在 Andorid 上使用 eBPF 程序

最新推荐文章于 2024-07-25 16:05:51 发布
最新推荐文章于 2024-07-25 16:05:51 发布
阅读量821 收藏 1
点赞数
文章标签: android ebpf linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42779423/article/details/131027093
版权

本文主要记录了笔者在 Android Studio Emulator 中测试高版本 Android Kernel 对基于 libbpf 的 CO-RE 技术支持程度的探索过程、结果和遇到的问题。
测试采用的方式是在 Android Shell 环境下构建 Debian 环境,并基于此尝试构建 eunomia-bpf 工具链、运行其测试用例。

背景

截至目前(2023-04),Android 还未对 eBPF 程序的动态加载做出较好的支持,无论是以 bcc 为代表的带编译器分发方案,还是基于 btf 和 libbpf 的 CO-RE 方案,都在较大程度上离不开 Linux 环境的支持,无法在 Android 系统上很好地运行1

虽然如此,在 Android 平台上尝试 eBPF 也已经有了一些成功案例,除谷歌官方提供的修改 Android.bp 以将 eBPF 程序随整个系统一同构建并挂载的方案2,也有人提出基于 Android 内核构建 Linux 环境进而运行 eBPF 工具链的思路,并开发了相关工具。

目前已有的资料,大多基于 adeb/eadb 在 Android 内核基础上构建 Linux 沙箱,并对 bcc 和 bpftrace 相关工具链进行测试,而对 CO-RE 方案的测试工作较少。在 Android 上使用 bcc 工具目前有较多参考资料,如:

其主要思路是利用 chroot 在 Android 内核上运行一个 Debian 镜像,并在其中构建整个 bcc 工具链,从而使用 eBPF 工具。如果想要使用 bpftrace,原理也是类似的。

事实上,高版本的 Android 内核已支持 btf 选项,这意味着 eBPF 领域中新兴的 CO-RE 技术也应当能够运用到基于 Android 内核的 Linux 系统中。本文将基于此对 eunomia-bpf 在模拟器环境下进行测试运行。

eunomia-bpf 是一个结合了 libbpf 和 WebAssembly 技术的开源项目,旨在简化 eBPF 程序的编写、编译和部署。该项目可被视作 CO-RE 的一种实践方式,其核心依赖是 libbpf,相信对 eunomia-bpf 的测试工作能够为其他 CO-RE 方案提供参考。

测试环境

  • Android Emulator(Android Studio Flamingo | 2022.2.1)
  • AVD: Pixel 6
  • Android Image: Tiramisu Android 13.0 x86_64(5.15.41-android13-8-00055-g4f5025129fe8-ab8949913)

