Kernel: BPF: retsnoop

已于 2022-04-24 13:20:36 修改
阅读量638 收藏
点赞数
分类专栏: kernel 使用工具 文章标签: kernel bpf retsnoop
于 2022-04-02 22:44:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36428903/article/details/123888204
版权

文章目录

简介

https://github.com/anakryiko/retsnoop
这个是利用bpf, 及FENTRY的功能,来实现对返回error 函数的一个跟踪调查的工具。方便kernel问题调试。It allows to capture call stacks of kernel functions that return errors (NULL or -Exxx) and emits every such detected call stack, along with the captured results.
输出实例:
$ sudo retsnoop -c bpf
Receiving data…
entry_SYSCALL_64_after_hwframe+0x44 (arch/x86/entry/entry_64.S:112:0)
do_syscall_64+0x2d (arch/x86/entry/common.c:46:12)
24us [-EINVAL] __x64_sys_bpf+0x5 (kernel/bpf/syscall.c:4351:1)
. __se_sys_bpf (kernel/bpf/syscall.c:4351:1)
__do_sys_bpf+0x5ca (kernel/bpf/syscall.c:4438:9)
. bpf_btf_load (kernel/bpf/syscall.c:3818:9)
详细说明需要看使用说明。

了解本专栏 订阅专栏 解锁全文
ebpf教程(4.2):bpf map的使用 -- 统计网速
大草的博客
08-21 588
ebpf教程(4.2):bpf map的使用 -- 统计网速
linux中raw socket 和 libpcap中BPF过滤功能分析
Binary2014的博客
08-03 1806
项目描述:在我们的安卓系统终端中,既要支持以太网(基于MAC地址的二层网络传输通道)通信,又要支持互联网通信 ,我们其中一个进程中通过raw socket 接收eth0口的以太网数据,过滤掉其他MAC数据。另外一个进程中利用libpcap接收互联网数据同时转发到其他无线网卡。 具体实现参考不少网上资料。 代码如下: 基于raw socket实现: void v2v_setFilter(i...
探索Linux内核新纪元:retsnoop——非侵入式大规模跟踪工具
gitblog_00053的博客
06-13 447
探索Linux内核新纪元:retsnoop——非侵入式大规模跟踪工具 retsnoop Investigate kernel error call stacks 项目地址: https://gitcode.com/gh_mirrors/re/retsnoop ...
探索Linux内核的利器:retsnoop
gitblog_00088的博客
09-28 898
探索Linux内核的利器:retsnoop 项目地址:https://gitcode.com/gh_mirrors/re/retsnoop 项目介绍 retsnoop 是一款基于BPF(Berkeley Packet Filter)技术的工具,专门用于非侵入式地大规模追踪Linux内核的内部运行情况。它的主要目标是提供一种灵活且用户友好的方式,从内核中提取用户所需的具体信息,而无需对内核进行任何修...
使用BCC加载XDP程序报错
最新发布
m0_46380368的博客
03-04 1100
/ 确保在调用kern_unmount之前,selinuxfs_mount已经正确初始化 if (selinuxfs_mount) { kern_unmount(selinuxfs_mount);直接在void exit_sel_fs(void)前面加一行声明:static struct selinux_fs_info *selinux_fs_info;
eBPF系列学习(1)-什么是内核BPF、eBPF
西京刀客
08-23 5638
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
LWN:用BPF来修改kernel里的operation structure!
Linux News搬运工
02-26 453
关注了就能看到更多这么棒的文章哦~Kernel operations structures in BPFByJonathan CorbetFebruary 7, 2020原文来自:ht...
Retsnoop 项目使用教程
gitblog_00091的博客
09-28 722
Retsnoop 项目使用教程 retsnoop Investigate kernel error call stacks 项目地址: https://gitcode.com/gh_mirrors/re/retsnoop ...
ibpf:BPF程序解释器
05-07
**伯克利分组过滤器(BPF)程序解释器** 伯克利分组过滤器(Berkeley Packet Filter,简称BPF)是一种在操作系统内核中运行的虚拟机,最初设计用于在网络数据包到达用户空间之前进行过滤。BPF被广泛应用于网络安全...
统一kfunc与辅助函数定义:BPF程序调用函数的验证需求及方法
12-31
内容概要:本文详细探讨了BPF程序调用函数时的验证需求及其当前实现方式。文章首先讨论了为什么BPF校验器需要了解程序可以调用的函数以及需要了解哪些信息。随后介绍了当前的两种主要实现方法——bpf_func_proto...
javasnmp源码-bpf_study:bpf研究
06-04
《Linux内核观测技术BPF》 已经在 JD 上有现货,欢迎感兴趣 BPF 技术的同学选购。链接地址 “eBPF 是我见过的 Linux 中最神奇的技术,没有之一,已成为 Linux 内核中顶级子模块,从 tcpdump 中用作网络包过滤的经典 ...
retsnoop 项目使用教程
gitblog_00046的博客
09-28 476
retsnoop 项目使用教程 retsnoop Investigate kernel error call stacks 项目地址: https://gitcode.com/gh_mirrors/re/retsnoop ...
BPF filter
shaohui973的专栏
03-18 670
原文:https://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf#1 FILTER MACHINE A filter program is an array of instructions, with all branches forwardly directed, terminated by areturninstruction. Each instruction performs some action on the pseud...
linux bpf.h漏洞,Linux kernel BPF模块的相关漏洞分析
weixin_29058331的博客
05-17 322
今年pwn2own上的linux kernel提权漏洞是linux kernel bpf模块的漏洞 ---CVE-2020-8835,更早听说过的与bpf相关的漏洞是CVE-2017-16995。然后在上海参加GeekPwn 云靶场线下挑战赛的时候,也是一道bpf相关的内核题。我和我们队长通宵学习相关知识,最后拿到了这道题全场唯一的一血。 然后紧接着在11月1号,又有国外研究者爆出了bpf的又一个...
解决特定内核版本加载ebpf失败的问题
qq_38232169的博客
01-26 2009
1.分析特定内核版本加载ebpf失败的原因 2.演示使用 vscode 和 gdb 调试的方法
编译内核缺少必要的BTF信息
m0_46380368的博客
05-20 2184
在执行代码make M=samples/bpf时 报错:libbpf: failed to find '.BTF' ELF section in /usr/src/linux-6.5/vmlinux Error: failed to load BTF from /usr/src/linux-6.5/vmlinux: No data available解决代码是什么?
eBPF学习记录(四)使用libbpf开发eBPF程序
jianjian的博客
03-06 7536
上一节,我们使用了bpftrace 开发eBPF程序跟踪内核和用户态的程序,bpftrace 简单易用,非常适合入门,可以带初学者轻松体验 eBPF 的各种跟踪特性。但是,bpftrace 并不适用于所有的 eBPF 应用,它本身的限制导致我们无法在需要复杂 eBPF 程序的场景中使用它。在复杂的应用中,还是推荐使用 BCC 或者 libbpf 进行开发。现在讲一下BCC 的开发,有问题可以看官方文档。 现在我们试试使用BCC开发一个eBPF程序,分以下3个步骤, 使用 C 开发一个 eBPF 程序 使用
BTF deduplication and Linux kernel BTF
RToax
05-28 620
BTF deduplication and Linux kernel BTF 目录 BPF and type information Algorithm Algorithm summary Pass #1: strings deduplication Pass #2: non-reference types deduplication Pass #3: reference type deduplication Pass #4: types compaction Pass #5: type
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mzhan017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值