转载自:http://linux.cn/article-3475-1.html

在工作中经常会遇到一些内核crash的情况,本文就是根据内核出现crash后的打印信息,对其进行了分析,使用的内核版本为:Linux2.6.32。

每一个进程的生命周期内,其生命周期的范围为几毫秒到几个月。一般都是和内核有交互,例如用户空间程序使用系统调用进入内核空间。这时使用的不再是用户空 间的栈空间,使用对应的内核栈空间。对每一个进程来说,Linux内核都会把两个不同的数据结构紧凑的存放在一个单独为进程分配的存储空间中:一个是内核 态的进程堆栈,另一个是紧挨进程描述符的数据结构thread_info,叫线程描述符。内核的堆栈大小一般为8KB,也就是8192个字节,占用两个 页。在Linux-2.6.32内核中thread_info.h文件中有对内核堆栈的定义:

  1. #define THREAD_SIZE 8192

在Linux内核中使用下面的联合结构体表示一个进程的线程描述符和内核栈,在内核中文件include/linux/sched.h。

  1.     union thread_union {
  2.     struct thread_info thread_info;
  3.     unsigned long stack[THREAD_SIZE/sizeof(long)];
  4.     };

该结构是一个联合体,我们在C语言书上看到过关于union的解释,在在C Programming Language 一书中对于联合体是这么描述的:

1) 联合体是一个结构;

2) 它的所有成员相对于基地址的偏移量都为0;

3) 此结构空间要大到足够容纳最"宽"的成员;

4) 其对齐方式要适合其中所有的成员;

通过上面的描述可知,thread_union结构体的大小为8192个字节。也就是stack数组的大小,类型是unsigned long类 型。由于联合体中的成员变量都是占用同一块内存区域,所以,在平时写代码时总有一个概念,对一个联合体的实例只能使用其中一个成员变量,否则会把原先变量 给覆盖掉,这句话如果正确的话,必须要有一个前提假设,成员占用的字节数相同,当成员所占的字节数不同时,只会覆盖相应的字节。对于 thread_union联合体,我们是可以同时访问这两个成员,只要能够正确获取到两个成员变量的地址。

在内核中的某一个进程使用了过多的栈空间时,内核栈就会溢出到thread_info部分,这将导致严重的问题(系统重启),例如,递归调用的层次太深;在函数内定义的数据结构太大。

图:进程中thread_info    task_struct和内核栈中的关系

下面我们看一下thread_info的结构体:

  1.     struct thread_info {
  2.     unsigned long flags; /* 底层标志,*/
  3.     int preempt_count; /* 0 => 可抢占, <0 => bug */
  4.     mm_segment_t addr_limit; /* 进程地址空间 */
  5.     struct task_struct *task; /*当前进程的task_struct指针 */
  6.     struct exec_domain *exec_domain; /*执行区间 */
  7.     __u32 cpu; /* 当前cpu */
  8.     __u32 cpu_domain; /* cpu domain */
  9.     struct cpu_context_save cpu_context; /* cpu context */
  10.     __u32 syscall; /* syscall number */
  11.     __u8 used_cp[]; /* thread used copro */
  12.     unsigned long tp_value;
  13.  
  14.     struct crunch_state crunchstate;
  15.  
  16.     union fp_state fpstate __attribute__((aligned()));
  17.     union vfp_state vfpstate;
  18.     #ifdef CONFIG_ARM_THUMBEE
  19.     unsigned long thumbee_state; /* ThumbEE Handler Base register */
  20.     #endif
  21.     struct restart_block restart_block; /*用于实现信号机制*/
  22.     };

PS:(1)flag 用于保存各种特定的进程标志,最重要的两个是:TIF_SIGPENDING,如果进程有待处理的信号就置位,TIF_NEED_RESCHED表示进程应该需要调度器选择另一个进程替换本进程执行。

结合上面的知识,看下当内核打印堆栈信息时,都打印了上面信息。下面的打印信息是工作中遇到的一种情况,打印了内核的堆栈信息,PC指针在 dev_get_by_flags中,不能访问的内核虚地址为45685516,内核中一般可访问的地址都是以0xCXXXXXXX开头的地址。

