ebpf入门---监听所有新进程

最新推荐文章于 2024-05-28 18:05:23 发布
最新推荐文章于 2024-05-28 18:05:23 发布
阅读量462 收藏 2
点赞数 7
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/136564773
版权

什么是ebpf

eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行

用途

ebpf由于直接与内核交互,所以更为底层,可以用来绕过一些安全组件的监控功能。同时可以做到如你看不见的后门(通过hook read的syscall,篡改返回结果)等等更有意思的场景。个人看来,ebpf在未来会得到更广泛的应用,同时也是以后rootkit的首选

简单使用

今天这个demo是个入门,原理就是hook syscall,判断是否是execve,然后获取对应的pid和执行文件,然后返回并输出

python

整体代码还是很简单的,注释里面也比较详细了

from bcc import BPF

bpf_text = """
#include <linux/binfmts.h>
struct data_t {
    int pid;
    char comm[TASK_COMM_LEN];
    char filename[256]; 
};

BPF_PERF_OUTPUT(myevents);//注册events

TRACEPOINT_PROBE(raw_syscalls, sys_enter) {
    if (args->id != __NR_execve)
        return 0;
    struct data_t data = {};
    data.pid = bpf_get_current_pid_tgid() >> 32;//获取pid
    bpf_get_current_comm(&data.comm, sizeof(data.comm));//获取当前进程的命令名称
    bpf_probe_read_user(&data.filename, sizeof(data.filename), (void *)args->args[0]);//用户空间读取execve的第一个参数,通常是要执行的文件路径
    myevents.perf_submit(args, &data, sizeof(data));// 将data结构体的内容发送到用户空间的events性能事件输出
    return 0;
}
"""

b = BPF(text=bpf_text)#创建了一个BPF对象b,它用于编译和加载前文中定义的eBPF程序


def print_event(cpu, data, size):#它是一个回调函数,用于处理从eBPF程序发送到用户空间的事件。函数的参数包括:cpu:捕获事件的CPU编号。,data:一个包含eBPF事件数据的字节流。,size:数据的大小。
    event = b["myevents"].event(data)#将data字节流转换成一个Python对象,这个对象包含了与eBPF程序中定义的数据结构匹配的字段
    print("New process created, PID: %d, Command: %s, Path: %s" % (event.pid, event.comm.decode('utf-8', 'replace'), event.filename.decode('utf-8', 'replace')))


b["myevents"].open_perf_buffer(print_event)#这行代码将print_event回调函数附加到名为myevents的eBPF性能事件输出上。当myevents输出中有新的事件时,print_event函数将被调用。

print("Listening for sys_execve calls... Press Ctrl+C to exit.")
try:
    while True:
        b.perf_buffer_poll()#用于轮询性能事件缓冲区,检查是否有任何新的事件到达。如果有,它将调用open_perf_buffer登记的回调函数来处理事件。
except KeyboardInterrupt:
    pass

运行效果
在这里插入图片描述

go

go代码更为复杂一点,但大体逻辑上类似

package main

import (
    "bytes"
    "encoding/binary"
    "fmt"
    "os"
    "os/signal"

    "github.com/iovisor/gobpf/bcc"
)

const bpfProgram = `
#include <linux/sched.h>

struct data_t {
    u32 pid;
    char comm[TASK_COMM_LEN];
    char filename[256];
};

BPF_PERF_OUTPUT(myevents);

TRACEPOINT_PROBE(raw_syscalls, sys_enter) {


    if (args->id != __NR_execve) return 0;
    struct data_t data = {};
    data.pid = bpf_get_current_pid_tgid() >> 32;
    bpf_get_current_comm(&data.comm, sizeof(data.comm));
    bpf_probe_read_user(&data.filename, sizeof(data.filename), (void *)args->args[0]);


    myevents.perf_submit(args, &data, sizeof(data));

    return 0;
}

`

type execveEvent struct {
    Pid      uint32
    Comm     [16]byte
    Filename [256]byte
}

func main() {

    //创建了一个新的 eBPF 模块,并加载了 eBPF 程序。defer module.Close() 确保在程序结束时清理和关闭 eBPF 模块
    module := bcc.NewModule(bpfProgram, []string{})
    defer module.Close()
    //加载 eBPF 程序中定义的跟踪点
        tracepoint, err := module.LoadTracepoint("tracepoint__raw_syscalls__sys_enter")
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to load tracepoint: %s\n", err)
    os.Exit(1)
    }

