基于eBPF的syscall追踪工具教程

于 2024-06-14 09:41:30 发布
阅读量390 收藏 4
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00059/article/details/139671716
版权

基于eBPF的syscall追踪工具教程

estrace 基于eBPF的syscall追踪工具,适用于安卓平台 项目地址: https://gitcode.com/gh_mirrors/es/estrace

1、项目介绍

estrace 是一个基于eBPF(Extended Berkeley Packet Filter)的syscall追踪工具,专门为安卓平台设计。eBPF是一种强大的内核技术,允许用户在不修改内核代码的情况下,动态地在内核中执行自定义代码。estrace 利用这一技术,能够实时追踪和分析安卓系统中的系统调用(syscall),帮助开发者深入了解系统行为,排查性能问题和安全漏洞。

2、项目快速启动

环境准备

在开始之前,请确保你的开发环境满足以下要求:

  • 安卓设备或模拟器
  • Linux开发环境(推荐使用Ubuntu)
  • 安装了必要的开发工具,如clangllvmlibbpf

安装步骤

  1. 克隆项目

    打开终端,执行以下命令克隆estrace项目:

    git clone https://github.com/SeeFlowerX/estrace.git
cd estrace

  2. 编译项目

    在项目根目录下,执行以下命令进行编译:

    make

  3. 运行estrace

    编译完成后,你可以通过以下命令运行estrace

    ./estrace

示例代码

以下是一个简单的示例代码,展示如何使用estrace追踪一个简单的C程序的系统调用:

#include <stdio.h>
#include <unistd.h>

int main() {
    printf("Hello, World!\n");
    sleep(1);
    return 0;
}

编译并运行该程序:

gcc -o hello hello.c
./hello

然后,使用estrace追踪该程序的系统调用:

./estrace ./hello

3、应用案例和最佳实践

应用案例

  • 性能分析:通过追踪系统调用,开发者可以分析应用程序的性能瓶颈,找出不必要的系统调用或耗时操作。
  • 安全审计estrace可以帮助安全专家监控和分析应用程序的系统调用,检测潜在的安全漏洞或恶意行为。
  • 调试工具:在开发过程中,estrace可以作为一个强大的调试工具,帮助开发者理解应用程序与操作系统之间的交互。

最佳实践

  • 过滤关键系统调用:在实际使用中,建议根据需求过滤特定的系统调用,以减少输出信息的冗余。
  • 结合其他工具estrace可以与其他调试和分析工具结合使用,如straceperf等,以获得更全面的分析结果。
  • 定期更新:由于eBPF技术的快速发展,建议定期更新estrace项目,以获取最新的功能和修复。

4、典型生态项目

  • BCC(BPF Compiler Collection):BCC是一个强大的工具集,提供了许多基于eBPF的工具和库,estrace可以与BCC结合使用,扩展其功能。
  • bpftrace:bpftrace是一个高级语言,专门用于编写eBPF程序,estrace可以与bpftrace结合,实现更复杂的追踪和分析任务。
  • Cilium:Cilium是一个基于eBPF的网络和安全解决方案,estrace可以与Cilium结合,提供更全面的系统监控和安全防护。

通过以上模块的介绍,你应该能够快速上手并深入使用estrace项目。希望这篇教程对你有所帮助!

estrace 基于eBPF的syscall追踪工具,适用于安卓平台 项目地址: https://gitcode.com/gh_mirrors/es/estrace

