ebpf_bcc_tools之execsnoop(监控系统进程exec执行)

已于 2024-04-09 12:09:22 修改
阅读量621 收藏 10
点赞数 4
分类专栏: ebpf 文章标签: linux 安全 python 开源
于 2024-04-09 11:19:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljbcharles/article/details/137543652
版权

一、eBPF 最大的特点就是动态加载

        当你把一个 eBPF 程序加载到内核中时,它会立刻生效;当你终止其运行时,它的检测功能也会立刻终止。eBPF 程序在事件触发时由内核运行,所以可以被看作是一种函数挂钩或事件驱动的编程形式。

        事件可由 kprobes/uprobes、tracepoints、dtrace probes、socket 等产生。这允许在内核和用户进程的指令中钩住(hook)和检查任何函数的内存、拦截文件操作、检查特定的网络数据包等等。
        事件触发了附加的 eBPF 程序的执行,后续可以将信息保存至 map 和环形缓冲区(ringbuffer)或调用一些特定 API 定义的内核函数的子集。一个 eBPF 程序可以链接到多个事件,不同的 eBPF 程序也可以访问相同的 map 以共享数据。一个被称为 “program array” 的特殊读/写 map 存储了对通过 bpf() 系统调用加载的其他 eBPF 程序的引用,在该 map 中成功的查找则会触发一个跳转,而且并不返回到原来的 eBPF 程序。这种 eBPF 嵌套也有限制,以避免无限的递归循环。
        运行 eBPF 程序的步骤:
            1.用户空间将字节码和程序类型一起发送到内核,程序类型决定了可以访问的内核区域(主要是 BPF 辅助函数的各种子集)。
            2.内核在字节码上运行验证器,以确保程序可以安全运行(kernel/bpf/verifier.c)。
            3.内核将字节码编译为本地代码,并将其插入(或附加到)指定的代码位置。(如果启用了 JIT 功能,字节码编译为本地代码)。
            4.插入的代码将数据写入环形缓冲区或通用键值 map。
            5.用户空间从共享 map 或环形缓冲区中读取结果值。

   二、execsnoop(监控系统进程exec执行)源码解析

  源码位置:/usr/share/bcc/tools/execsnoop  (需具备ebpf+bcc环境)

#!/usr/libexec/platform-python
# @lint-avoid-python-3-compatibility-imports
#
# execsnoop Trace new processes via exec() syscalls.
#           For Linux, uses BCC, eBPF. Embedded C.
#
# USAGE: execsnoop [-h] [-T] [-t] [-x] [-q] [-n NAME] [-l LINE]
#                  [--max-args MAX_ARGS]
#
# This currently will print up to a maximum of 19 arguments, plus the process
# name, so 20 fields in total (MAXARG).
#
# This won't catch all new processes: an application may fork() but not exec().
#
# Copyright 2016 Netflix, Inc.
# Licensed under the Apache License, Version 2.0 (the "License")
#
# 07-Feb-2016   Brendan Gregg   Created this.

#加载依赖
from __future__ import print_function
from bcc import BPF
from bcc.containers import filter_by_containers
from bcc.utils import ArgString, printb
import bcc.utils as utils
import argparse
import re
import time
import pwd
from collections import defaultdict
from time import strftime

#
def parse_uid(user):
    try:
        result = int(user)
    except ValueError:
        try:
            user_info = pwd.getpwnam(user)
        except KeyError:
            raise argparse.ArgumentTypeError(
                "{0!r} is not valid UID or user entry".format(user))
        else:
            return user_info.pw_uid
    else:
        # Maybe validate if UID < 0 ?
        return result