    //将跟踪点附加到系统调用的入口点
    err = module.AttachTracepoint("raw_syscalls:sys_enter", tracepoint)
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to attach tracepoint: %s\n", err)
    os.Exit(1)
    }

    //创建一个新的性能事件表来接收 eBPF 程序发送的事件,并创建一个 Go 通道来接收这些事件
    table := bcc.NewTable(module.TableId("myevents"), module)
    channel := make(chan []byte)
    perfMap, err := bcc.InitPerfMap(table, channel, nil)
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to init perf map: %s\n", err)
    os.Exit(1)
    }

    go func() {
    for {
    data := <-channel
    var event execveEvent
    err := binary.Read(bytes.NewBuffer(data), binary.LittleEndian, &event)
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to decode received data: %s\n", err)
    continue
    }
    filename := string(bytes.Split(event.Filename[:], []byte("\x00"))[0])
    fmt.Printf("execve called by PID %d (%s): %s\n", event.Pid, event.Comm, filename)
    }
    }()

    //启动性能事件表来接收事件,并确保在程序结束时停止它
    perfMap.Start()
    defer perfMap.Stop()

    fmt.Println("Waiting for execve events... Press Ctrl-C to exit.")
    signals := make(chan os.Signal, 1)
    signal.Notify(signals, os.Interrupt)
    <-signals
}

效果
在这里插入图片描述

但是这两个都有一个共性的问题,python虽然可以是pyinstaller去编译成可执行文件,但和go编译的结果都是动态链接的,而往往目标机器上可能没有对应的库,所以我们要转化为静态链接,目前这两个demo我尝试了一下是无法变成静态链接的,如果有思路也可以进一步交流