操作系统大赛:基于 eBPF 的容器监控工具 Eunomia 初赛报告(目标描述、ebpf 调研)
云微的blog
07-07 798
本项目由两部分组成: 是一个使用 C/C++ 开发的基于eBPF的云原生监控工具,旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件,力求为工业界提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。目前,它包含 、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能。除了收集容器中的一般系统运行时内核指标,例如系统调用、网络连接、文件访问、进程执行等,我们在探索实现过程中还发现目前对于 和 相关用
Eunomia: 基于 eBPF 的轻量级 CloudNative Monitor 工具,用于容器安全性和可观察性(概要介绍)
云微的blog
06-30 795
是一个使用 C/C++ 开发的基于 eBPF 的云原生监控工具,旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件,力求为工业界提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。目前,它包含 、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能。除了收集容器中的一般系统运行时内核指标,例如系统调用、网络连接、文件访问、进程执行等,我们在探索实现过程中还发现目前对于 和 相关用户态 工具和指标
eBPF监控工具bcc系列一启航
weixin_34129145的博客
05-07 1155
 在eBPF篇中,我们知道虽然可用 C 来实现 BPF,但编译出来的却仍然是 ELF 文件,开发者需要手动析出真正可以注入内核的代码。工作有些麻烦,于是就有人设计了 BPF Compiler Collection(BCC),BCC 是一个(基于 C 和 C++) python 库,实现了对 BCC 应用层接口的封装。   使用 BCC 进行 BPF ...
(gopher)一无所知学ebpf
onepunchgo的博客
02-05 1795
我相信仍然有很多人不知道ebpf为何物,也不知道从何学起。但他似乎正在成为云原生开发性能优化的技术手段的事实标准
eBPF初体验
chensong_2000的博客
08-13 1880
eBPF(aka extended berkeley package filter)是最近比较热门的内核调试方法和工具。 我个人目前还是更喜欢用trace-cmd+ftrace来调试内核的问题,但ebpf据说是可以更加灵活的设置调试信息。ebpf的原理是使用tracepoint静态监测点和kprobe动态监测点来对内核进行函数级别的监测,可以监测内核运行的代码流是否正确,更可以监控内核运行的效率。 我在github上fork了一份bcc(https://github.com/iovisor/bcc)的代
eBPF & bcc实例分析
金荣的个人技术博客
02-28 2924
上一篇博客简单介绍了 eBPF 并介绍了 bcc 框架的安装及简单应用,本篇开始实战,动手写 bcc 程序。先来一个简单的bcc 程序,作用为探测 sys_sync ,检测到 sync 时打印出“sys_sync() called”。sys_sync系统调用被用户空间函数调用,用来将内核文件系统缓冲区的所有数据写入存储介质,sys_sync系统调用将buffer、inode和super在缓存中的数...
ebpf-linux 安全“双刃剑”
统信软件的博客
05-06 1230
eBPF全称 extended BPF,Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,另一方面,在接口的设计以及易用性上,也有了较大的改进。eBPF 是一个基于寄存器的虚拟机,使用自定义的 64 位 RISC 指令集,能够在 Linux 内核内运行即时本地编译的 “BPF 程序”,并能访问内核功能和内存的一个子集。
基于eBPF的开源项目
eBPF_Kindling的博客
04-29 1060
引言 真正意义上的eBPF技术虽然诞生还不到十年时间(2014年首次提出eBPF概念),但已经发展成为当下炙手可热的技术。去年8月,由微软、谷歌、Facebook(已更名为meta) 等公司联合成立了eBPF基金会,大力发展eBPF技术。最近几年,eBPF技术在国内也得到了广泛应用,很多大厂也开始关注并采用eBPF技术。 eBPF简介 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的小伙伴对BPF应该比较了解,它通过特定的语法
eBPF追踪技术对比】:选择正确的性能分析工具
[【eBPF追踪技术对比】:选择正确的性能分析工具](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/c357e6c47d3e47b49a60d8108a773fa9~tplv-k3u1fbpfcp-zoom-in-crop-mark:1512:0:0:0.awebp) # 摘要 本论文...
操作系统大赛:基于 eBPF 的容器监控工具 Eunomia 初赛报告(系统设计、ebpf 探针设计)
云微的blog
07-07 653