# arguments参数
examples = """examples:
    ./execsnoop           # trace all exec() syscalls
    ./execsnoop -x        # include failed exec()s
    ./execsnoop -T        # include time (HH:MM:SS)
    ./execsnoop -U        # include UID
    ./execsnoop -u 1000   # only trace UID 1000
    ./execsnoop -u user   # get user UID and trace only them
    ./execsnoop -t        # include timestamps
    ./execsnoop -q        # add "quotemarks" around arguments
    ./execsnoop -n main   # only print command lines containing "main"
    ./execsnoop -l tpkg   # only print command where arguments contains "tpkg"
    ./execsnoop --cgroupmap mappath  # only trace cgroups in this BPF map
    ./execsnoop --mntnsmap mappath   # only trace mount namespaces in the map
"""
#初始化命令项选项与参数解析
parser = argparse.ArgumentParser(
    description="Trace exec() syscalls",
    formatter_class=argparse.RawDescriptionHelpFormatter,
    epilog=examples)
parser.add_argument("-T", "--time", action="store_true",
    help="include time column on output (HH:MM:SS)")
parser.add_argument("-t", "--timestamp", action="store_true",
    help="include timestamp on output")
parser.add_argument("-x", "--fails", action="store_true",
    help="include failed exec()s")
parser.add_argument("--cgroupmap",
    help="trace cgroups in this BPF map only")
parser.add_argument("--mntnsmap",
    help="trace mount namespaces in this BPF map only")
parser.add_argument("-u", "--uid", type=parse_uid, metavar='USER',
    help="trace this UID only")
parser.add_argument("-q", "--quote", action="store_true",
    help="Add quotemarks (\") around arguments."
    )
parser.add_argument("-n", "--name",
    type=ArgString,
    help="only print commands matching this name (regex), any arg")
parser.add_argument("-l", "--line",
    type=ArgString,
    help="only print commands where arg contains this line (regex)")
parser.add_argument("-U", "--print-uid", action="store_true",
    help="print UID column")
parser.add_argument("--max-args", default="20",
    help="maximum number of arguments parsed and displayed, defaults to 20")
parser.add_argument("--ebpf", action="store_true",
    help=argparse.SUPPRESS)
args = parser.parse_args()

#定义BPF程序(C语言)
bpf_text = """
#include <uapi/linux/ptrace.h>
#include <linux/sched.h>
#include <linux/fs.h>

#define ARGSIZE  128

enum event_type {
    EVENT_ARG,
    EVENT_RET,
};
//定义了内核Probe程序与用户空间程序通信的结构体data_t
struct data_t {
    u32 pid;  // PID as in the userspace term (i.e. task->tgid in kernel)
    u32 ppid; // Parent PID as in the userspace term (i.e task->real_parent->tgid in kernel)
    u32 uid;
    char comm[TASK_COMM_LEN];
    enum event_type type;
    char argv[ARGSIZE];
    int retval;
};

//通过BBC宏定义内核中events变量
BPF_PERF_OUTPUT(events);

//函数bpf_probe_read_user:u64 res = bpf_probe_read_user(&buf, sizeof(buf), (void *)PT_REGS_PARM1(ctx)); 从用户空间&buf读取数据到变量ctx
//events.perf_submit:将event数据发送至用户空间
static int __submit_arg(struct pt_regs *ctx, void *ptr, struct data_t *data)
{
    bpf_probe_read_user(data->argv, sizeof(data->argv), ptr);
    events.perf_submit(ctx, data, sizeof(struct data_t));
    return 1;
}
//初始化args参数
static int submit_arg(struct pt_regs *ctx, void *ptr, struct data_t *data)
{
    const char *argp = NULL;
    bpf_probe_read_user(&argp, sizeof(argp), ptr);
        //
    if (argp) {
        return __submit_arg(ctx, (void *)(argp), data);
    }
    return 0;
}

int syscall__execve(struct pt_regs *ctx,
    const char __user *filename,
    const char __user *const __user *__argv,
    const char __user *const __user *__envp)
{
        //获取当前用户uid和组tgid,高32位为GID,低32位为UID
    u32 uid = bpf_get_current_uid_gid() & 0xffffffff;

    UID_FILTER

    if (container_should_be_filtered()) {
        return 0;
    }

    // create data here and pass to submit_arg to save stack space (#555)
    struct data_t data = {};
    struct task_struct *task;

        //获取进程pid和组tgid,低32位为当前进程ID,高32位是组ID。
    data.pid = bpf_get_current_pid_tgid() >> 32;

        //获取当前任务的task struct结构体,通过task获取ppid
    task = (struct task_struct *)bpf_get_current_task();
    // Some kernels, like Ubuntu 4.13.0-generic, return 0
    // as the real_parent->tgid.
    // We use the get_ppid function as a fallback in those cases. (#1883)
    data.ppid = task->real_parent->tgid;

        //获取当前进程名字,并填充第一个参数地址。bpf_get_current_comm(char *buf, int size_of_buf)
    bpf_get_current_comm(&data.comm, sizeof(data.comm));
    data.type = EVENT_ARG;

    __submit_arg(ctx, (void *)filename, &data);

    // skip first arg, as we submitted filename
    #pragma unroll
    for (int i = 1; i < MAXARG; i++) {
        if (submit_arg(ctx, (void *)&__argv[i], &data) == 0)
             goto out;
    }

