eBPF 入门开发实践指南五:在 eBPF 中使用 uprobe 捕获 bash 的 readline 函数调用

最新推荐文章于 2024-09-07 16:45:22 发布
最新推荐文章于 2024-09-07 16:45:22 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: linux 文章标签: bash 开发语言 linux ebpf 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42779423/article/details/128753744
版权
本文介绍了如何利用eBPF的uprobe探针捕获bash的readline函数调用,以获取用户输入的命令行。uprobe允许在用户空间动态插桩,适用于解析内核无法处理的流量。示例代码展示了如何定义和使用SEC宏与BPF_KRETPROBE宏来实现这一功能。通过eunomia-bpf工具链,可以编译和运行eBPF程序,最终在内核日志中查看readline函数的返回值。
摘要由CSDN通过智能技术生成

eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具,它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。

本文是 eBPF 入门开发实践指南的第五篇,主要介绍如何使用 uprobe 捕获 bash 的 readline 函数调用。

什么是uprobe

uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。

uprobe基于文件,当一个二进制文件中的一个函数被跟踪时,所有使用到这个文件的进程都会被插桩,包括那些尚未启动的进程,这样就可以在全系统范围内跟踪系统调用。

uprobe适用于在用户态去解析一些内核态探针无法解析的流量,例如http2流量(报文header被编码,内核无法解码),https流量(加密流量,内核无法解密)。

使用 uprobe 捕获 bash 的 readline 函数调用

uprobe 是一种用于捕获用户空间函数调用的 eBPF 的探针,我们可以通过它来捕获用户空间程序调用的系统函数。

例如,我们可以使用 uprobe 来捕获 bash 的 readline 函数调用,从而获取用户在 bash 中输入的命令行。示例代码如下:

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

#define
最低0.47元/天 解锁文章
云微123
关注
专栏目录
借助 ChatGPT 编写的 libbpf eBPF 工具开发实践教程: 通过例子学习 eBPF
云微的blog
12-06 2566
这是一个基于 (一次编译,到处运行)的 的 eBPF开发教程,提供了从入门到进阶的 eBPF 开发实践指南,包括基本概念、代码实例、实际应用等内容。我们主要提供了一些 eBPF 工具的案例,帮助开发者学习 eBPF开发方法和技巧。教程内容可以在目录找到,每个目录都是一个独立的 eBPF 工具案例。在学习 eBPF 的过程,我们受到了 tutorial_bcc_python_developer 的许多启发和帮助,但从 2022 年的角度出发,使用 libbpf 开发 eBPF 的应用是目前相对更
使用 Google 的 zx 库在 Node 编写 Shell 脚本技巧你会了吗
qq_39652397的博客
03-08 1000
在本文,我们将了解 Google 的 zx 库提供了什么,以及我们如何使用它来使用 Node.js 编写 shell 脚本。然后,我们将通过构建一个命令行工具来学习如何使用 zx 的功能,该工具可以帮助我们修复新的 Node.js 项目引导配置。 编写 Shell 脚本:问题 创建一个 shell 脚本——一个由诸如 Bash 或 zsh 之类的 shell 执行的脚本——可以是自动化重复任务的好方法。Node.js 似乎是编写 shell 脚本的理想选择,因为它为我们提供了许多核心模块,并允许我们导
ebpfpub:ebpfpub是Linux的通用函数跟踪库,它支持跟踪点,kprobes和uprobes
02-03
ebpfpub:ebpfpub是Linux的通用函数跟踪库,它支持跟踪点,kprobes和uprobes
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
m0_74206992的博客
03-30 1865
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
Linuxebpf(3)uprobe与ebpf
最新发布
Once_day的回忆
09-07 2898
Linux 内核从 3.5 版本开始引入了 uprobe 功能,它是一种用户态的动态追踪技术。Uprobe 允许在用户空间的应用程序插入探测点,以便实时监控和跟踪程序的运行状态和行为,而无需修改或重新编译应用程序的源代码。Uprobe 的工作原理如下:在目标应用程序的特定指令位置设置探测点。当程序执行到该指令时,会触发探测点。探测点被触发后,程序执行流程会被断,并将控制权转移给预先注册的探测处理程序。探测处理程序可以访问寄存器、内存等程序运行时的上下文信息,以此来分析和记录程序的状态。
eBPF示例:x86-64平台上的uprobe
qq_38232169的博客
01-04 550
讲解 libbpf-bootstrap 框架上的 uprobe 示例代码; 函数符号被 strip 后的 uprobe 处理方法;
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1523
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、层、四层网络结构。七层,层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
uprobe
yunlianglinfeng的专栏
10-15 791
项目上需要分析用户态程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe的使用,小结如下: 1.编写小测试程序如下: #include <stdlib.h> #include <s.
eBPF学习 - 入门
成长之路
04-17 2319
BPF和eBPF是什么? BPF是Berkeley Packet Filter(伯克利数据包过滤器)得缩写,诞生于1992年,其作用是提升网络包过滤工具得性能,并于2014年正式并入Linux内核主线。 BPF提供一种在各种内核事件和应用程序事件发生时允许运行一小段程序的机制,使得内核完全可编程,允许用户定制和控制他们的系统以解决相应的问题。 BPF是一项灵活而高效的技术,由指令集、存储对象和辅助函数等几部分组成。其采用了虚拟指令集规范,运行时BPF模块提供两个执行机制:解释器和即时编译器(JIT)。在实际
JDoodle平台Java开发:高手都在用的最佳实践
[JDoodle平台Java开发:高手都在用的最佳实践](https://i0.wp.com/francescolelli.info/wp-content/uploads/2019/08/CommentsInYourCode.png?fit=1101%2C395&ssl=1) # 1. JDoodle平台概述 ## 1.1 JDoodle平台简介 ...
深入探索Linux高级Bash脚本编程指南
这本指南专注于高级Bash Shell脚本编写,旨在帮助用户提升在Linux环境编写自动化脚本的能力。书涵盖了各种主题,包括: 1. **基础语法**:介绍变量、条件语句、循环结构、函数等基本概念,这些都是编写任何脚本...
文件系统操作轻松掌握:Python内置函数在文件读写与管理的妙用(与文件系统)
![文件系统操作轻松掌握:Python内置函数在文件读写与管理的妙用(与文件系统)]...# 1. 文件系统与Python的亲密接触 在IT行业,文件系
eBPF入门
qq_43811102的博客
10-22 452
BPF和eBPF是什么? 简单来说, BPF提供了一种在和各种内核和应用程序事件发生时运行一段小程序的机制 BPF是一项灵活而高效的技术, 由指令集, 存储对象和辅助函数等几部分组成,由于它采用了虚拟指令集规范, 因此也可将它视作一种虚拟机的实现. 这些指令由Linux内核的BPF运行时模块执行. 具体来说, 它运行时提供两种机制:一个解释器和一个将BPF指令动态转换为本地化指令的即时(JIT)编译器 主要作用:跟踪, 嗅探, 采样, 剖析和可观察性 BCC, bptrace和IO Visor 直接通过BP
获取cmdline参数
qq_14814909的博客
07-10 3117
#include&lt;string.h&gt;#include&lt;stdio.h&gt;#include&lt;stdlib.h&gt;#include&lt;fcntl.h&gt; #include &lt;unistd.h&gt;#include&lt;string.h&gt;int main(int argc, char* argv[]){ int fd; int ret = 1; i...
mysql eBPF bcc_用 eBPF/bcc 分析系统性能的一个简单案例
weixin_30578645的博客
02-05 337
bcc是eBPF的一种前端,当然这个前端特别地简单好用。可以直接在python里面嵌入通过C语言写的BPF程序,并帮忙产生BPF bytecode和load进入kernel挂载kprobe、tracepoints等上面执行。之后,还可以从python取出来C函数里面导出的maps数据以及per-event数据并进行打印。我们特别看一下其的bitehist.py例子:上述程序通过kprobe截获了...
Linux内核 eBPF基础: 探索USDT探针
RToax
05-18 3996
目录 Motivation Tracing System Overview Terminology术语 Evoluction of Linux Tracing Linux Tracing Technical Stack Event Sources Tracing Frameworks ftrace perf_event eBPF perf_event profiling vs. eBPF profiling SystemTap LTTng ktap dtrace4linux
ebpf学习
SSS
01-11 1247
先看ebpf.io的介绍,可以设置文。这里摘录一些我觉得有必要记录的:如何编写 eBPF 程序?在很多情况下,eBPF不是直接使用,而是通过像 Cilium、bcc 或 bpftrace 这样的项目间接使用,这些项目提供了 eBPF 之上的抽象,不需要直接编写程序,而是提供了指定基于意图的来定义实现的能力,然后用 eBPF 实现。如果不存在更高层次的抽象,则需要直接编写程序。Linux 内核期望 eBPF 程序以字节码的形式加载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值