  1.     Unable to handle kernel paging request at virtual address
  2.     pgd = c65a4000
  3.     [] *pgd=
  4.     Internal error: Oops:  [#]
  5.     last sysfs file: /sys/devices/form/tpm/cfg_l3/l3_rule_add
  6.     Modules linked in: splic mmp(P)
  7.     CPU:  Tainted: P (2.6.32.11 #)
  8.     PC is at dev_get_by_flags+0xfc/0x140
  9.     LR is at dev_get_by_flags+0xe8/0x140
  10.     pc : [<c06bee24>] lr : [<c06bee10>] psr:
  11.     sp : c07e9c28 ip :  fp : c07e9c64
  12.     r10: c6bcc560 r9 : c646a220 r8 : c66a0000
  13.     r7 : c6a00000 r6 : c0204e56 r5 :  r4 :
  14.     r3 :  r2 :  r1 : c0204e56 r0 : ffffffff
  15.     Flags: nzCv IRQs on FIQs on Mode SVC_32 ISA ARM Segment kernel
  16.     Control: 0005397f Table: 065a4000 DAC:
  17.     Process swapper (pid: , stack limit = 0xc07e8270)
  18.     Stack: (0xc07e9c28 to 0xc07ea000)
  19.     9c20: c0204e56 c6a00000  c69ffff0 c69ffff0 c69ffff0
  20.     9c40: c6a00000  c66a0000 c6a00000  c64b210c c07e9d24 c07e9c68
  21.     9c60: c071f764 c06bed38 c66a0000 c66a0000 c6a00000 c6a00000 c66a0000 c6a00000
  22.     9c80: c07e9cfc c07e9c90 c03350d4 c0334b2c    c64b2104
  23.     9ca0: 0000c4fb c0243ece c66a0000 c0beed04 c033436c c646a220 c07e9cf4
  24.     9cc0: c66a0000  c0bee8e8 c0beed04 c07e9d24 c07e9ce0 c06e4f5c 00004c68
  25.     9ce0:  faa9fea9 faa9fea9   c6bcc560 c0335138 c646a220
  26.     9d00: c66a0000 c64b2104 c085ffbc c66a0000 c0bee8e8  c07e9d54 c07e9d28
  27.     9d20: c071f9a0 c071ebc0  c071ebb0   c67fb460 c646a220
  28.     9d40: c0bee8c8  c07e9d94 c07e9d58 c002a100 c071f84c c0029bb8
  29.     9d60: c07e9d84 c0beee0c c0335138 c66a0000 c646a220  c4959800 c4959800
  30.     9d80: c67fb460  c07e9dc4 c07e9d98 c078f0f4 c0029bc8  c0029bb8
  31.     9da0:  c07e9dbc c6b8d340 c66a0520  c646a220 c07e9dec c07e9dc8
  32.     9dc0: c078f450 c078effc  c67fb460 c6b8d340  c67fb460 c64b20f2
  33.     9de0: c07e9e24 c07e9df0 c078fb60 c078f130  c078f120  c0029a94
  34.     9e00:  c6b8d340 c0bee818   c4959800 c07e9e64 c07e9e28
  35.     9e20: c002a030 c078f804 c64b2070  c64b2078 ffc45000 c64b20c2 c085c2dc
  36.     9e40:  c085c2c0  c0817398 00086c2e c085c2c4 c07e9e9c c07e9e68
  37.     9e60: c06c2684 c0029bc8    c085c2dc c085c2c0
  38.     9e80: 0000012c  c085c2d0 c0bee818 c07e9ed4 c07e9ea0 c00284e0 c06c2608
  39.     9ea0: bf00da5c 00086c30   c097e7d4 c07e8000  c08162d8
  40.     9ec0:  c097e7a0 c07e9f14 c07e9ed8 c00283d0 c0028478  00023c88
  41.     9ee0: c07e9f0c  c08187ac    c07ebc70 00023cbc
  42.     9f00:  00023c88 c07e9f24 c07e9f18 c03391e8 c0028348 c07e9f3c c07e9f28
  43.     9f20: c0028070 c03391b0 ffffffff 0000001f c07e9f94 c07e9f40 c002d4d0 c0028010
  44.     9f40:   c07e9f88  c07e8000 c07ebc78 c0868784 c07ebc70
  45.     9f60: 00023cbc  00023c88 c07e9f94 c07e9f98 c07e9f88 c025c3e4 c025c3f4
  46.     9f80:  ffffffff c07e9fb4 c07e9f98 c025c578 c025c3cc  c0981204
  47.     9fa0: c0025ca0 c0d01140 c07e9fc4 c07e9fb8 c0032094 c025c528 c07e9ff4 c07e9fc8
  48.     9fc0: c0008918 c0032048 c0008388   c0025ca0
  49.     9fe0: c0868834 c00260a4  c07e9ff8  c0008708
  50.     Backtrace:
  51.     [<c06bed28>] (dev_get_by_flags+0x0/0x140) from [<c071f764>] (arp_process+0xbb4/0xc74)
  52.     r7:c64b210c r6: r5:c6a00000 r4:c66a0000

