eBPF 入门开发实践指南五:在 eBPF 中使用 uprobe 捕获 bash 的 readline 函数调用

最新推荐文章于 2024-03-30 11:57:16 发布
最新推荐文章于 2024-03-30 11:57:16 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: linux 文章标签: bash 开发语言 linux ebpf 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42779423/article/details/128753744
版权

eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具,它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。

本文是 eBPF 入门开发实践指南的第五篇,主要介绍如何使用 uprobe 捕获 bash 的 readline 函数调用。

什么是uprobe

uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。

uprobe基于文件,当一个二进制文件中的一个函数被跟踪时,所有使用到这个文件的进程都会被插桩,包括那些尚未启动的进程,这样就可以在全系统范围内跟踪系统调用。

uprobe适用于在用户态去解析一些内核态探针无法解析的流量,例如http2流量(报文header被编码,内核无法解码),https流量(加密流量,内核无法解密)。

使用 uprobe 捕获 bash 的 readline 函数调用

uprobe 是一种用于捕获用户空间函数调用的 eBPF 的探针,我们可以通过它来捕获用户空间程序调用的系统函数。

例如,我们可以使用 uprobe 来捕获 bash 的 readline 函数调用,从而获取用户在 bash 中输入的命令行。示例代码如下:

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

#define
最低0.47元/天 解锁文章
云微123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ebpfpub:ebpfpub是Linux的通用函数跟踪库,它支持跟踪点,kprobes和uprobes
02-03
ebpfpub:ebpfpub是Linux的通用函数跟踪库,它支持跟踪点,kprobes和uprobes
functional-shell:使用链表和高阶函数在 Bash 进行函数式编程
07-04
在 shell 进行 Lisp 风格的函数式编程 这实现了一个对象模型,其潜在的大或可变对象存储在文件,使它们可以跨进程共享,加上一个纯函数库(在数学意义上,作为单独的脚本实现)用于处理它们。 这并不是真正...
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1391
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、层、四层网络结构。七层,层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
最新发布
m0_74206992的博客
03-30 1351
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
eBPF入门
qq_43811102的博客
10-22 396
BPF和eBPF是什么? 简单来说, BPF提供了一种在和各种内核和应用程序事件发生时运行一段小程序的机制 BPF是一项灵活而高效的技术, 由指令集, 存储对象和辅助函数等几部分组成,由于它采用了虚拟指令集规范, 因此也可将它视作一种虚拟机的实现. 这些指令由Linux内核的BPF运行时模块执行. 具体来说, 它运行时提供两种机制:一个解释器和一个将BPF指令动态转换为本地化指令的即时(JIT)编译器 主要作用:跟踪, 嗅探, 采样, 剖析和可观察性 BCC, bptrace和IO Visor 直接通过BP
uprobe
yunlianglinfeng的专栏
10-15 751
项目上需要分析用户态程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe的使用,小结如下: 1.编写小测试程序如下: #include <stdlib.h> #include <s.
Linux 在Shell脚本使用函数实例详解
09-15
函数在Shell脚本的优势在于: 1. **代码复用**:你可以编写一次函数,然后在脚本的多个位置重复调用,减少了代码的重复。 2. **模块化**:函数可以使脚本更模块化,每个函数专注于一个特定的任务,提高代码可读性...
bash-lambda-layer:通过图层在AWS Lambda运行Bash脚本
01-29
arn:aws:lambda:<region>:744348701589:layer:bash:8 如何 入门 AWS Lambda控制台 登录到您的AWS账户并转到Lambda控制台。 创建一个新功能,并为其命名和一个IAM角色。 对于“运行时”选择,选择Use custom ...
bash-fun: bash的函数式编程
01-27
Linux和Unix系统Bash(Bourne-Again SHell)是广泛使用的命令行解释器,它提供了丰富的功能,使得用户可以通过脚本自动化执行各种任务。在Bash,函数式编程是一种提高代码可读性和重用性的强大工具。`bash-...
sqlite_lib.bash:Bash库在bash脚本使用SQLite
05-18
