变更硬件断点默认行为，发布新版本

Author: SeeFlowerX

README.md

@@ -71,6 +71,7 @@ stackplz的所有可用选项，可以通过`./stackplz --help`查看
 
 | 选项 | 默认值 | 说明 |
 | :- | :-: | :- |
+| --pid | | 目标进程pid，与--brk-lib搭配使用计算断点地址 |
 | --brk | | 要下断的地址 |
 | --brk-len | 4 | 断点长度 |
 | --brk-lib | | 目标库，使用该选项时--brk为相对偏移 |
@@ -128,7 +129,7 @@ stackplz的所有可用选项，可以通过`./stackplz --help`查看
     - 配置文件具体使用方式请查看[配置文件文档](./docs/CONFIG.md)
 - `--full-tname` 默认对于一些高频调用syscall的系统线程进行了屏蔽，启用该选项后将解除屏蔽
 - `-l/--lib` 动态库名或者动态库完整路径，配合`-w/--point`选项使用
-- `-o/--out` 日志文件名，默认`stackplz_tmp.log`
+- `-o/--out` 日志文件名，默认不生成日志文件
 - `--dump` 即dump模式，hook获取到的数据不会被解析，仅保存到单个文件
 - `--parse` 即针对dump得到的文件进行解析，可能比较耗时，可能存在bug
 - `--stack-size` 堆栈大小，默认8192字节，基本够用，最大65528
@@ -168,15 +169,7 @@ stackplz的所有可用选项，可以通过`./stackplz --help`查看
 
 ![](./images/Snipaste_2023-07-22_21-21-33.png)
 
-3.3 通过**指定包名**，对`libnative-lib.so`的`_Z5func1v`符号处下执行断点，并打印堆栈
-
-```bash
-./stackplz --brk-pid `pidof com.sfx.ebpf` --brk 0xf3a4:x --brk-lib libnative-lib.so --stack
-```
-
-![](./images/Snipaste_2023-09-08_17-08-42.png)
-
-3.4 在命中uprobe hook时发送信号
+3.3 在命中uprobe hook时发送信号
 
 有时候希望在经过特定点位的时候停止进程，以便于dump内存，那么可以使用`--kill`来发送信号，示例：
 
@@ -193,34 +186,34 @@ kill -SIGCONT 4326
 
 v3.0.0版本起，可以在终端输入c后回车恢复进程运行
 
-3.5 **硬件断点**示例如下，支持的断点类型：`r,w,rw,x`
+3.4 **硬件断点**示例如下，支持的断点类型：`r,w,rw,x`
 
 pid + 绝对地址
 
 ```bash
-./stackplz --brk-pid `pidof com.sfx.ebpf` --brk 0x70ddfd63f0:x --stack
+./stackplz --pid `pidof com.sfx.ebpf` --brk 0x70ddfd63f0:x --stack
 ```
 
 pid + 偏移 + 库文件
 
 ```bash
-./stackplz --brk-pid `pidof com.sfx.ebpf` --brk 0xf3a4:x --brk-lib libnative-lib.so --stack
+./stackplz --pid `pidof com.sfx.ebpf` --brk 0xf3a4:x --brk-lib libnative-lib.so --stack
 ```
 
+![](./images/Snipaste_2024-03-04_21-51-12.png)
+
 对内核中的函数下硬件断点：
 
 **！！！注意，内核函数通常触发非常频繁，该操作可能导致设备重启，请谨慎使用，原因不明**
 
 ```bash
 echo 1 > /proc/sys/kernel/kptr_restrict
 cat /proc/kallsyms  | grep "T sys_"
-./stackplz --brk 0xffffff93c5beb634:x --brk-pid `pidof com.sfx.ebpf` --stack
-./stackplz --brk 0xffffffc0003654dc:x --brk-pid `pidof com.sfx.ebpf` --regs
+./stackplz --brk 0xffffff93c5beb634:x --pid `pidof com.sfx.ebpf` --stack
+./stackplz --brk 0xffffffc0003654dc:x --pid `pidof com.sfx.ebpf` --regs
 ```
 
-某些时候确信数据被访问了，但是上面的命令还是没有输出，请尝试省略`--brk-pid`选项，即使用默认值`-1`
-
-3.6 以寄存器的值作为大小读取数据、或者指定大小
+3.5 以寄存器的值作为大小读取数据、或者指定大小
 
 ```bash
 ./stackplz --name com.sfx.ebpf -w write[int,buf:x2,int]
@@ -278,7 +271,7 @@ cat /proc/kallsyms  | grep "T sys_"
 ./stackplz -n com.termux -w 0x9D150[int,buf:x2,int]0x9D164 --dumphex --color
 ```
 
