我来一步步帮你理清这个问题——调试内核级的mmap确实容易踩“找错位置”的坑，先从你最关心的定位问题说起：

一、找到mmap对应的内核实现位置（不是用户态封装！） #

首先要明确：你要调试的内核态mmap系统调用，并不是单独的内核模块，而是内核核心代码的一部分，所以你在lib/modules里搜不到是完全正常的。具体来说：

• 内核镜像与调试符号：
  内核的mmap实现包含在主内核镜像vmlinux里，路径一般是/boot/vmlinux-$(uname -r)——不过默认发行版可能没安装调试符号，你需要先装对应的调试包：

  • Ubuntu/Debian系：sudo apt install linux-image-$(uname -r)-dbg
  • RHEL/CentOS系：sudo dnf install kernel-debuginfo-$(uname -r) kernel-debuginfo-common-$(uname -m)

• 定位内核符号：
  安装好调试包后，用nm命令就能找到mmap相关的内核符号：

  nm /boot/vmlinux-$(uname -r) | grep -E 'sys_mmap|sys_mmap2|do_mmap'
  

  这里解释下几个关键符号：

  • sys_mmap/sys_mmap2：是系统调用的入口函数（不同架构可能用不同的名字，比如x86_64用sys_mmap）
  • do_mmap：是mmap的核心实现函数，所有mmap系统调用最终都会走到这里

• 源码位置：如果你有内核源码，mmap的核心逻辑在mm/mmap.c文件里，直接看do_mmap()函数就行。

二、用KProbe在mmap内部设置断点 #

KProbe支持对内核函数的任意指令位置设置探测点，不用局限于函数入口。步骤如下：

1. 用radare2分析汇编，确定断点位置 #

先打开带调试符号的内核镜像，定位到目标函数并查看汇编：

r2 /boot/vmlinux-$(uname -r)

在radare2交互界面里：

• 输入s sym.do_mmap（或者对应你要调试的函数名，比如sym.sys_mmap）跳转到函数起始地址
• 输入pdf打印完整的汇编代码，找到你想要设置断点的指令行，记录下相对于函数起始地址的偏移量（比如0x30）

2. 编写KProbe模块时指定探测位置 #

不要用固定的绝对内存地址（内核版本升级后地址会变），推荐用符号+偏移的方式获取探测地址：

#include <linux/kprobes.h>

static struct kprobe kp = {
    .symbol_name = "do_mmap",
    .offset = 0x30, // 这里填你从radare2里拿到的偏移
};

static int handler_pre(struct kprobe *p, struct pt_regs *regs) {
    // 你的调试逻辑，比如打印寄存器、参数等
    pr_info("KProbe triggered at do_mmap+0x%lx\n", p->offset);
    return 0;
}

static int __init kprobe_init(void) {
    kp.pre_handler = handler_pre;
    return register_kprobe(&kp);
}

static void __exit kprobe_exit(void) {
    unregister_kprobe(&kp);
}

module_init(kprobe_init);
module_exit(kprobe_exit);
MODULE_LICENSE("GPL");

3. 验证探测点是否生效 #

编译加载模块后，用以下命令查看KProbe的状态：

cat /sys/kernel/debug/kprobes/list

如果显示active，就说明探测点注册成功了。此时随便运行一个会调用mmap的程序（比如cat /dev/null，或者自己写个简单的用户态mmap测试程序），就能看到内核日志里打印的调试信息了。

三、常见误区提醒 #

• 不要混淆用户态mmap和内核态mmap：用户态的mmap()是glibc封装的系统调用入口，在libc.so里，但你要调试的是内核里的实现，所以别找错地方。
• 如果KProbe注册失败，可能是你选的位置是内核禁止探测的区域（比如中断禁用的代码段、或者某些特殊指令），换个偏移位置试试。

内容的提问来源于stack exchange，提问作者user786