    // handle truncated argument list
    char ellipsis[] = "...";
    __submit_arg(ctx, (void *)ellipsis, &data);
out:
    return 0;
}

int do_ret_sys_execve(struct pt_regs *ctx)
{
    if (container_should_be_filtered()) {
        return 0;
    }

    struct data_t data = {};
    struct task_struct *task;

    u32 uid = bpf_get_current_uid_gid() & 0xffffffff;
    UID_FILTER

    data.pid = bpf_get_current_pid_tgid() >> 32;
    data.uid = uid;

    task = (struct task_struct *)bpf_get_current_task();
    // Some kernels, like Ubuntu 4.13.0-generic, return 0
    // as the real_parent->tgid.
    // We use the get_ppid function as a fallback in those cases. (#1883)
    data.ppid = task->real_parent->tgid;

    bpf_get_current_comm(&data.comm, sizeof(data.comm));
    data.type = EVENT_RET;
    data.retval = PT_REGS_RC(ctx);
    events.perf_submit(ctx, &data, sizeof(data));

    return 0;
}
"""

bpf_text = bpf_text.replace("MAXARG", args.max_args)

#是否指定uid参数
if args.uid:
    bpf_text = bpf_text.replace('UID_FILTER',
        'if (uid != %s) { return 0; }' % args.uid)
else:
    bpf_text = bpf_text.replace('UID_FILTER', '')

bpf_text = filter_by_containers(args) + bpf_text

if args.ebpf:
    print(bpf_text)
    exit()

#初始化BPF
b = BPF(text=bpf_text)
#获取需要跟踪的系统调用函数名
execve_fnname = b.get_syscall_fnname("execve")
#在eBPF用户态程序中,可以通过attach_kprobe函数将内核态eBPF程序通过kprobes机制附加到某个内核函数中。attach_kprobe 函数会创建一个 perf event,再将 eBPF 内核态程序附加到 perf event。每个 perf event 的 kprobe probe handler 都是 kprobe_dispatch 函数,他会去 perf event 中获取注册在当前 perf event 的回调函数列表并依次执行,同时将指向 perf ringbuffer 的指针的传递给 eBPF 程序,eBPF 程序可以通过 libbpf 封装好的 PT_REGS_PARAMx 宏定义来获取缓冲区中的数据。(tracepoint 类型的eBPF程序需要定义好tracepoint关联的函数的参数的数据结构 /sys/kernel/tracing/events)。该kprobe会执行自定义的trace_stack()函数。可以通过多次执行attach_kprobe() ,将自定义的函数附加到多个内核函数上。
b.attach_kprobe(event=execve_fnname, fn_name="syscall__execve")
b.attach_kretprobe(event=execve_fnname, fn_name="do_ret_sys_execve")

# header
if args.time:
    print("%-9s" % ("TIME"), end="")
if args.timestamp:
    print("%-8s" % ("TIME(s)"), end="")
if args.print_uid:
    print("%-6s" % ("UID"), end="")
print("%-16s %-6s %-6s %3s %s" % ("PCOMM", "PID", "PPID", "RET", "ARGS"))

class EventType(object):
    EVENT_ARG = 0
    EVENT_RET = 1

start_ts = time.time()
argv = defaultdict(list)

# This is best-effort PPID matching. Short-lived processes may exit
# before we get a chance to read the PPID.
# This is a fallback for when fetching the PPID from task->real_parent->tgip
# returns 0, which happens in some kernel versions.
def get_ppid(pid):
    try:
        with open("/proc/%d/status" % pid) as status:
            for line in status:
                if line.startswith("PPid:"):
                    return int(line.split()[1])
    except IOError:
        pass
    return 0

# process event
def print_event(cpu, data, size):
    event = b["events"].event(data)
    skip = False

    if event.type == EventType.EVENT_ARG:
        argv[event.pid].append(event.argv)
    elif event.type == EventType.EVENT_RET:
        if event.retval != 0 and not args.fails:
            skip = True
        if args.name and not re.search(bytes(args.name), event.comm):
            skip = True
        if args.line and not re.search(bytes(args.line),
                                       b' '.join(argv[event.pid])):
            skip = True
        if args.quote:
            argv[event.pid] = [
                b"\"" + arg.replace(b"\"", b"\\\"") + b"\""
                for arg in argv[event.pid]
            ]

        if not skip:
            if args.time:
                printb(b"%-9s" % strftime("%H:%M:%S").encode('ascii'), nl="")
            if args.timestamp:
                printb(b"%-8.3f" % (time.time() - start_ts), nl="")
            if args.print_uid:
                printb(b"%-6d" % event.uid, nl="")
            ppid = event.ppid if event.ppid > 0 else get_ppid(event.pid)
            ppid = b"%d" % ppid if ppid > 0 else b"?"
            argv_text = b' '.join(argv[event.pid]).replace(b'\n', b'\\n')
            printb(b"%-16s %-6d %-6s %3d %s" % (event.comm, event.pid,
                   ppid, event.retval, argv_text))
        try:
            del(argv[event.pid])
        except Exception:
            pass


