【微记录】linux如何使用ebpf观测你的某个命令调用了内核的ioctl?(bpftrace sys_enter_ioctl)

已于 2024-05-15 02:15:33 修改
阅读量234 收藏 1
点赞数 3
分类专栏: Linux命令 Linux调试方法 Linux内核 文章标签: linux ebpf bpftrace
于 2024-05-15 02:13:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/essencelite/article/details/138879493
版权

场景

对于工程实践中需要查看某些ioctl是否被调用,尤其是一个新的模块初次调试,在不添加调试命令debug的情况下如何观测?
另外就是对于外部提供的二进制程序,如何观测该程序是否调用ioctl以及何时调用?
这些都通过ebpf能够良好的观测。尤其是bpftrace可以类似脚本级别的快速查看

一条命令

bfptrace -e "tracepoint:syscalls:sys_enter_ioctl { if (comm == \"yourcmd\" {printf (" pid[%d]: %s ioctl called, with fd:%d\n", pid, comm, args->fd);}}

pid 是打印执行进程的pid
comm是执行进程的名字
args是参数,fd是文件id
通过if 进行过滤判断执行命令按照要求过滤的,不然可能打印很多

脚本形式

bpftrace 1.bt

# cat 1.bt
#!/usr/bin/env bpftrace
tracepoint:syscalls:sys_enter_ioctl 
{ 
	if (comm == "yourcmd" {
		printf (" pid[%d]: %s ioctl called, with fd:%d\n", pid, comm, args->fd);
	}
}

注意:

  • 在bt中不要使用#注释
  • 第一行要指定执行脚本

实操

待补充。
实际执行后,命令行会pending等待,当执行相关命令进行ioctl的时候会打印途中printf部分的内容。包括pid 名字 fd等。

其他

如果没有安装bpftrace参考兄弟篇文章:https://blog.csdn.net/essencelite/article/details/138550516

