libbpf-bootstrap开发指南:内核态探针- kprobe

最新推荐文章于 2024-01-02 22:42:40 发布
最新推荐文章于 2024-01-02 22:42:40 发布
阅读量568 收藏 3
点赞数
分类专栏: BPF 文章标签: 性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32378713/article/details/131748926
版权

目录

代码分析

BPF程序部分

功能说明

BPF_CORE_READ

用户程序部分

功能说明

执行效果

代码分析

BPF程序部分
// SPDX-License-Identifier: GPL-2.0 OR BSD-3-Clause
/* Copyright (c) 2021 Sartura */
#include "vmlinux.h"
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>
#include <bpf/bpf_core_read.h>

char LICENSE[] SEC("license") = "Dual BSD/GPL";

SEC("kprobe/do_unlinkat")
int BPF_KPROBE(do_unlinkat, int dfd, struct filename *name)
{
	pid_t pid;
	const char *filename;

	pid = bpf_get_current_pid_tgid() >> 32;
	filename = BPF_CORE_READ(name, name);
	bpf_printk("KPROBE ENTRY pid = %d, filename = %s\n", pid, filename);
	return 0;
}

SEC("kretprobe/do_unlinkat")
int BPF_KRETPROBE(do_unlinkat_exit, long ret)
{
	pid_t pid;

	pid = bpf_get_current_pid_tgid() >> 32;
	bpf_printk("KPROBE EXIT: pid = %d, ret = %ld\n", pid, ret);
	return 0;
}
功能说明

用来监控在 Linux 中的文件删除操作的,具体来说是 unlinkat 系统调用

do_unlinkat 和 do_unlinkat_exit 不是系统调用,而是与 unlinkat 系统调用相关的内核函数和 BPF 程序中的探针。

  1. do_unlinkat 是一个内核函数,它实现了 unlinkat 系统调用的功能。unlinkat 系统调用用于删除一个文件或者目录,其原型如下
int unlinkat(int dirfd, const char *pathname, int flags);

其中 dirfd 是一个文件描述符,它引用了一个目录;pathname 是要删除的文件或者目录的路径;flags 可以是 0,也可以是 AT_REMOVEDIR,如果是 AT_REMOVEDIR,那么 pathname 就会被当作目录处理。

do_unlinkat 接收的参数与此类似,但是 pathname 参数被替换为了一个 struct filename * 类型的参数,这是因为在内核中,文件名经常以 struct filename 结构体的形式进行传递。

  • do_unlinkat_exit 是 BPF 程序中定义的一个探针,它是一个 kretprobe。kretprobe 是内核返回探针,它会在某个内核函数执行完毕后触发。在这个 BPF 程序中,do_unlinkat_exit 会在 do_unlinkat 函数执行完毕后触发。

do_unlinkat_exit 探针的功能是获取 do_unlinkat 的返回值,并打印一条包含了执行这个函数的进程的 PID 和返回值的消息。这对于追踪 unlinkat 系统调用的行为非常有用,因为你可以看到每次这个系统调用执行时的 PID 和返回值。

BPF_CORE_READ

BPF_CORE_READ(src, field) 是一个 eBPF 提供的宏,用于从内核空间读取数据。这个宏的工作方式类似于 C 语言的 . 运算符,但是它可以安全地用于读取内核数据,而不会导致 eBPF 程序因为尝试访问无效的内核内存地址而被终止。

BPF_CORE_READ(name, name) 这行代码的意图是从 struct filename *name 结构体中读取 name 字段的值,然后将这个值赋给 filename 变量。在这里,struct filename *name 是内核函数 do_unlinkat 的一个参数,struct filename 结构体的 name 字段通常用于存储文件名。

用户程序部分
// SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause)
/* Copyright (c) 2021 Sartura
 * Based on minimal.c by Facebook */

#include <stdio.h>
#include <unistd.h>
#include <signal.h>
#include <string.h>
#include <errno.h>
#include <sys/resource.h>
#include <bpf/libbpf.h>
#include "kprobe.skel.h"

static int libbpf_print_fn(enum libbpf_print_level level, const char *format, va_list args)
{
	return vfprintf(stderr, format, args);
}

static volatile sig_atomic_t stop;

static void sig_int(int signo)
{
	stop = 1;
}

int main(int argc, char **argv)
{
	struct kprobe_bpf *skel;
	int err;