项目仓库:https://github.com/yunwei37/Eunomia系统架构关于详细的系统架构设计和模块划分,请参考 系统设计文档tracker_manager负责启动和停止 ebpf 探针,并且和 ebpf 探针通信(每个 tracer 是一个线程);我们主要有五个ebpf探针:container_manager负责观察 container 的启动和停止,保存每个 container 的相关信息:(cgroup,namespace),同时负责 container id, container n
eBPF开发入门】案例(二)之监控系统调用
qq_40695381的博客
11-09 640
0x01编辑代码 创建一个新文件syscall_counter.py,然后输入以下Python脚本。这个脚本使用BCC创建了一个eBPF程序,该程序会挂接(hook)到sys_clone系统调用,每次调用都会增加计数器。 from bcc import BPF # 定义eBPF程序 prog = """ #include <linux/sched.h> BPF_HASH(syscall_count, u32, u64); int count_sys_clone(struct pt_re
ebpf之bcc程序入门
qq_44927248的博客
10-24 1845
了解内核态**如何向用户态传递数据**(BPF_ARRAY,BPF_HASH等和相应增删改查函数,用户态中如何读取数据b[""].items()等函数),了解在挂载函数时**如何选择相应的探针**(kprobes、kretprobes、uprobes、uretprobes),了解如何**从挂载的函数中获取数据**(PT_REGS_PARM*、PT_REGS_RC、以及bpf中定义的有关函数,如bpf_get_current_pid_tgid()),就可以尝试自己编写bcc程序了。
Linux中基于eBPF的恶意利用与检测机制
Jay
04-18 1135
容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核安全带来了新的挑战。此时,eBPF出现,它以较小的子系统改动,保障了系统内核的稳定,还具备实时动态加载的特性,能将业务逻辑加载到内核,实现热更新的动态执行。ip命令的参数中包含bpf字节码文件名,ip进程打开.o字节码的FD,通过NETLINK发IFLA_XDP类型消息(子类型IFLA_XDP_FD)给内核,内核调用dev_change_xdp_fd函数,由网卡接管FD,引用计数器递增,用户空间的ip进程退出后,BPF程序依旧工作。
eBPF系列学习(4)了解libbpf、CO-RE (Compile Once – Run Everywhe) | 使用go开发ebpf程序(云原生利器cilium ebpf
西京刀客
06-11 3920
当涉及到选择库和工具来与 eBPF 进行交互时,会让人有所困惑。在选择时,你必须在基于 Python 的 BCC 框架、基于 C 的 libbpf 和一系列基于 Go 的 Dropbox、Cilium、Aqua 和 Calico 等库中选择。
eBPF程序注入到内核中的流程,现在就带你研究(下)
内核工匠
09-01 1480
”系列目录1. 疑惑2. vfsstat_bpf__open3. bpf_object__load_skeleton加载bpf4. bpf_object__attach_skeleton附着bpf程序5. 触发bpf程序6 .总结eBPF程序注入到内核中的流程,现在就带你研究(上)3. bpf_object__load_skeleton加载bpfvfsstat_bpf__load调用的就是bpf_...
eBPF 入门开发实践指南四:在 eBPF 中捕获进程打开文件的系统调用集合,使用全局变量过滤进程 pid
云微的blog
01-23 1393
本文介绍了如何使用 eBPF 程序来捕获进程打开文件的系统调用。在 eBPF 程序中,我们可以通过定义 tracepoint__syscalls__sys_enter_open 和 tracepoint__syscalls__sys_enter_openat 函数并使用 SEC 宏把它们附加到 sys_enter_open 和 sys_enter_openat 两个 tracepoint 来捕获进程打开文件的系统调用。
ebpf_bcc_tools之execsnoop(监控系统进程exec执行)
ljbcharles的专栏
04-09 612
ebpf实用案例之系统进程exec执行命令监控
探索系统调用的新境界 —— eStrace 使用指南与推荐
最新发布
gitblog_00049的博客
06-01 721
探索系统调用的新境界 —— eStrace 使用指南与推荐 eStraceA tool that traces system calls using eBPF项目地址:https://gitcode.com/gh_mirrors/est/eStrace 在Linux和Android应用的调试与分析领域,一款强大而灵活的工具至关重要。今天,我们来深入探讨一款新兴的神器——eStrace,它基于先进...
bpflock:基于eBPF实现的Linux设备安全审计工具
小王的储物间
01-29 413
1、内存保护:内核镜像锁定、内核模块保护、BPF保护;2、进程保护:无文件内存执行、命名空间保护;3、硬件攻击测试:USB保护;4、系统和应用程序跟踪:跟踪应用程序执行、跟踪特权系统操作;5、文件系统保护:只读Root文件系统保护、sysfs保护;6、网络保护;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

毕艾琳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值