[原创] 60秒学会用eBPF-BCC hook系统调用

发表于: 2022-10-28 08:07 26349

[原创] 60秒学会用eBPF-BCC hook系统调用

爱吃菠菜

2022-10-28 08:07

26349

(备注1: 为了格式工整, 前面都是废话, 建议直接从11 hello world开始看)
(备注2: 60秒指的是在Linux上, 如果是Android可能要在基础再上加点)

整理自2022/10 (bcc Release v0.25.0)

(1) BPF是什么?

(2) eBPF是什么?

(3) BCC是什么?

(4) IO Visor是什么?

(5) BCC在内核调试技术栈中的位置?

(6) 不同Linux内核版本对eBPF的支持?

(7) 官方文档

(8) 其他参考

(9) 安装BCC二进制包 (Ubuntu) (测试发现没法用)

(10) 自行编译安装 (Ubuntu) (推荐)

(11) hello world!

(12) 如何用监控open()函数的执行?

(13) 如何hook 任意system call?

(14) 更新

.
.

1 BPF是什么?

Linux内核中运行的虚拟机,
可以在外部向其注入代码执行.
.
.

2 eBPF是什么?

理解成BFP PLUS++
.
.

3 BCC是什么?

BPF虚拟机只运行BPF指令, 直接敲BPF指令比较恶心.
BCC可以理解成辅助写BPF指令的工具包,
用python和c语言间接生成EBPF指令.
.
.

4 IO Visor是什么?

指的是开源项目&&开发者社区,
BCC是IOVisor项目下的编译器工具集.
.
.

5 BCC在内核调试技术栈中的位置?

.
.

6 不同Linux内核版本对eBPF的支持?

参考官方文档
266K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6A6L8%4k6A6M7$3!0J5i4K6u0r3j5X3y4U0i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8X3c8G2j5%4y4Q4x3V1k6C8k6i4u0F1k6h3I4Q4x3X3c8$3k6i4u0K6K9h3!0F1M7#2)9J5k6h3#2V1
.
查看自己Linux 内核版本 (ubuntu)

1 2	`xxx@ubuntu:~/Desktop/bcc/build$ uname` `-a` `Linux ubuntu` `5.15.0-52-generic` `#58~20.04.1-Ubuntu SMP Thu Oct 13 13:09:46 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux`

.
.

7 官方文档

8 其他参考

9 安装BCC二进制包 (Ubuntu) (测试发现没法用)

具体参考官方文档
b7fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6A6L8%4k6A6M7$3!0J5i4K6u0r3j5X3y4U0i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8V1W2z5f1#2c8m8e0p5I4Q4x3X3g2E0k6l9`.`.
.
iovisor版 (官网说这个比较旧)

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 4052245BD4284CDD

echo "deb 4a9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6J5k6i4m8G2i4K6u0W2K9h3!0$3K9i4y4G2M7W2)9J5k6h3!0J5k6#2)9J5c8X3q4H3N6q4)9J5c8W2)9J5y4q4)9J5z5r3I4K6j5W2)9#2k6Y4u0W2L8r3g2S2M7$3f1`. -cs) $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/iovisor.list

sudo apt-get update

sudo apt-get install bcc-tools libbcc-examples linux-headers-$(uname -r)

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2024-9-6 16:48 被爱吃菠菜编辑，原因：精简