# loop with callback to print_event
b["events"].open_perf_buffer(print_event)
while 1:
    try:
        b.perf_buffer_poll()
    except KeyboardInterrupt:
        exit()

#./execsnoop

5.42 BCC工具之execsnoop.py解读
从0到1,突破自己
03-04 330
execsnoop工具通过跟踪exec()系统调用来跟踪短时进程(也称为瞬时进程或快速执行进程)。当进程通过exec()系统调用执行新的程序时,execsnoop能够捕获这些事件,并输出短时进程的基本信息,包括进程PID、父进程PID、命令行参数以及执行的结果。例如当系统的CPU使用率和平均负载很高,但通过常规工具找不到高CPU使用率的进程时,可能是由于某些进程在不断崩溃和重启导致的。在这种情况下,execsnoop可以帮助识别这些短时进程,从而找到问题的根源。此外,execsnoop
5.5 BCC概况
从0到1,突破自己
01-21 314
在第一章我们介绍过BCC框架,它是一个ebpf开发工具链,我们可以使用它编写python程序,并将eBPF程序嵌入其中。该框架主要用于应用程序和系统的分析/跟踪等场景,其中eBPF程序用于收集统计数据或生成事件,而用户空间中的对应程序收集数据并以易于理解的形式展示。通过运行python程序将生成eBPF字节码并将其加载到内核中去。本章的前面几节也介绍了如何在Android中使能BCC,本章接下来会一一介绍如何使用BCC
bcc工具之execsnoop
sh的博客
08-23 1259
我们知道linux中 创建进程的开销,或者说代价是比较大的。 原因主要是 进程之间 地址空间不共享,资源也不共享,都需要copy一份(不考虑写时复制机制) 而线程之间 共享地址空间,线程间调度的时候地址空间是一样的 tlb cache往往不会大量失效(tlb miss 的代价还是比较大的) 在排查一些系统问题时,往往 top 看到的CPU使用率已经到 100%了,但是看 各个进程的 cpu使用率相加 只有 30% 这种远低于 100%,这是因为 系统快速创建的进程往往没有被显示出来,top更新频率是 1次/
服务器短进程分析工具execsnoop
weixin_43568232的博客
11-11 716
阿里云服务器中病毒,导致cpu100%,但top命令查不到高占用cpu进程,使用execsnoop工具进行短进程分析,帮助排查问题 创建execsnoop文件(vim execsnoop),将以下内容复制进去保存(wq!) #op - trace process exec() with arguments. # Written using Linux ftrace. # # This shows the execution of new processes, especially
ebpf 跟踪应用程序函数
zhaoyangjian724的专栏
11-01 407
sudo bpftrace -e 'usdt:/usr/bin/python3:function__entry { printf("%s:%d %s\n", str(arg0), arg2, str(arg1))}' scan@scan-virtual-machine:~/ebpf$ cat test.py def test_fun1(): return('aaaaaaaaaaa') print(test_fun1())<frozen zipimport>:63 __init__ <frozen im
eBPF开发入门】案例(二)之监控系统调用
qq_40695381的博客
11-09 652
0x01编辑代码 创建一个新文件syscall_counter.py,然后输入以下Python脚本。这个脚本使用BCC创建了一个eBPF程序,该程序会挂接(hook)到sys_clone系统调用,每次调用都会增加计数器。 from bcc import BPF # 定义eBPF程序 prog = """ #include <linux/sched.h> BPF_HASH(syscall_count, u32, u64); int count_sys_clone(struct pt_re
BCC动态跟踪PostgreSQL】
小怪兽的博客
01-02 719
BPF Compiler Collection (BCC)是基于eBPFLinux内核分析、跟踪、网络监控工具。其源码存放于想要监控PostgreSQL数据库的相关SQL需要在编译PostgreSQL的时候开启dtrace。下文主要介绍几个和PostgreSQL相关的工具,其他工具可根据需求自行了解。
Linux性能调优之使用BPF工具观测CPU性能指标
最新发布
山河已无恙
10-23 1248
博文内容涉及工具来自一书,CPU性能指标涉及:系统短期创建的线程进程跟踪进程线程的CPU运行时长,脱离时长统计线程的运行队列长度,等待延时时间,有多少线程在等待,多核队列是否均衡线程运行调用栈和脱离调用栈跟踪线程 软硬中断 CPU时间,LLC 三级缓存命中率分析内核态系统调用跟踪分析理解不足小伙伴帮忙指正 😃,生活加油喜欢文字的人,大多敏感且心软,忽然不快乐忽然被回忆揪住心脏忽然沉默到泪流。