	/* Set up libbpf errors and debug info callback */
	libbpf_set_print(libbpf_print_fn);

	/* Open load and verify BPF application */
	skel = kprobe_bpf__open_and_load();
	if (!skel) {
		fprintf(stderr, "Failed to open BPF skeleton\n");
		return 1;
	}

	/* Attach tracepoint handler */
	err = kprobe_bpf__attach(skel);
	if (err) {
		fprintf(stderr, "Failed to attach BPF skeleton\n");
		goto cleanup;
	}

	if (signal(SIGINT, sig_int) == SIG_ERR) {
		fprintf(stderr, "can't set signal handler: %s\n", strerror(errno));
		goto cleanup;
	}

	printf("Successfully started! Please run `sudo cat /sys/kernel/debug/tracing/trace_pipe` "
	       "to see output of the BPF programs.\n");

	while (!stop) {
		fprintf(stderr, ".");
		sleep(1);
	}

cleanup:
	kprobe_bpf__destroy(skel);
	return -err;
}
功能说明

加载一个 BPF 程序,将其附加到内核,然后等待用户的中断信号。

执行效果

  URL Classifier-6018    [004] d..31 77753.806532: bpf_trace_printk: KPROBE ENTRY pid = 5723, filename = /home/zy/snap/firefox/common/.cache/mozilla/firefox/faxkuo36.default/safebrowsing-updating/social-tracking-protection-twitter-digest256.sbstore

  URL Classifier-6018    [004] d..31 77753.806536: bpf_trace_printk: KPROBE EXIT: pid = 5723, ret = 0

 ThreadPoolForeg-50602   [006] d..31 77754.683597: bpf_trace_printk: KPROBE ENTRY pid = 6861, filename = /home/zy/.config/clash_win/Cache/Cache_Data/7c2d1cffc51cc88b_0

 ThreadPoolForeg-50602   [006] d..31 77754.683616: bpf_trace_printk: KPROBE EXIT: pid = 6861, ret = 0

 ThreadPoolForeg-50602   [006] d..31 77754.683625: bpf_trace_printk: KPROBE ENTRY pid = 6861, filename = /home/zy/.config/clash_win/Cache/Cache_Data/a70ac0571625a32a_0

 ThreadPoolForeg-50602   [006] d..31 77754.683637: bpf_trace_printk: KPROBE EXIT: pid = 6861, ret = 0

 ThreadPoolForeg-50618   [016] d..31 77754.683904: bpf_trace_printk: KPROBE ENTRY pid = 6861, filename = /home/zy/.config/clash_win/Cache/Cache_Data/352fee22ce52ccf1_0

 ThreadPoolForeg-50618   [016] d..31 77754.683934: bpf_trace_printk: KPROBE EXIT: pid = 6861, ret = 0

 Chrome_IOThread-6809    [012] d..31 77754.684552: bpf_trace_printk: KPROBE ENTRY pid = 6798, filename = /dev/shm/.org.chromium.Chromium.rrvRWo

 Chrome_IOThread-6809    [012] d..31 77754.684555: bpf_trace_printk: KPROBE EXIT: pid = 6798, ret = 0

 Chrome_IOThread-6809    [014] d..31 77754.685207: bpf_trace_printk: KPROBE ENTRY pid = 6798, filename = /dev/shm/.org.chromium.Chromium.n57azy

 Chrome_IOThread-6809    [014] d..31 77754.685209: bpf_trace_printk: KPROBE EXIT: pid = 6798, ret = 0

 Chrome_IOThread-6809    [014] d..31 77754.685665: bpf_trace_printk: KPROBE ENTRY pid = 6798, filename = /dev/shm/.org.chromium.Chromium.lHj06A

 Chrome_IOThread-6809    [014] d..31 77754.685666: bpf_trace_printk: KPROBE EXIT: pid = 6798, ret = 0