Bash库在bash脚本使用SQLite 依存关系: sqlite3 在ArchLinux使用sqlite 3.13.0进行了测试 用法: 将库导入脚本 source sqlite_lib.bash 使用两个参数调用sqlite_create_fetch_array:第一个是sqlite db...
weaver:使用uprobes和eBPF跟踪Go程序执行
04-07
编织者 请阅读! -我目前正在将Weaver重构为使用libbpf而不是bcc,这将包括其他许多重大改进。 如果您当前使用的是weaver,请注意,在进行重大重构之前,功能/错误修复一直处于推迟状态。 这将在分支“重构”进行跟踪 Weaver是一个CLI工具,可让您跟踪Go程序,以检查将哪些值传递给指定的函数。 它利用附加到升级上的eBPF。 快速开始 有两种操作模式,一种使用“功能文件”,另一种从传递的二进制文件提取符号表并通过Go包进行过滤。 有关功能的更多信息。 功能文件 采取以下示例程序: test_prog.go package main //go:noinline func test_function ( int , [ 2 ] int ) {} //go:noinline func other_test_function ( rune , int64 ) {} fu
获取cmdline参数
qq_14814909的博客
07-10 3013
#include&lt;string.h&gt;#include&lt;stdio.h&gt;#include&lt;stdlib.h&gt;#include&lt;fcntl.h&gt; #include &lt;unistd.h&gt;#include&lt;string.h&gt;int main(int argc, char* argv[]){ int fd; int ret = 1; i...
mysql eBPF bcc_用 eBPF/bcc 分析系统性能的一个简单案例
weixin_30578645的博客
02-05 290
bcc是eBPF的一种前端,当然这个前端特别地简单好用。可以直接在python里面嵌入通过C语言写的BPF程序,并帮忙产生BPF bytecode和load进入kernel挂载kprobe、tracepoints等上面执行。之后,还可以从python取出来C函数里面导出的maps数据以及per-event数据并进行打印。我们特别看一下其的bitehist.py例子:上述程序通过kprobe截获了...
Linux内核 eBPF基础: 探索USDT探针
RToax
05-18 3861
目录 Motivation Tracing System Overview Terminology术语 Evoluction of Linux Tracing Linux Tracing Technical Stack Event Sources Tracing Frameworks ftrace perf_event eBPF perf_event profiling vs. eBPF profiling SystemTap LTTng ktap dtrace4linux
ebpf的bpf_probe_read_kernel和pt_regs
qq_44927248的博客
10-21 1866
ebpf的pt_regs以及相关函数作一定解释
Linux】BPF学习笔记 - 调试技术[4]
Linoy
03-01 1374
【BPF】学习笔记 - 调试技术[4] 本学习笔记来自于阅读 Brendan Gregg的《BPF Performance Tools》 一、 KPROBES kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。它可以在生产环境实时进行此操作,无需重新重启系统或以任何特殊模式运行内核。这意味着我们可以在内核的绝大多数指定函数动态的插入探测点(动态...
【译】eBPF 概述:第 5 部分:跟踪用户进程
dwh0403的专栏
09-29 424
本系列导航: eBPF 概述:第 1 部分:介绍 eBPF 概述:第 2 部分:机器和字节码 eBPF 概述:第 3 部分:软件开发生态 eBPF概述:第 4 部分:在嵌入式系统运行S eBPF概述:第 5 部分:追踪用户进程 原文地址:https://www.collabora.com/news-and-blog/blog/2019/05/14/an-ebpf-overview-part-5-tracing-user-processes/ 首发地址:https://ebpf.top/post/ebp
eBPF学习笔记(一)—— eBPF介绍&内核编译
qq_41988448的博客
11-11 3351
本篇将介绍eBPF技术,以及如何编译高版本Linux内核源码eBPF示例代码并用其编写自定义例程。
初识 eBPF(功能、原理、及一些应用)
叮当猫的喵i
07-19 5114
一般来说可编程性的支持通常会带来一些新的问题,比如内核模块其实也是为了解决这个问题,但是他没有提供很好的边界,导致内核模块会影响内核本身的稳定性,在不同的内核版本需要做适配等。eBPF通过kprobe,tracepoints跟踪机制兼具内核和用户的跟踪能力,这种端到端的跟踪能力可以快速进行故障诊断,与此同时eBPF支持以更加高效的方式透出profiling的统计数据,而不需要像传统系统需要将大量的采样数据透出,使得持续地实时profiling成为可能。息,所以我们复用了这部分能力。.........
Bash新手指南文版入门实践
- 变量在Bash的角色是关键,包括不同类型的变量,创建、赋值、导出的讲解。 通过这些章节,读者可以逐步掌握Bash的基本语法、脚本编写技巧以及如何利用Bash环境优化工作流程。每章结尾都设有练习,以便读者巩固...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值