uprobe通过内核层对用户层进程的指定地址的原指令copy到其他位置，然后写入指定类型中断指令，然后内核中设置对应的中断处理程序，中断处理程序中执行uprobe设置的回调过滤函数，然后设置单步执行copy的原指令后恢复寄存器状态继续执行。ida查看被uprobehook的函数头部，指令被修改为了中断指令BRK #5

uprobe原理源码分析

uprobe注册

分为两种情况：一种是对已经创建的进程，一种是对新创建的进程。对于已经创建的进程而言，当通过ebpf附加回调函数到uprobe时，内核最终会调用__uprobe_register。此函数调用alloc_uprobe申请一个struct uprobe结构体保存hook的目标函数偏移以及设置的uprobe回调函数等信息，接着传给register_for_each_vma

register_for_each_vma中先调用find_vma从m_struct mm进程内存描述符中找到需要hook的地址对应的线性内存描述符vm_area_struct *vma，之后valid_vma验证线性内存描述符的权限，含有WRITE可写权限的text段将验证失败。如果验证成功则会调用install_breakpoint将目标hook地址的指令先保存，然后向对应的线性地址（虚拟地址）写入断点指令(AARCH64_BREAK_MON | (UPROBES_BRK_IMM << 5)) = 0xd4200000 | ( 5 << 5）= 0xd42000A0

第二种情况是新创建的进程，当进程的text段被map到进程空间时，会依次调用mmap_region-->vma_merge-->__vma_adjust-->uprobe_mmap。uprobe_mmap同样会调用valid_vma验证线性内存描述符的权限，验证成功后调用install_breakpoint将目标hook地址的指令先保存，然后向对应的线性地址（虚拟地址）写入断点指令0xd42000A0（arm64平台）。

uprobe设置中断处理程序

uprobe在内核初始化的时候调用register_user_break_hook注册一个.imm = UPROBES_BRK_IMM = 5 的中断处理程序uprobe_breakpoint_handler和一个单步异常处理函数uprobe_single_step_handler

register_user_break_hook 调用register_debug_hook将UPROBES_BRK_IMM中断处理程序加入到user_break_hook链表中

当用户层进程执行到BRK #5指令是会触发中断异常，最后内核中会去执行断点异常处理程序brk_handler。brk_handler会调用call_break_hook，call_break_hook回去判断是来自用户层还是内核层的异常，如果是用户层的就会获取user_break_hook链表中指定imm对应的中断处理程序，当imm = 5时对应的中断处理程序就是之前设置的uprobe_breakpoint_handler

imm = 5的中断处理程序uprobe_breakpoint_handler会调用uprobe_pre_sstep_notifier，后者会给当前线程设置TIF_UPROBE标志

uprobe触发回调函数

BRK #5中断处理程序执行完之后会调用ret_to_user从内核层返回用户层，此函数进一步调用do_notify_resume

do_notify_resume会检测线程的标志，如果发现TIF_UPROBE的话会去调用uprobe_notify_resume

uprobe_notify_resume第一次调用的时候utask是空的，所以回去调用handle_swbp

handle_swbp先调用handler_chain，此函数会去执行uprobe中保存的回调函数，也就是执行在ebpf附加uprobe时设置的回调函数。执行完回调函数后会调用pre_ssout

pre_ssout会先去调用xol_get_insn_slot和arch_uprobe_pre_xol，下面分别看一下这两个函数。

经过如下调用链xol_get_insn_slot-->get_xol_area-->__create_xol_area，查看__create_xol_area函数。

调用alloc_page(GFP_HIGHUSER)申请4kb物理页
将uprobe中保存的hook之前用户层的原始指令copy到这个物理页中
调用xol_add_vma为此物理页创建名称为[uprobes]用户层map，并将此用户层map的线性地址（虚拟地址）加入到进程内存描述符m_struct mm的线性地址描述符二叉树中（VAD树）。

xol_add_vma 会尝试在较高的用户地址空间创建这个名称为[uprobes]的map，然后设置其属性为 VM_EXEC|VM_MAYEXEC|VM_DONTCOPY|VM_IO，这里注意具有VM_IO属性的内存，通过ptrace是无法访问的，因为ptrace内部有权限判断，如果目标内存具有VM_IO属性操作会被拒绝。

pre_ssout调用完xol_get_insn_slot之后会调用arch_uprobe_pre_xol。

arch_uprobe_pre_xol函数会将保存的寄存器环境中的ip设置为[uprobes]中保存原始指令的地址，同时设置单步执行。
arch_uprobe_pre_xol函数调用完后，设置uprobe_task的active_uprobe和state

这样在执行完原始指令后会返回到内核中调用单步异常处理函数uprobe_single_step_handler，uprobe_single_step_handler会调用uprobe_post_sstep_notifier设置线程标志TIF_UPROBE

因为设置了线程标志TIF_UPROBE，所以在内核返回到用户层之前还会调用ret_to_user-->do_notify_resume-->uprobe_notify_resume，不同的是这次active_uprobe和utask都是在设置单步异常之前调用handle_swbp创建好的，因此这次是执行handle_singlestep函数而不是handle_swbp。

handle_singlestep调用arch_uprobe_post_xol将单步异常的返回地址设置为之前执行BRK #5指令的返回地址，即hook地址的下一条指令对应的地址。接着进行一些资源的清理并将active_uprobe置空，最后会返回到用户层继续执行BRK #5后面剩余的指令

uprobe检测

检测断点指令

uprobe会将hook地址的指令修改为BRK #5，对应的字节码为A0 00 20 D4，可以对关键的函数进行字节码扫描，或者crc校验。

检测[uprobes]

uprobe会将hook点原始指令放在名称为[uprobes]名称的map中，通过扫描map表查看是否有名称为[uprobes]的虚拟内存。

为text段增加可写属性

因为在注册uprobe的时候其会调用valid_vma判断目标地址所在的代码段是否具有VM_WRITE可写属性，如果有的话就拒绝注册。通过给so的代码段增加可写属性可以阻止uprobe设置hook。

因为在android平台从android 8.0开始就不支持加载具有可写属性的代码段，其是通过linker程序对此增加的限制，在linker调用ElfReader::LoadSegments加载so文件的各个段时，如果判断一个段同时具有PROT_EXEC | PROT_WRITE属性就会拒绝加载。