-3.8 按分组批量追踪进程
+3.6 按分组批量追踪进程
 
 追踪全部APP类型的进程，但是排除一个特定的uid：
 
@@ -294,7 +287,7 @@ cat /proc/kallsyms  | grep "T sys_"
 
 可选的进程分组：root system shell app iso
 
-3.9 按分组批量追踪syscall
+3.7 按分组批量追踪syscall
 
 ```bash
 ./stackplz -n com.xingin.xhs -s %file,%net --no-syscall openat,recvfrom
@@ -312,7 +305,7 @@ cat /proc/kallsyms  | grep "T sys_"
 
 具体分组情况请查看[Parse_SyscallNames](./user/config/config_module.go)
 
-3.10 应用过滤规则
+3.8 应用过滤规则
 
 黑白名单：
 
@@ -357,9 +350,9 @@ LR比较，需要提前计算用于比较的值：
     - --syscall openat
 - 特别的，指定为`all`表示追踪全部syscall
     - --syscall all
-- **特别说明**，很多结果是`0xffffff9c`这样的结果，其实是`int`，但是目前没有专门转换
+- **特别说明**，如果期望将`0xffffff9c`这样的结果输出为负数，请明确指定类型为`int`
 - 注意，本项目中syscall的返回值通常是**errno**，与libc的函数返回结果不一定一致
-- `--dumphex`表示将数据打印为hexdump，否则将记录为`ascii + hex`的形式
+- `--dumphex`表示将数据打印为hexdump，否则将记录为`ascii + hex`的形式，另外可添加`--color`选项
 - 输出到日志文件添加`-o/--out tmp.log`，只输出到日志，不输出到终端再加一个`--quiet`即可
 
 **注意**，默认屏蔽下列线程，原因是它们属于渲染或后台相关的线程，会触发大量的syscall调用
@@ -409,7 +402,7 @@ LR比较，需要提前计算用于比较的值：
 ./stackplz -n com.starbucks.cn -b 32 --syscall all -o tmp.log
 ```
 
-一味增大缓冲区大小也可能带来新的问题，比如分配失败，这个时候建议尽可能清理正在运行的进程
+增大缓冲区大小也可能带来新的问题，比如分配失败，这个时候建议尽可能清理正在运行的进程
 
