条指令正是Intel处理器提供用来读取/写入 MSR寄存器中数据的。
这两条指令必须在 privilege level 0(linux中的内核态)或实模式下执行:
而在linux内核提供了两个接口,位于arch/x86/include/asm/msr.h
文件中:
A32_DEBUGCTL 寄存器其地址为 01D9H(不同的CPU family名字可能会不一样,比如MSR_DEBUGCTLA, MSR_DEBUGCTLB),可以用来调试,跟踪中断、LBR、BTS等等。
下面介绍几个较重要的位:
因此可以通过这两bit BTS_OFF_OS/BTS_OFF_USR 来设置是获取用户态的分支跳转指令还是内核态的分支跳转指令。
CPL:Current Privilege Level,该值为0代表最高优先级,该值为3代表最低优先级,linux 中,0为内核态,3为用户态。
到这里我们已经介绍了如何查看CPU特性,什么是MSR寄存器,如何操作MSR寄存器,以及IA32_DEBUGCTL
这个专门负责调试的MSR寄存器,下面我们讲进一步介绍IA32_DEBUGCTL
寄存器中LRB功能,并给出一个利用LBR功能获取CPU中跳转指令数据的脚本程序。
在 IA32_DEBUGCTL MSR
寄存器的bit0被设置后,处理器开始自动记录 产生的分支,中断,异常等branch records,并存储在 LBR stack MSRs中。下面来介绍下 LBR stack与 TOS Pointer
在使用LBR stack记录分支信息时,TOS寄存器指示stack当前位置. 从而可以从LBR stack中正确读取分支记录.
从下表可以看出,LBR堆栈中msr的个数和TOS指针值的有效范围对于不同的处理器家族中会有所不同。
LBR msr是64位的寄存器。在64位模式下, last branch records存储完整地址。32位模式下,高32位置0,低32为存储最近分支记录。
MSR_LASTBRANCH_0_FROM_IP — (N-1) MSR address 存储分支记录源地址
MSR_LASTBRANCH_0_TO_IP — (N-1) MSR address 存储分支记录目的地址
(1)查询LBR stack存储格式 :IA32_PERF_CAPABILITIES MSR (调用rdmsrl)
(2)开启LBR功能,设置 IA32_DEBUGCTL MSR寄存的 bit0 = 1 (调用wrmsrl)
(3) 读取TOS指针位置 (调用rdmsrl)
读取 MSR_LASTBRANCH_TOS 寄存器 ,请参考 Intel vol4
(4) 读取LBR stack寄存器 (调用rdmsrl)
读取 MSR_LASTBRANCH_x_FROM_IP / MSR_LASTBRANCH_x_TO_IP 寄存器 ,请参考 Intel vol4
LBR的优点:分支记录存储在寄存器中,几乎没有性能开销。
LBR的缺点:寄存器组数量有限,这样我们保存的分支记录也有限。
实验平台:
Intel x86_64、centos 7.8
注意是在物理机上实验,虚拟机不支持LBR。
这里我为了简单起见,采用shell脚本来进行代码演示,用来捕获用户态的代码执行流的记录。
这里是一个最简单的while循环demo,这个dmeo将会产生许多的jmp指令。
#include
int main()
{
int i = 0;
while(1) {
i++;
}
return 0;
}
让我们来看看其二进制反汇编代码,objdump -d a.out:
从反汇编我们可以看出while循环一直在执行jmp指令,产生的跳转记录如下:
{From : 4004fc , to : 4004f8} //jmp指令
在这里我通过msr-tools工具包在linux shell命令上来读取或写MSR寄存器值。
下载地址有两个,我选择的是下面的一个:
https://pkgs.org/download/msr-tools
https://mirrors.edge.kernel.org/pub/linux/utils/cpu/msr-tools/
taskset 用于在给定 PID 的情况下设置或读取正在运行的进程的 CPU 亲和性或者启动一个新的进程时设置其 CPU亲和性。CPU 亲和性是一种调度程序属性,它将进程“绑定”到系统上给定的一组 CPU上。Linux 调度程序将遵循给定的 CPU 亲和性,并且该进程不会在任何其他 CPU 上运行
我这里主要是用来把给定的进程指定在某个cpu上工作。
(1)运行a.out程序时,将该进程绑定在CPU 1上运行
taskset -c 1 ./a.out
(2)获取a.out进程运行在哪个CPU上:
taskset -p 进程号
查询当前CPU与LBR有关的MSR寄存器地址
可以通过cpuid指令获取CPU的DF_DM,我这里直接通过lscpu命令查看:
根据DF_DM查询Intel手册:
MSR_IA32_DEBUGCTL 寄存器的地址 0x1D9
MSR_LBR_TOS寄存器的地址:0x1C9
MSR_LBR_SELECT寄存器的地址:0x1C8
支持32对 FROM TO 记录:
MSR_LASTBRANCH_0_FROM_IP - MSR_LASTBRANCH_31_FROM_IP:0x680 - 0x69F
MSR_LASTBRANCH_0_TO_IP - MSR_LASTBRANCH_31_TO_IP:0x6C0 - 0x6DF
# Model Specific Registers address
MSR_LASTBRANCH_0_FROM_IP=680
MSR_LASTBRANCH_0_TO_IP=6C0
MSR_IA32_DEBUGCTL=1D9
MSR_LBR_TOS=1C9
MSR_LBR_SELECT=1C8
# Define ADDR_FROM and ADDR_FROM Var
ADDR_FROM=$MSR_LASTBRANCH_0_FROM_IP
ADDR_TO=$MSR_LASTBRANCH_0_TO_IP
# Configuration
CORE=1 # Run the target workload on core 1 (taskset -c 1 process)
N_LBR=32 # Number of LBR records
# enable MSR kernel module
sudo modprobe msr
# enable LBR
sudo ./wrmsr -p ${CORE} 0x${MSR_IA32_DEBUGCTL} 0x1
# do not capture branches in ring 0
sudo ./wrmsr -p ${CORE} 0x${MSR_LBR_SELECT} 0x1
# wait a bit for the workload to issue enough branches
sleep 0.1
# read all LBR records
for i in `seq 1 ${N_LBR}`;
#for(( i = 0; i < ${N_LBR}; i++))
do
echo "LBR record : $i"
echo -n 0x$ADDR_FROM
echo -n ", from address: "
sudo ./rdmsr -p ${CORE} 0x${ADDR_FROM}
echo -n 0x$ADDR_TO
echo -n ", to address: "
sudo ./rdmsr -p ${CORE} 0x${ADDR_TO}
# increament ADDR_FROM (in hex) by 1
ADDR_FROM=`echo "obase=16; ibase=16; ${ADDR_FROM} + 1;" | bc`
# increament ADDR_TO (in hex) by 1
ADDR_TO=`echo "obase=16; ibase=16; ${ADDR_TO} + 1;" | bc`
done
(1)设置进程CPU亲和性:
taskset -c 1 ./demo &
1:表示CPU1(运行在第二个CPU上)。
22896 :表示进程的PID号。
(2)运行shell脚本,查看结果:
可见获取到了用户态程序的控制执行流程,并与预期一致:
{From : 4004fc , to : 4004f8} //jmp指令
参考资料