北冥的备忘录
关注
专栏目录
ASIO网络调试助手之三:ASIO网络编程注意事项
草上爬的博客
09-14 1133
之前用过uv-cpp,和ASIO一样, 也支持异步机制,因此ASIO用起来还是比较顺手的,下面是个人总结的四点注意事项。
linux跟踪技术之ebpf
Innocence_0的博客
08-12 504
eBPF是一项革命性的技术,起源于 Linux内核,可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能,而无需更改内核源代码或加载内核模块。比如,使用ebpf可以追踪任何内核导出函数的参数,返回值,以实现kernel hook的效果;通过ebpf还可以在网络封包到达内核协议栈之前就进行处理,这可以实现流量控制,甚至隐蔽通信。
ebpf_bcc_tools之stacksnoop(跟踪进程指定内核函数堆栈调用信息)
ljbcharles的专栏
04-09 759
ebpf实用案例之跟踪进程指定内核函数堆栈调用信息
VED-eBPF:一款基于eBPF内核利用和Rootkit检测工具
FreeBuf_的博客
02-10 1695
VED-eBPF使用eBPF来跟踪安全敏感的内核行为,并检测潜在安全漏洞或Rootkit所引发的异常。当前版本的VED-eBPF提供了下列两种检测功能:1、wCFI(控制流完整性)跟踪内核调用栈,以检测控制流劫持攻击。它可以生成一个有效调用站点的位图,并验证每个返回地址是否与已知调用站点匹配;2、PSD(权限提升检测)跟踪对内核中凭据结构的更改行为,以检测未经授权的权限升级情况;
eBPF内核实现之TRACING
qq_17045267的博客
07-06 2846
eBPF目前被广泛应用于Linux系统中的各个领域,包括网络、安全、性能、调测等。其中,内核trace算是eBPF比较早所支持的特性。最早的用于内核traceeBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于traceeBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
Linux 中的 eBPF
魏小言的博客
03-08 932
了解更多,请关注 公众号 “ [code 杂坛](Kafka 高吞吐、高性能核心技术及最佳应用场景...) “! 01 什么是 eBPFeBPF 基金会? 简单来说,eBPFLinux 内核中一个非常灵活与高效的类虚拟机 (virtual machine-like) 组件, 能够在许多内核 hook 点安全地执行字节码 (bytecode)。很多内核子系统都已经使用BPF,例如常见的网络、跟踪与安全。 eBPF 基金会 (https://ebpf.io) 是一个为 eBPF 技术而创
深入浅出 eBPF|你要了解的 7 个核心问题
阿里巴巴云原生的博客
07-12 447
eBPF 提供的只是一个框架和机制,核心还是需要用 eBPF 的人对软件栈的理解,找到合适的插桩点,能够和应用问题进行关联。
深入浅出eBPF|你要了解的7个核心问题
阿里云云栖号
06-17 972
过去一年,ARMS基于eBPF技术打造了Kubernetes监控,提供多语言无侵入的应用性能,系统性能,网络性能观测能力,验证了eBPF技术的有效性。eBPF技术和生态发展很好,未来前景广大,作为该技术的实践者,本文目标是通过回答7个核心问题介绍eBPF技术本身,为大家解开eBPF的面纱。...
BPF( 伯克利数据包过滤器 ) Performance Tools》 第六章 CPU
weixin_55255438的博客
10-15 1560
如果你发现某个程序明显受限于CPU资源(CPU-Bound), 那么你就可以用到本章提到的CPU工具来进一步定位并分析问题。市面上有各种各样的采样式性能剖析:器(SamplingProfiler)以及各种各样的性能指标来帮助你理解程序的CPU用量。不过,(这可能会出乎你的意料),BPF跟踪系统仍然可以在很多地方帮助你进行深度分析。学习目标■理解CPU的运行模式、CPU调度器的行为及CPU缓存。■理解如何使用BPF来分析CPU调度器、CPU用量及硬件性能。
Linux声音设备编程实例.rar_audio linux_ioctl_linux 声卡_声卡_声音 比对
09-14
Linux下的声音设备编程比大多数人想象的要简单得多。一般说来,我们常用的声音设备是内部扬声器和声卡,它们都对应/dev目录下的一个或多个设备文件,我们象打开普通文件一样打开它们,用ioctl()函数设置一些参数,...
IOCTL_Test.rar_IOCTL__USB 驱动开发 3.2_ioctl_ioctl u_usb ioctl
09-24
"IOCTL (Input/Output Control) Test.rar"这个压缩包文件显然包含了关于如何使用IOCTL进行USB驱动开发的相关资料,特别是针对"3.2 ioctl_ioctl u_usb ioctl"这个特定主题。以下是对这些知识点的详细阐述: **IOCTL ...
ioctl_example.rar_ioctl_ioctl example_mdoc
09-20
`ioctl`函数在Linux中被定义为`ioctl(2)`系统调用,其主要用途是向设备驱动发送命令并处理特定的数据交互。`ioctl`调用有三个参数:文件描述符(通常是从`open()`返回的)、命令码(定义了要执行的操作)和一个可选...
drm_ioctl-.rar_drm linux
09-14
1. **DRM_IOCTL定义**:在`drm_ioctl.c`中,你会看到许多定义了ioctl命令的宏,如`DRM_IOCTL_NAME`和`DRM_IOCTL_NR`。这些宏将ioctl命令编码为一个唯一的整数,便于在内核中识别和处理。 2. **ioctl处理函数**:每...
ioctlsocket.rar_IOCP_delphi iocp_ioctlsocket_socket ioctlsocket_
07-14
一个delphi中用多种模式socket的示例,包括: 1、阻塞单线程 2、阻塞多线程 3、非阻塞模式 4、Select模式 5、WSAAsynSelect模式 6、IOCP模式 7、UPD通讯 非常经典!
linux长时间运行任务中断报警trap
djl的专栏,blog.djl.cx好记
11-08 192
每天要运行的定时任务, 时间很长, 有一天突然被中断了, 如果能有个中断提醒就好了。sleep 命令模拟一个长时间运行的任务,并在后台运行它。wait 命令等待任务完成或被杀死,并检查。wait 命令的退出状态码来判断脚本是否被。在这个脚本中,我们使用
Linux下的systemd/service
zxz_Fine的博客
11-05 571
开机自启任务
linux rocky 9.4部署和管理docker harbor私有源
xikui1551的博客
11-08 738
rocky 部署Harbor私有镜像仓库
linux-find和zgrep
luxideyao的专栏
11-07 293
命令本身并不支持递归搜索,它只能搜索单个压缩文件。但是,你可以结合使用。如果你想要搜索所有类型的压缩文件,你可以使用。是你想要搜索的目录的路径。是你想要搜索的文本模式,文件,你可能需要使用。文件并搜索其中的内容。作为输入文件的占位符。
Xshell,Shell的相关介绍与Linux中的权限问题
最新发布
2301_81265915的博客
11-09 416
首先,先介绍一下我们学习Linux的工具:XshellXShell 是一个流行的 Windows 平台上的 SSH、Telnet 和 Rlogin 客户端,主要用于远程连接 Linux/Unix 系统。它的运行原理大致如下:1:协议支持: XShell 支持多种远程协议(如 SSH、Telnet、Rlogin 等)。最常用的是 SSH 协议,它提供了安全的加密通信。SSH(Secure Shell)通过加密对客户端和服务器之间的通信进行保护,以防止数据在网络中被窃听和篡改。2:建立连接。
Linux下通过ioctl实现cdrom仓门控制方法
Linux内核中,对光驱这类块设备的控制可以通过各种系统调用内核接口实现,其中包括ioctl系统调用ioctl是一种通用的系统调用,允许程序对设备进行控制,执行各种设备特定的操作。在本例中,特别提到的是对cdrom...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值