(1)首先,看看这段堆栈信息是在内核中那个文件中打印出来的,在fault.c文件中,__do_kernel_fault函数,在上面的打印中 Unable to handle kernel paging request at virtual address 45685516,该地址是内核空间不可访问的地址。

  1.     static void __do_kernel_fault(struct mm_struct *mm, unsigned long addr, unsigned int fsr, struct pt_regs *regs)
  2.     {
  3.     /*
  4.     * Are we prepared to handle this kernel fault?
  5.     */
  6.     if (fixup_exception(regs))
  7.     return;
  8.     /*
  9.     * No handler, we'll have to terminate things with extreme prejudice.
  10.     */
  11.     bust_spinlocks();
  12.     printk(KERN_ALERT
  13.     "Unable to handle kernel %s at virtual address %08lx\n",
  14.     (addr < PAGE_SIZE) ? "NULL pointer dereference" :"paging request", addr);
  15.     show_pte(mm, addr);
  16.     die("Oops", regs, fsr);
  17.     bust_spinlocks();
  18.     do_exit(SIGKILL);
  19.     }

(2) 对于下面的两个信息,在函数show_pte中进行了打印,下面的打印涉及到了页全局目录,页表的知识,暂时先不分析,后续补上。

  1.     pgd = c65a4000
  2.     [] *pgd=
  3.  
  4.     void show_pte(struct mm_struct *mm, unsigned long addr)
  5.     {
  6.     pgd_t *pgd;
  7.     if (!mm)
  8.     mm = &init_mm;
  9.     printk(KERN_ALERT "pgd = %p\n", mm->pgd);
  10.     pgd = pgd_offset(mm, addr);
  11.     printk(KERN_ALERT "[%08lx] *pgd=%08lx", addr, pgd_val(*pgd));
  12.     ……………………
  13.     }

(3) die函数中调用在die函数中取得thread_info结构体的地址。

  1.     struct thread_info *thread = current_thread_info();
  2.  
  3.     static inline struct thread_info *current_thread_info(void){
  4.     register unsigned long sp asm ("sp");
  5.     return (struct thread_info *)(sp & ~(THREAD_SIZE - ));
  6.     }

Sp: 0xc07e9c28    通过current_thread_info得到 thread_info的地址

(0xc07e9c28 & 0xffffe000) = 0xC07E8000(thread_info的地址,也就是栈底的地址)

(4)下面的打印信息在__die函数中打印

  1.     Internal error: Oops:  [#]
  2.     last sysfs file: /sys/devices/form/tpm/cfg_l2/l2_rule_add
  3.     Modules linked in: splic mmp(P)
  4.     CPU:  Tainted: P (2.6.32.11 #)
  5.     PC is at dev_get_by_flags+0xfc/0x140
  6.     LR is at dev_get_by_flags+0xe8/0x140
  7.     pc : [<c06bee24>] lr : [<c06bee10>] psr:
  8.     sp : c07e9c28 ip :  fp : c07e9c64
  9.     r10: c6bcc560 r9 : c646a220 r8 : c66a0000
  10.     r7 : c6a00000 r6 : c0204e56 r5 :  r4 :
  11.     r3 :  r2 :  r1 : c0204e56 r0 : ffffffff
  12.     Flags: nzCv IRQs on FIQs on Mode SVC_32 ISA ARM Segment kernel
  13.     Control: 0005397f Table: 065a4000 DAC:
  14.     Process swapper (pid: , stack limit = 0xc07e8270)
  15.     Stack: (0xc07e9c28 to 0xc07ea000)

函数的调用关系:die("Oops", regs, fsr);---à    __die(str, err, thread, regs);

下面是__die函数的定义:

  1.     static void __die(const char *str, int err, struct thread_info *thread, struct pt_regs *regs){
  2.     struct task_struct *tsk = thread->task;
  3.     static int die_counter;
  4.     /*Internal error: Oops: 1 [#1]*/
  5.     printk(KERN_EMERG "Internal error: %s: %x [#%d]" S_PREEMPT S_SMP "\n",
  6.     str, err, ++die_counter);
  7.     /*last sysfs file: /sys/devices/form/tpm/cfg_l2/l2_rule_add*/
  8.     sysfs_printk_last_file();
  9.     /*内核中加载的模块信息Modules linked in: splic mmp(P) */
  10.     print_modules();
  11.     /*打印寄存器信息*/
  12.     __show_regs(regs);
  13.     /*Process swapper (pid: 0, stack limit = 0xc07e8270) tsk->comm task_struct结构体中的comm表示的是除去路径后的可执行文件名称,这里的swapper为idle进程,进程号为0,创建内核进程init;其中stack limit = 0xc07e8270 指向thread_info的结束地址。*/
  14.     printk(KERN_EMERG "Process %.*s (pid: %d, stack limit = 0x%p)\n",
  15.     TASK_COMM_LEN, tsk->comm, task_pid_nr(tsk), thread + );
  16.     /* dump_mem 函数打印从栈顶到当前sp之间的内容*/
  17.     if (!user_mode(regs) || in_interrupt()) {
  18.     dump_mem(KERN_EMERG, "Stack: ", regs->ARM_sp, THREAD_SIZE + (unsigned long)task_stack_page(tsk));
  19.     dump_backtrace(regs, tsk);
  20.     dump_instr(KERN_EMERG, regs);
  21.     }
  22.     }

在上面的函数中,主要使用了thread_info,task_struct,sp之间的指向关系。task_struct结构体的成员stack是栈 底,也是对应thread_info结构体的地址。堆栈数据是从栈底+8K的地方开始向下存的。SP指向的是当前的栈顶。(unsigned long)task_stack_page(tsk),

#define task_stack_page(task)        ((task)->stack) ,该宏根据task_struct得到栈底,也就是thread_info地址。

#define task_thread_info(task)       ((struct thread_info *)(task)->stack),该宏根据task_struct得到thread_info指针。

(5)dump_backtrace函数

该函数用于打印函数的调用关系。Fp为帧指针,用于追溯程序的方式,方向跟踪调用函数。该函数主要是fp进行检查,看看能否进行backtrace,如果 可以就调用汇编的c_backtrace,在arch/arm/lib/backtrace.S函数中。

  1.     static void dump_backtrace(struct pt_regs *regs, struct task_struct *tsk)
  2.     {
  3.     unsigned int fp, mode;
  4.     int ok = ;
  5.     printk("Backtrace: ");
  6.     if (!tsk)
  7.     tsk = current;
  8.     if (regs) {
  9.     fp = regs->ARM_fp;
  10.     mode = processor_mode(regs);
  11.     } else if (tsk != current) {
  12.     fp = thread_saved_fp(tsk);
  13.     mode = 0x10;
  14.     } else {
  15.     asm("mov %0, fp" : "=r" (fp) : : "cc");
  16.     mode = 0x10;
  17.     }
  18.     if (!fp) {
  19.     printk("no frame pointer");
  20.     ok = ;
  21.     } else if (verify_stack(fp)) {
  22.     printk("invalid frame pointer 0x%08x", fp);
  23.     ok = ;
  24.     } else if (fp < (unsigned long)end_of_stack(tsk))
  25.     printk("frame pointer underflow");
  26.     printk("\n");
  27.     if (ok)
  28.     c_backtrace(fp, mode);
  29.     }

(6)dump_instr

根据PC指针和指令mode, 打印出当前执行的指令码

Code: 0a000008 e5944000 e2545000 0a000005 (e4153010)

内核中函数的调用关系

Linux内核Crash分析的更多相关文章

  1. Linux内核源代码分析方法

    Linux内核源代码分析方法   一.内核源代码之我见 Linux内核代码的庞大令不少人"望而生畏",也正由于如此,使得人们对Linux的了解仅处于泛泛的层次.假设想透析Linux ...

  2. 2019-2020-1 20199303 《Linux内核原理分析》 第一周作业

    2019-2020-1 20199303 <Linux内核原理分析> 第一周作业 1. 环境准备 在众多的Linux发行版中,Ubuntu,小红帽还有类Unix系统的BSD系统,我选择了目 ...