环境搭建3

  1. eadb 仓库 的 releases 页面获取 debianfs-amd64-full.tar.gz 作为 Linux 环境的 rootfs,同时还需要获取该项目的 assets 目录来构建环境;
  2. 从 Android Studio 的 Device Manager 配置并启动 Android Virtual Device;
  3. 通过 Android Studi
最低0.47元/天 解锁文章
云微123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
1.4 Android下使能eBPF
从0到1,突破自己
05-31 883
由于eBPF可运行用户提供的eBPF程序来扩展内核,这些程序可以附加到内核中的探测点或事件,用于收集有用的内核统计信息,监控和调试。eBPF使用bpf(2)系统调用加载到内核中,并作为eBPF机器指令的二进制块由用户来提供。Android构建系统支持使用本文所述的build文件语法将C程序编译为eBPF程序。并且Android包含了一个eBPF加载器和库,这样Android可以在启动初始化阶段加载eBPF程序
3.5 Android gpu_mem ebpf程序设计原理(一)
从0到1,突破自己
10-14 654
前面提到过Android ebpf c语言版的源码结构,这里再以以gpu_mem为例详细拆解下。
Android使用BPF工具获取内核信息
11-02
Android使用BPF工具获取内核信息
AndroideBPF使用原理以及 kprobe dmabuf_setup实例
weixin_42136255的博客
11-14 815
AndroideBPF使用原理以及实例
btrace:binder_transaction+eBPF+Golang实现通用的Android APP动态行为追踪工具
wei_java144的博客
06-14 1020
在进行Android恶意APP检测时,需要进行自动化的行为分析,一般至少包括行为采集和行为分析两个模块。其中,行为分析有基于规则、基于机器学习、基于深度学习甚至基于大模型的方案,各有各的优缺点,不是本文关注的重点,本文主要关注Android APP的动态行为采集。在做Android APP逆向分析时经常需要通过hook系统调用观察APP的行为,也需要一个动态行为追踪工具。btrace(
eBPFandroid上的使用
Peter的专栏
01-29 2941
一、eBPF是什么eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的...
Android平台编译eBPF程序
qq_33974611的博客
02-13 467
简单来说,eBPFLinux 内核中一个非常灵活与高效的类虚拟机(virtual machine-like)组件,能够在许多内核 hook 点安全地执行字节码(bytecode)。很多内核子系统都已经使用了 BPF,例如常见的网络、跟踪与安全。当然,这是 linux 内核中比较新的特性,可能需要较新的手机才搭载了比较完美支持 eBPF 的内核。
Android eBPF
greatwgb的博客
08-13 246
BPF与eBPF理解Android eBPFUbuntu下bpf纯c程序的编写与运行Linux 内核观测技术BPF深入理解 BPF:一个阅读清单
Android 中开发 eBPF 程序学习总结(三)
wangluoanquan111的博客
08-10 338
那么事件名就为test_main了,生成的相应目录就是。
AOSP平台编写Android-ebpf程序(tracepoint)的一些map定义和使用问题,导致map和prog无法产生的原因。
m0_68715848的博客
03-19 1196
我们重启手机之后发现只产生了三个map,且prog没有产生:由于map的产生是根据内核态定义的顺序来的,所以就是到第四个map出现了问题,也就是我们刚刚修改的map,这里的原因暂且不清楚,之前猜测可能是因为大小超出了限制的原因,然而实际上修改为1024也不能产生,然而time_in_state中其实用到了ARRAY来传递结构体的:现在猜测可能是因为array是连续的数组,而hash是一个散列表可能是索引错误的原因,这里后面在做尝试吧。目前测试的结果,只要是使用结构体作value值的话,
android手机上ebpf环境搭建资源
11-03
Android手机上搭建EBPF环境,可以让你更深入地了解系统的运行情况,并进行精细化的调试和优化。 首先,我们需要理解EBPF的核心概念。EBPF是一种虚拟机,它的程序是用C语言编写,然后编译成字节码,通过内核的验证...
在Windows上流畅投影演示Android 程序
04-12
在Windows上流畅投影Android程序是一项实用的技术,尤其适用于开发者、教育者或演示者分享他们的手机屏幕内容。这个过程主要依赖于特定的应用程序,如“MirrorOp”,它允许用户通过无线网络将Android设备的屏幕实时...
Android应用程序UI架构 高清PTT
10-23
Android应用程序中,每一个Activity组件都关联有一个或者若干个窗口,每一个窗口都对应有一个Surface。有了这个Surface之后,应用程序就可以在上面渲染窗口的UI。最终这些已经绘制好了的Surface都会被统一提交给...
Android应用程序资源管理框架 PPT
10-23
Android应用程序在运行的时候,资源管理器AssetManager和Resources会根据当前的机器设置,即屏幕大小、密度、方向,以及国家、地区语言的信息,查找正确的资源,并且进行解析,最后将它们渲染在UI上。这个PPT讲...
android平台eBPF初探
宋宝华
07-05 3503
一、eBPF是什么eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的语...
Android】广播机制
2301_79977698的博客
07-24 846
Android中,广播(Broadcast)是一种消息,任何应用程序都可以发送广播消息,任何应用程序也都可以接收广播消息。广播通常用于通知应用程序某些事件的发生,比如系统启动、电量低、网络状态改变等。Broadcast Receiver(广播接收器):用于接收广播消息并响应这些消息的组件。Intent(意图):用于传递广播消息的数据结构。标准广播(Normal Broadcast)是完全异步的,所有接收器几乎同时接收广播,并且接收顺序是不确定的。
Unity Android接入SDK 遇到的问题
qq_37672438的博客
07-25 948
所以获取gradle.properties 文件的位置的时候,2019之后要返回上一级再获取,即:/Temp/ gradleout/unityLibrary/../gradle.properties。其实就是gradle版本太低了,升级下gradle,会自动的去升级kotlin,也就是升级Android studio或者idea。之后变成了/Temp/ gradleout/unityLibrary。下载jd_gui 工具 ,或者 idea 下载jd 插件,为/Temp/ gradleout。
Android笔试面试题AI答之Android系统与综合类(1)
最新发布
学无止境,止于至善
07-25 925
答案仅供参考,来着文心一言、Kimi.ai。
Android如何使用ebpf
03-27
eBPF(extended Berkeley Packet Filter)是一种内核级别的虚拟机技术,可以在内核空间中执行代码,用于网络包过滤、性能分析、安全审计等方面。在Android中,可以使用eBPF来实现网络性能分析和安全审计等功能。 以下是在Android使用eBPF的步骤: 1. 确认内核版本和配置 eBPF需要Linux内核版本3.18或更高版本,并且需要启用CONFIG_BPF和CONFIG_BPF_SYSCALL内核配置选项。在Android中,可以使用以下命令来查看内核版本和内核配置: ``` $ adb shell uname -r $ adb shell cat /proc/config.gz | gunzip | grep CONFIG_BPF ``` 2. 安装内核头文件 为了编写和编译eBPF程序,需要安装内核头文件。在Android中,可以使用以下命令安装内核头文件: ``` $ adb shell su -c "apt-get update && apt-get install linux-headers-$(uname -r)" ``` 3. 编写eBPF程序 eBPF程序可以使用C语言编写,然后使用LLVM编译器编译成eBPF字节码。在Android中,可以使用以下命令编写和编译eBPF程序: ``` $ adb shell su -c "echo '#include <linux/bpf.h>\nint main() { return 0; }' > test.c" $ adb shell su -c "clang -O2 -target bpf -c test.c -o test.elf" ``` 4. 加载eBPF程序Android中,可以使用BCC(BPF Compiler Collection)工具来加载和运行eBPF程序。BCC是一个开源的工具集,可以方便地编写和调试eBPF程序。 首先需要在设备上安装BCC工具。在Android中,可以使用以下命令安装BCC: ``` $ adb shell su -c "apt-get update && apt-get install bpfcc-tools" ``` 然后可以使用以下命令来加载eBPF程序: ``` $ adb shell su -c "bpftool prog load test.elf /sys/fs/bpf/test" ``` 其中,test.elf是编译后的eBPF程序文件,/sys/fs/bpf/test是eBPF程序的挂载点。 5. 运行eBPF程序 加载eBPF程序后,可以使用BCC工具来运行和调试eBPF程序。例如,可以使用以下命令来查看eBPF程序的统计信息: ``` $ adb shell su -c "bpfcc-run -p $(pidof myapp) test.c" ``` 其中,myapp是需要监控的应用程序的进程名。此命令将在myapp进程的上下文中运行eBPF程序,并输出统计信息。 以上是在Android使用eBPF的基本步骤。需要注意的是,eBPF程序可能会影响系统性能和稳定性,因此应该谨慎使用。同时,还需要遵守相关的法律和政策规定,以确保eBPF程序的合法性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值