azraelxuemo
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
React-router4路由监听的实现
10-18
主要介绍了React-router4路由监听的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
eBPF开发入门】案例(二)之监控系统调用
qq_40695381的博客
11-09 271
0x01编辑代码 创建一个文件syscall_counter.py,然后输入以下Python脚本。这个脚本使用BCC创建了一个eBPF程序,该程序会挂接(hook)到sys_clone系统调用,每次调用都会增加计数器。 from bcc import BPF # 定义eBPF程序 prog = """ #include <linux/sched.h> BPF_HASH(syscall_count, u32, u64); int count_sys_clone(struct pt_re
eBPF监测未知进程的创建
李老板的移动安全杂货铺
12-02 530
以下是一个简单的eBPF模块代码示例,用于检测未知进程的创建。在此示例中,我们使用eBPF的`kprobe`功能来监视`do_fork`系统调用,并检查创建进程的PID和进程命令行。如果发现未知进程,则通过`trace_printk`函数将消息打印到内核日志中。要编译和加载此模块,需要在系统上安装运行eBPF的环境。// 如果PID不存在于pid_cmd哈希表中,则打印未知进程信息。请确保将`eth0`替换为您要监视的网络接口。// 存储创建进程的PID和命令行。
eBPF可观测之网络流量控制和管理traffic control浅尝
最新发布
kingu_crimson的博客
05-28 872
首先发表一个"暴论"eBPF在可观测方面的应用,就是各种google。不需要学习内核,只要掌握ebpf开发套路。好比你开发 web 开发网站, 你了解socket 底层和内核吗?一样不了解。知道怎么调用就行了。而且 eBPF 的开发也没多少复杂度, 更多的是 在内核态拦截(简化的c语言) 内核数据(不管是网络数据还是tracepoint数据), 最终都是要发给用户态(可以理解为java、golang),然后用户态具体做业务处理。所以c语言也不需要怎么学,学了也没啥用。
ebpf_bcc_tools之execsnoop(监控系统进程exec执行)
ljbcharles的专栏
04-09 318
ebpf实用案例之系统进程exec执行命令监控
eBPF 入门开发实践教程八:在 eBPF 中使用 exitsnoop 监控进程退出事件,使用 ring buffer 向用户态打印输出
云微的blog
01-28 830
本文介绍了如何使用 eunomia-bpf 开发一个简单的 BPF 程序,该程序可以监控 Linux 系统中的进程退出事件, 并将捕获的事件通过 ring buffer 发送给用户空间程序。在本文中,我们使用 eunomia-bpf 编译运行了这个例子。完整的教程和源代码已经全部开源,可以在中查看。
使用 eBPF 增强监控和可观测性
观测云的博客
06-16 1092
将代码注入 Linux 内核的能力开辟了一个全的可能性世界。您可以轻松改进很多东西——安全性、网络、可观测性等等。BPF(伯克利包过滤器)使您能够编写可以从内部利用 Linux 内核功能的程序。BPF 传统上用于在将原始网络数据包发送到用户空间之前对其进行过滤,以提高系统的整体安全性。eBPF是 BPF 的扩展版本,具有一系列安全实现,以防止 BPF 程序破坏内核。在本指南中,您将了解如何使用 eBPF 在基于 Kubernetes 的基础架构中实现增强的可观测性。eBPF 代表扩展 BPF。顾名思义,它
ORA-12518 TNS:监听程序无法分发客户机连接
01-12
ORA-12518 TNS:监听程序无法分发客户机连接,在您安装好数据库后配置连接数据库的过程中遇到这类问题应该很头疼吧,不过,当您还是四处查资料来解决您遇到的另你头疼的问题时,如果不经意间看到了这则贴子,那请您升...
监听element-ui table滚动事件的方法
10-17
本文将详细介绍如何监听Element-UI的Table组件的滚动事件,以便在用户滚动到表格底部时动态加载更多数据。 ### 背景 在大数据展示场景中,为了提高页面性能和用户体验,通常会采用分页或无限滚动的方式来加载数据。...
Tcp编程-服务监听.go
10-19
TCP-服务器监听
vue-cli监听组件加载完成的方法
12-12
在使用vue-cli开发项目时遇到过一个问题,要求是页面组件全部加载完成后再执行某个... //监听nav模块加载完 const m_classifyone = { state: { count:0 }, mutations: { increment (state) { state.count++ }
使用 eBPF 实时持续跟踪进程文件记录
云原生实验室
06-02 1723
本文主要用于演示基于 ebpf 技术来实现对于系统调用跟踪和特定条件过滤,实现基于 BCC[1] 的 Python 前端绑定,过程中对于代码的实现进行了详细的解释,可以作为学习 ebpf ...
基于 eBPF 的 prometheus 监控方案
金荣的个人技术博客
04-13 4424
从最资源构建二进制文件: $ go get -u -v github.com/cloudflare/ebpf_exporter/... cp -ip go/bin/ebpf_exporter /usr/local/bin/ebpf_exporter 运行一个示例: $ sudo ebpf_exporter --config.file=src/github.com/cloudflare/ebpf_exporter/examples/bio.yaml 输出结果如下: 浏览器访问9435端口,输出结
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1377
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
基于 eBPF 的 Serverless 多语言应用监控能力建设
阿里云云栖号
02-06 658
Serverless 产品需要提供一种统一的,开箱即用的,无入侵零改造的方式来实现任意语言的应用监控能力,使得多语言用户可以充分享受 Serverless 带来的普惠技术红利。下面我们首先对其背后使用的 eBPF(Extended Berkeley Packet Filter) 技术进行介绍。
Linux中基于eBPF的恶意利用与检测机制
美团技术团队
04-07 5622
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范?前言现状分析海外资料国内资料eBPF技术恶意利用的攻击原理Linux网络层...
三分钟学会编写 eBPF 程序:使用 eBPF 程序监控打开文件路径并使用 Prometheus 可视化
云微的blog
09-30 953
opensnoop通过对 open 系统调用的追踪,使得用户可以较为方便地掌握目前系统中调用了 open 系统调用的进程信息。源代码:https://github.com/eunomia-bpf/eunomia-bpf/tree/master/bpftools/examples/opensnooplibbpf 参考代码:https://github.com/iovisor/bcc/blob/master/libbpf-tools/opensnoop.bpf.c。
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2358
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
操作系统大赛:基于 eBPF 的容器监控工具 Eunomia 初赛报告(目标描述、ebpf 调研)
云微的blog
07-07 615
本项目由两部分组成: 是一个使用 C/C++ 开发的基于eBPF的云原生监控工具,旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件,力求为工业界提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。目前,它包含 、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能。除了收集容器中的一般系统运行时内核指标,例如系统调用、网络连接、文件访问、进程执行等,我们在探索实现过程中还发现目前对于 和 相关用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值