  3. Linux内核crash/Oops异常定位分析方法

    在内核开发的过程中,经常会碰到内核崩溃,比如空指针异常,内存访问越界.通常我们只能靠崩溃之后打印出的异常调用栈信息来定位crash的位置和原因.总结下分析的方法和步骤. 通常oops发生之后,会在串口 ...

  4. Linux内核启动分析过程-《Linux内核分析》week3作业

    环境搭建 环境的搭建参考课件,主要就是编译内核源码和生成镜像 start_kernel 从start_kernel开始,才真正进入了Linux内核的启动过程.我们可以把start_kernel看做平时 ...

  5. 从linux内核代码分析操作系统启动过程

    朱宇轲 + 原创作品转载请注明出处 + <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 在本次的实验中, ...

  6. Linux内核启动分析

    张超<Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-1000029000 我的代码可见https://www.shiyanlo ...

  7. Linux内核及分析 第八周 进程的切换和系统的一般执行过程

    学习笔记: 一.进程调度与进程调度的时机分析 1.不同类型的进程有不同需求的调度需求: 第一种分类: —I/O-bound:频繁的进行I/O,通常会花费很多时间等待I/O操作的完成 —CPU-boun ...

  8. Linux内核及分析 第七周 可执行程序的装载

    实验步骤 1. 更新menu,用test.c覆盖test_exec.c 2. 把init 和 hello 放到了rootfs.img目录下,执行exec命令的时候自动加载了hello程序 3. 执行e ...

  9. Linux内核及分析 第六周 分析Linux内核创建一个新进程的过程

    实验过程 1.github上克隆相应的mengning/menu.git 2.测试menuOS,测试fork直接执行结果 3.配置调试系统,进入gdb调试,利用file linux-3.18.6/vm ...

随机推荐

  1. 我给女朋友讲编程总结建议篇,怎么学习html和css

    总共写了11篇博客了,7篇讲html的,4篇讲网络的.不敢说写的多么好吧,最起码的是我迈出了写作的第一步,写作的过程中了解了一些其他的知识,比如SEO.几种重定向等,由于个人能力和见识有限,写出来的东 ...

  2. IOS笔记046-UIApplication/导航控制器

    UIApplication 每一个应用都有自己的UIApplication对象,而且是单例的 通过[UIApplication sharedApplication]可以获得这个单例对象 一个iOS程序 ...

  3. MFC深入浅出读书笔记第二部分2

    第七章  MFC骨干程序 所谓骨干程序就是指有AppWizard生成的MFC程序.如下图的层次关系是程序中常用的几个类,一定要熟记于心. 1 Document/View应用程序 CDocument存放 ...

  4. 安恒月赛 image up

    http://101.71.29.5:10007/index.php?page=login 仔细观察这个url的话会发现,存在文件包含. 而且并没有login.php而是login,猜测代码是 < ...

  5. gcc学习记录2——多输入文件

    首先有两个.c文件:circle.c和circulararea.c. 分别对两个源文件生成目标文件,circle.o和circulararea.o. gcc -c circle.c circularr ...

  6. BZOJ-3231 [SDOI2008]递归数列

    转成矩阵连乘后,矩阵快速幂加速解决. 一开始没把需要longlong的变量补全..而且没初始化2333 #include <cstdlib> #include <cstdio> ...

  7. MySQL的InnoDB的细粒度行锁,是它最吸引人的特性之一。

    MySQL的InnoDB的细粒度行锁,是它最吸引人的特性之一. 但是,如<InnoDB,5项最佳实践>所述,如果查询没有命中索引,也将退化为表锁. InnoDB的细粒度锁,是实现在索引记录 ...

  8. BZOJ 4460 [Jsoi2013]广告计划 ——Bitset 后缀自动机

    发现n比较小,直接枚举答案,然后发现连续的一段是确定的,然后我们只需要判断每个位置是否有这个连续的一段就好了 发现起点不同,最后的位置可能会有差距,所以DP一下就好了 然后用0表示未折返,1表示从最下 ...

  9. [python]做一个简单爬虫

    为什么选择python,它强大的库可以让你专注在爬虫这一件事上而不是更底层的更繁杂的事 爬虫说简单很简单,说麻烦也很麻烦,完全取决于你的需求是什么以及你爬的网站所决定的,遇到的第一个简单的例子是pas ...

  10. app自动测试-微信(iOS)-web-1

    appium 是一个用于app自动测试的工具.目前支持测试iOS, Android, Windows上的app.(github: https://github.com/appium/appium) 其 ...