#HOOK注入 #工具脚本

收藏・47

免费・23

支持

赞赏记录

参与人

雪币

留言

时间

mb_zsqejavi

你的帖子非常有用，感谢分享！

2天前

你瞒我瞒

为你点赞~

2024-5-17 14:25

空心草

为你点赞~

2024-5-11 10:33

Ally Switch

为你点赞~

2024-4-16 20:42

轻快笑着行

为你点赞~

2024-1-12 11:44

killsu

为你点赞~

2023-12-10 17:56

st0ne

为你点赞~

2023-10-30 15:26

.KK

为你点赞~

2023-4-10 16:34

伟叔叔

为你点赞~

2023-3-18 00:50

Grav1ty

为你点赞~

2023-3-17 21:38

mickelfeng

为你点赞~

2023-3-17 17:48

苏打水

为你点赞~

2023-2-8 11:02

PLEBFE

为你点赞~

2023-1-11 12:51

ashimida

为你点赞~

2022-11-25 23:05

憨豆爆发

为你点赞~

2022-11-15 14:56

学以致用111

为你点赞~

2022-11-14 18:04

kangr

为你点赞~

2022-10-31 14:53

一半人生

为你点赞~

2022-10-31 08:44

SevenSir

为你点赞~

2022-10-29 18:01

户大

为你点赞~

2022-10-29 12:25

zhczf

为你点赞~

2022-10-28 14:26

KerryS

为你点赞~

2022-10-28 12:59

霸气压萝莉

为你点赞~

2022-10-28 09:40

最新回复 (10)
Umiade 雪币： 4074 活跃值： (2328) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 52 粉丝 10 关注私信	Umiade 2 楼表哥NB 2022-10-28 09:28 0
爱吃菠菜雪币： 2121 活跃值： (7444) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 187 粉丝 411 关注私信	爱吃菠菜 2 3 楼 Umiade 表哥NB 2022-10-28 09:53 0
默NJ 雪币： 2694 活跃值： (4996) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 208 粉丝 2 关注私信	默NJ 4 楼感谢分享 2022-10-28 11:53 0
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 4 关注私信	shun其自然 5 楼表哥，我还是不会 2022-10-28 13:29 0
看雪高研雪币： 196 活跃值： (6291) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 94 粉丝 200 关注私信	看雪高研 6 楼射射老师，已经学会了。 2022-10-28 16:06 0
Bingo_player 雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	Bingo_player 7 楼 666666 最后于 2022-11-17 15:32 被Bingo_player编辑，原因： 2022-10-28 16:59 0
GitRoy 雪币： 5308 活跃值： (5624) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 146 粉丝 179 关注私信	GitRoy 3 8 楼 666 2022-11-14 11:11 0
mickelfeng 雪币： 685 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	mickelfeng 9 楼 666 2023-3-17 17:48 0
万里星河雪币： 136 活跃值： (1212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 522 粉丝 4 关注私信	万里星河 10 楼 666 2023-10-30 15:23 0
mb_ppbnomlu 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ppbnomlu 11 楼有没有android 端的使用啊 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

爱吃菠菜

发帖

187

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
Umiade 雪币： 4074 活跃值： (2328) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 52 粉丝 10 关注私信	Umiade 2 楼表哥NB 2022-10-28 09:28 0
爱吃菠菜雪币： 2121 活跃值： (7444) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 187 粉丝 411 关注私信	爱吃菠菜 2 3 楼 Umiade 表哥NB 2022-10-28 09:53 0
默NJ 雪币： 2694 活跃值： (4996) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 208 粉丝 2 关注私信	默NJ 4 楼感谢分享 2022-10-28 11:53 0
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 4 关注私信	shun其自然 5 楼表哥，我还是不会 2022-10-28 13:29 0
看雪高研雪币： 196 活跃值： (6291) 能力值： (RANK：10 ) 在线值：发帖 15 回帖 94 粉丝 200 关注私信	看雪高研 6 楼射射老师，已经学会了。 2022-10-28 16:06 0
Bingo_player 雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	Bingo_player 7 楼 666666 最后于 2022-11-17 15:32 被Bingo_player编辑，原因： 2022-10-28 16:59 0
GitRoy 雪币： 5308 活跃值： (5624) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 146 粉丝 179 关注私信	GitRoy 3 8 楼 666 2022-11-14 11:11 0
mickelfeng 雪币： 685 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	mickelfeng 9 楼 666 2023-3-17 17:48 0
万里星河雪币： 136 活跃值： (1212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 522 粉丝 4 关注私信	万里星河 10 楼 666 2023-10-30 15:23 0
mb_ppbnomlu 雪币： 1 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ppbnomlu 11 楼有没有android 端的使用啊 3天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创] 60秒学会用eBPF-BCC hook系统调用

目录

(1) BPF是什么?

(2) eBPF是什么?

(3) BCC是什么?

(4) IO Visor是什么?

(5) BCC在内核调试技术栈中的位置?

(6) 不同Linux内核版本对eBPF的支持?

(7) 官方文档

(8) 其他参考

(9) 安装BCC二进制包 (Ubuntu) (测试发现没法用)

(10) 自行编译安装 (Ubuntu) (推荐)

(11) hello world!

(12) 如何用监控open()函数的执行?

(13) 如何hook 任意system call?

(14) 更新

1 BPF是什么?

2 eBPF是什么?

3 BCC是什么?

4 IO Visor是什么?

5 BCC在内核调试技术栈中的位置?

6 不同Linux内核版本对eBPF的支持?

7 官方文档

8 其他参考

9 安装BCC二进制包 (Ubuntu) (测试发现没法用)