Ym影子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
eBPF 入门开发实践指南二:在 eBPF 中使用 kprobe 监测捕获 unlink 系统调用
云微的blog
01-23 1028
通过本文的示例,我们学习了如何使用 eBPF 的 kprobe 和 kretprobe 捕获 unlink 系统调用。本文是 eBPF 入门开发实践指南的第二篇。下一篇文章将介绍如何在 eBPF 中使用 fentry 监测捕获 unlink 系统调用。完整的教程和源代码已经全部开源,可以在中查看。
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
最新发布
m0_74206992的博客
03-29 1222
kprobes技术介绍+原理,ebpf中的kprobe+运行情况+用户层代码+内核层代码+预编译代码(详细解释+语法介绍),修改.bpf.c入口处的函数,系统调用和内核函数的区别
内核探测器
mounter625的专栏
06-08 322
Section #2. Kernel Probes Kernel probes can intrude into a kernel function and extract debug information or apply a medicated patch. It’s a useful addition to your debugging repertoire for investigat...
[monitor] 8. Linux kprobe(内核探针)
pwl999的博客
10-13 3233
1、kprobe概念kprobe是一个动地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。kprobe实现了三种类型的探测点: kprobe
linux内核 探针,linux-kernel – ftrace是否允许捕获Linux内核的系统调用参数,或仅捕获函数名?...
weixin_35942678的博客
04-29 139
我对ftrace的经验有限,尽管我已经将它用于函数堆栈跟踪和延迟问题. (具有更多经验的人可能会建议)使用trace-cmd和kernelshark的体验非常相似.但是,如果要在内核空间中跟踪系统调用,函数参数,内核API和返回值等,则更好的选择是使用systemtap.它有一个广泛的Samples & Doc列表,它适用于函数调用跟踪,参数值传递等.您可能需要查看一些示例并根据您的要求进...
从零构建libbpf+ebpf CO-RE程序
qq_40711766的博客
10-12 2287
通过最简单的示例,一步一步构建bpf CO-RE程序,理解libbpf开发流程。
dash-bootstrap-components:Plotly Dash的Bootstrap组件
01-30
dash-bootstrap-components是用于的组件库,可以更轻松地构建具有复杂,响应式布局的一致样式的Dash应用程序。 目录 安装 聚酰亚胺 您可以使用pip安装dash-bootstrap-components : pip install dash-bootstrap-...
react-bootstrap-icons:用于Bootstrap图标的React组件
01-31
npm install react-bootstrap-icons --save 要么 yarn add react-bootstrap-icons 用法 import React from ' react ' ; import { ArrowRight } from ' react-bootstrap-icons ' ; export default function App () {...
react-bootstrap-carousel:React部分自举轮播
05-13
react-bootstrap-carousel 该项目支持使用构建的轮播组件。 安装 npm i --save react-bootstrap-carousel 入门 import ReactBootstrapCarousel from "react-bootstrap-carousel" ; import "bootstrap/dist/css/...
dj-bootstrap-components:Django Bootstrap 4组件
04-30
dj-bootstrap-components Django Bootstrap组件支持的Python版本:3.7+支持的Django版本:3.0.0+快速开始文档: : 1.安装“ dj-bootstrap-components”。 推荐且唯一受官方支持的方式是使用pip: pip install dj-...
react-bootstrap-combobox:基于Bootstrap的React ComboBox组件
04-16
react-bootstrap-combobox· 基于Bootstrap的React组合框组件,具有以下功能: 单选 多项选择 选择处理 搜索项目 滚动条控件 本土化 物品定制 图标定制 搜索自动完成 异步数据加载 可自定义的回调 启用/禁用行为 ...