 > failed to create perf ring for CPU 0: can't mmap: cannot allocate memory
 
@@ -435,10 +428,6 @@ coral:/data/local/tmp # readelf -s /apex/com.android.runtime/lib64/bionic/libc.s
   6853: 00000000000b9f00    32 GNU_IFUNC GLOBAL DEFAULT   14 strchrnul
 ```
 
-如图，可以看到直接调用了`__strchr_aarch64`而不是经过`strchr`再去调用`__strchr_aarch64`
-
-![](./images/Snipaste_2022-11-13_14-19-38.png)
-
 # 文章
 
 个人碎碎念太多，有关stackplz文章就不同步到本项目了，请移步博客查看：

cli/cmd/root.go

@@ -285,10 +285,14 @@ func persistentPreRunEFunc(command *cobra.Command, args []string) error {
     // 4. watch breakpoint
     var brk_base uint64 = 0x0
     if gconfig.BrkLib != "" {
-        if gconfig.BrkPid <= 0 {
-            return errors.New("must set --brk-pid when use --brk-lib option")
+        if gconfig.Pid == "" {
+            return errors.New("must set --pid when use --brk-lib option")
         }
-        lib_info, err := event.FindLibInMaps(uint32(gconfig.BrkPid), gconfig.BrkLib)
+        value, err := strconv.ParseUint(gconfig.Pid, 10, 32)
+        if err != nil {
+            panic(err)
+        }
+        lib_info, err := event.FindLibInMaps(uint32(value), gconfig.BrkLib)
         if err != nil {
             return err
         }
@@ -612,8 +616,8 @@ func init() {
     rootCmd.PersistentFlags().StringVar(&gconfig.RpcPath, "rpc-path", "127.0.0.1:41718", "rpc path, default 127.0.0.1:41718")
     // 硬件断点设定
     rootCmd.PersistentFlags().StringVar(&gconfig.BrkAddr, "brk", "", "set hardware breakpoint address")
-    rootCmd.PersistentFlags().IntVar(&gconfig.BrkPid, "brk-pid", -1, "set hardware breakpoint pid")
-    rootCmd.PersistentFlags().StringVar(&gconfig.BrkLib, "brk-lib", "", "as library base address")
+    rootCmd.PersistentFlags().IntVar(&gconfig.BrkPid, "brk-pid", -1, "set hardware breakpoint pid, just keep default")
+    rootCmd.PersistentFlags().StringVar(&gconfig.BrkLib, "brk-lib", "", "as library base address, work with -p/--pid option")
     rootCmd.PersistentFlags().Uint64Var(&gconfig.BrkLen, "brk-len", 4, "hardware breakpoint length, default 4, support [1, 8]")
     // 缓冲区大小设定 单位M
     rootCmd.PersistentFlags().Uint32VarP(&gconfig.Buffer, "buffer", "b", 8, "perf cache buffer size, default 8M")
@@ -629,7 +633,7 @@ func init() {
     rootCmd.PersistentFlags().BoolVarP(&gconfig.Quiet, "quiet", "q", false, "wont logging to terminal when used")
     rootCmd.PersistentFlags().BoolVar(&gconfig.Color, "color", false, "enable color for log file")
     rootCmd.PersistentFlags().BoolVarP(&gconfig.FmtJson, "json", "j", false, "log event as json format")
-    rootCmd.PersistentFlags().StringVarP(&gconfig.LogFile, "out", "o", "stackplz_tmp.log", "save the log to file")
+    rootCmd.PersistentFlags().StringVarP(&gconfig.LogFile, "out", "o", "", "save the log to file")
     // 适合收集大量数据 减少数据丢失
     rootCmd.PersistentFlags().StringVar(&gconfig.DumpFile, "dump", "", "save perf data to file")
     rootCmd.PersistentFlags().StringVar(&gconfig.ParseFile, "parse", "", "parse perf data as json or readable format")

frida_hw_brk.js

@@ -7,7 +7,8 @@ async function SetHWBrk(brk_addr, brk_type) {
         let size_len = 4;
 
         let brk_options = {
-            brk_pid: Process.id,
+            // brk_pid: Process.id,
+            brk_pid: -1,
             brk_len: 4,
             brk_type: brk_type,
             brk_addr: brk_addr,

images/Snipaste_2022-11-13_14-19-38.png

@@ -56,7 +56,11 @@ func (this *BrkEvent) ParseEvent() (IEventStruct, error) {
     if err := this.ParseContext(); err != nil {
         panic(fmt.Sprintf("SyscallEvent.ParseContext() err:%v", err))
     }
-    this.Check()
+    if !this.Check() {
+        // 当明确设置 --brk-pid 的时候
+        // 仅输出事件 pid 与 --brk-pid 一致的事件
+        return nil, nil
+    }
     return this, nil
 }
 
@@ -104,10 +108,19 @@ func (this *BrkEvent) ParseContextStack() {
         if err != nil {
             panic(fmt.Sprintf("UnwindStack ParseContext failed, err:%v", err))
         }
-        // 立刻获取堆栈信息 对于某些hook点前后可能导致maps发生变化的 堆栈可能不准确
-        // 这里后续可以调整为只dlopen一次 拿到要调用函数的handle 不要重复dlopen
+        if this.mconf.ManualStack {
+            CacheMaps(this.Pid)
+            maps_helper.SetLogger(this.logger)
+            info, err := maps_helper.GetStack(this.GetPid(), this.UnwindBuffer)
+            if err != nil {
+                this.logger.Printf("Error when GetStack:%v", err)
+            } else {
+                this.Stackinfo = info
+            }
+            return
+        }
         content, err := util.ReadMapsByPid(this.GetPid())
-        if err != nil || this.mconf.ManualStack {
+        if err != nil {
             // 直接读取 maps 失败 那么从 mmap2 事件中获取
             // 根据测试结果 有这样的情况 -> 即 fork 产生的子进程 那么应该查找其父进程 mmap2 事件
             maps_helper.SetLogger(this.logger)

images/Snipaste_2023-09-08_17-08-42.png

@@ -49,7 +49,9 @@ type BrkOptionsRaw struct {
 }
 
 func BrkIt(opts *BrkOptions) {
-	event.CacheMaps(uint32(opts.BrkPid))
+	if opts.BrkPid != -1 {
+		event.CacheMaps(uint32(opts.BrkPid))
+	}
 	mod := module.GetModuleByName(module.MODULE_NAME_BRK)
 	var mconfig = config.NewModuleConfig()
 	mconfig.Debug = Gconfig.Debug