CGroup管理资源限制和系统追踪工具使用详解
悦分享
08-27 278
2006 年,Google 工程师在开源社区发起了一个用来管理和限制进程资源使用的项目,名为“process containers”,2007 年,Linux 内核团队将其改名为 cgroup 纳入到 Linux 内核 feature 项目中。在 2008 年 1 月发布的 Linux 2.6.24,这一功能被合并到了内核中。到 Linux 4.5 版本内核,CGroup v2 被合并到内核,这是一次在使用方式上的重大更新。
【驱动调试技巧】:Linux性能追踪与监控的艺术
![【驱动调试技巧】:Linux性能追踪与监控的艺术]...重点介绍了基础与高级监控工具的使用技巧,如top、htop、perf、eBPFBCC等,以及它们在分析CPU、内存和I/O性能指标中的应用。同时,本文深入分析
execsnoop-短时进程追踪工具
biqu5401的博客
07-10 795
在实际工作中,偶尔会遇到系统的CPU使用率和系统平均负载很高,但却找不到高CPU的应用;产生这个问题的原因:进程有可能在不断的崩溃、重启通过uptime发现系统负载很高,但是通过top,mpstat,pidstat,perf等工具很难发现是什么进程导致了系统负载和CPU使用率很高;注:通过上面工具的判断,即不是CPU密集型,也不存在IO等待,也不存在进程、线程争用的情况exe...
使用 eBPF 实时持续跟踪进程文件记录
云原生实验室
06-02 2083
本文主要用于演示基于 ebpf 技术来实现对于系统调用跟踪和特定条件过滤,实现基于 BCC[1] 的 Python 前端绑定,过程中对于代码的实现进行了详细的解释,可以作为学习 ebpf ...
BCC-Tool 工具使用
静虚待令,有物混成
03-01 4923
1. 概述 2. 编译安装 1). 下载地址:Releases · iovisor/bcc (github.com)https://github.com/iovisor/bcc/releases2). 文件:bcc-src-with-submodule.tar.gz 3).解压:tar xvzfbcc-src-with-submodule.tar.gz 2.1 Linux X86 2.1.1 安装编译环境 sudo apt-get -y install bison build.
execsnoop终端安装
weixin_45631123的博客
05-07 430
目录中,并且具有执行权限。可以直接在终端中使用。可以按照以下步骤在Linux终端中完成将。命令来跟踪系统上执行的命令。
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1690
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、五层、四层网络结构。七层,五层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
rhel8中可以用yum install 安装bcc-tools包,bcc-tools包内有execsnoop等工具
msdnchina的专栏@JiNan,ShanDong
02-27 1385
[root@rhel8server1 ~]# cat /etc/redhat-release Red Hat Enterprise Linux release 8.0 (Ootpa) [root@rhel8server1 ~]# mount /dev/cdrom /mnt/cdrom mount: /mnt/cdrom: WARNING: device write-protected, mou...
ebpf入门---监听所有新进程
azraelxuemo的博客
03-08 872
eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
BCC – Dynamic Tracing Tools for Linux Performance Monitoring
Linux阅码场
11-19 958
BPF CompilerCollection (BCC)这个工具集包含很多用来观测内核性能的工具,全部使用eBPF,并且提供了python的外部编程能力。本文前序文章: 张亦鸣: eBPF 简史 本文转载自: https://www.tecmint.com/bcc-best-linux-performance-monitoring-tools/ 关注Linuxer,订阅源源不断的
eBPF可观测之网络流量控制和管理traffic control浅尝
kingu_crimson的博客
05-28 1580
首先发表一个"暴论"eBPF在可观测方面的应用,就是各种google。不需要学习内核,只要掌握ebpf开发套路。好比你开发 web 开发网站, 你了解socket 底层和内核吗?一样不了解。知道怎么调用就行了。而且 eBPF 的开发也没多少复杂度, 更多的是 在内核态拦截(简化的c语言) 内核数据(不管是网络数据还是tracepoint数据), 最终都是要发给用户态(可以理解为java、golang),然后用户态具体做业务处理。所以c语言也不需要怎么学,学了也没啥用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值