BPF程序类型
金荣的个人技术博客
03-09 1103
1 前言 根据BPF程序的主要目的,可以将其分为两类。一类是跟踪,一类是网络。 1.1 跟踪 跟踪类程序可以提供系统行为和系统硬件的直接信息。它们可以访问特定内存区域,从运行进程中提取执行跟踪信息。还可以直接访问为每个特定进程分配的资源,包括文件描述符、CPU和内存。 1.2 网络 网络类程序可以检测和控制系统的网络流量。它们可以对网络接口的数据包进行过滤,甚至可以完全拒绝数据包。可以将BPF程序附加到网络驱动程序接受数据包的网络事件上,也可以将BPF程序附加到数据包传递给用户空间的网络事件上。 2. BP
eBPF示例:x86-64平台上的kprobe
qq_38232169的博客
01-02 974
讲解 libbpf-bootstrap 中 kprobe 在x86-64平台上的示例代码; 重点讲: BPF_KPROBE 宏展开; 低版本内核,不支持CO-RE,如何重新实现kprobe示例功能;
ebpf开发问题汇总
weixin_45485072的博客
08-03 600
用bpf_obj_get来获取MAP的描述符,然后用bpf_map_reuse_fd函数来在不同program之间复用。
eBPF 入门开发实践教程十一:在 eBPF 中使用 libbpf 开发用户程序并跟踪 exec() 和 exit() 系统调用
云微的blog
06-03 1325
Bootstrap 是一个使用 libbpf 的完整应用,它利用 eBPF 程序来跟踪内核中的 exec() 系统调用(通过 SEC(“tp/sched/sched_process_exec”) handle_exec BPF 程序),这主要对应于新进程的创建(不包括 fork() 部分)。此外,它还跟踪进程的 exit() 系统调用(通过 SEC(“tp/sched/sched_process_exit”) handle_exit BPF 程序),以了解每个进程何时退出。
ThreadPool 之 线程池概览
RojerAlone的博客
07-30 516
ThreadPool[注] 本文中的源码基于 JDK1.8,源码中的注释为 JDK 中注释的翻译加上个人的理解。如有错误欢迎指正。引言  因为进程的切换相当耗费资源,加上 CPU 的发展,操作系统中引入了线程的概念。相比于进程的上下文切换,线程的切换更轻量级,但是不代表没有开销,而且大部分多线程的生命周期都比较短,会发生频繁的线程创建、销毁动作,这也是相当消耗资源的,因此引入了线程池。  合理利用线
关于ebpf 的co-re
qq_32783703的博客
11-21 1209
底层库依靠的是libbpfkernel代码include/uapi/linux/bpf.h解释了`CO-RE`的原理。clang有内置标记`__attribute__((preserve_access_index))`(等效于`__builtin_preserve_access_index`)。ebpf.c代码这样标记所有它需要访问的结构体。clang在对象ELF文件ebpf.o中为每个这样的访问生成一个`bpf_core_relo`。
libbpf-bootstrap 开发指南:概念与如何安装
阿呆的隐秘角落
07-15 1663
libbpf-bootstrap 是一个项目,旨在帮助开发者快速启动和开发使用 eBPF (Extended Berkeley Packet Filter) 和 libbpf 的程序。eBPF 是一种可以在 Linux 内核中运行的程序,提供了强大的网络过滤、系统调用监控和性能分析等功能。libbpf 是一个库,用于加载和管理 eBPF 程序和 map。libbpf-bootstrap 提供了一些样例程序和模板,帮助开发者理解如何使用 libbpf 创建、加载、管理 eBPF 程序,并与这些程序进行交互。
使用BPF跟踪Linux内核
金荣的个人技术博客
03-11 1819
1. 前言 我们可以使用BPF对Linux内核进行跟踪,收集我们想要的内核数据,从而对Linux中的程序进行分析和调试。与其它的跟踪技术相比,使用BPF的主要优点是几乎可以访问Linux内核和应用程序的任何信息,同时,BPF对系统性能影响很小,执行效率很高,而且开发人员不需要因为收集数据而修改程序。 本文将介绍保证BPF程序安全的BPF验证器,然后以BPF程序的工具集BCC为例,介绍常见BPF程序,具体为kprobes和tracepoints类型的BPF程序的使用及程序编写示例。 2. BPF验证器 BPF
libbpf-bootstrap
08-23
- *1* *2* *3* [libbpf-bootstrap 开发指南:概念与如何安装](https://blog.csdn.net/qq_32378713/article/details/131744499)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ym影子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值