bpf读取长字符串拼接问题

最新推荐文章于 2024-07-20 22:49:13 发布
最新推荐文章于 2024-07-20 22:49:13 发布
阅读量189 收藏
点赞数 1
分类专栏: eBPF 文章标签: c++ c语言 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51342637/article/details/140183011
版权

bpf读取长字符串拼接问题

背景

在监控SEC(“tracepoint/syscalls/sys_enter_execve”)时,我们需要获取用户输入的整条命令,例如:

docker run -it -v /your_path:/Agith/build/output --privileged --pid=host --workdir=/Agith/build/prod agith -p XXXX

命令会被分隔保存在sys_enter_execve_args中的argv数组中,我们需要完成字符串的拼接并传递到用户态。

以下是sys_enter_execve_args结构体的定义:

struct sys_enter_execve_args {
    unsigned long long unused;
    long syscall_nr;
    const char* filename;
    const char* const* argv;
    const char* const* envp;
};

在平时的代码中,这项工作非常容易,但是eBPF有非常严格的审查机制,稍不注意就会加载失败。
由于bpf的map不能直接声明长数组,我们需要先封装数组到结构体,再定义一个map:

struct big_string_t {
    char inner_str[MAX_ARG_LENGTH];
};

struct {
    __uint(type, BPF_MAP_TYPE_ARRAY);
    __type(key, unsigned int);
    __type(value, struct big_string_t);
    __uint(max_entries, CPU_NUM * ENTRY_NUM_PER_CPU);
} arg_strings_map SEC(".maps");

在探针程序中实现的过程如下:

argv_map_value = bpf_map_lookup_elem(&arg_strings_map, &trace_ptr);
if (argv_map_value == NULL) return 0;

for (int i = 0; i < MAX_ARG; i++) {
    ret = bpf_probe_read(&argv, sizeof(argv), &ctx->argv[i]);
    if (argv == 0 || ret < 0) {
        break;
    }
    if (offset >= 0 && offset + STR_BUF_SIZE < MAX_ARG_LENGTH) {
        ret = bpf_probe_read_str(&argv_map_value[offset], STR_BUF_SIZE, argv);
        offset += ret;

        if (offset - 1 > 0 && offset - 1 < MAX_ARG_LENGTH) {
            argv_map_value[offset - 1] = ' ';
        }
    }
}

用户态读取:

struct big_string_t value;
bpf_map_lookup_elem(m_arg_strings_map_fd, index, &value);
LeoCache
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BPF Performance Tools
02-28
1.1 BPF和eBPF是什么 1 1.2 跟踪、嗅探、采样、剖析和可观测性分别是什么 2 1.3 BCC、bpftrace和IO Visor 3 1.4 初识BCC:快速上手 4 1.5 BPF跟踪的能见度 7 1.6 动态插桩:kprobes和uprobes 8 1.7 静态插桩:...
BPF PerformanceTools.epub.zip
07-22
BrendanGregg
BPF Internals.pdf
07-31
BPF Internals.pdf
bpf.rar_BPF_The Pass
09-14
**BPF:带通滤波器的探索** 在电子工程和信号处理领域,带通滤波器(BPF,Band-Pass Filter)是一种至关重要的工具,它允许在特定频率范围内的信号通过,同时抑制低于或高于这个范围的信号。"bpf.rar_BPF_The Pass...
BPF Performance Tools - Brendan Gregg.pdf
01-30
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
C++二叉搜索树
最新发布
Jk_Mr的博客
07-20 705
树结构是一种重要的数据结构。树是一种非线性的数据结构,它是由n(n>=0)个有限结点组成一个具有层次关系的集合。把它叫做树是因为它看起来像一棵倒挂的树,也就是说它是根朝上,而叶朝下的。
学懂C语言系列(三):C语言基本语法
martian665的专栏
07-17 548
学懂C语言系列,C语言基本语法
windows USB 设备驱动开发-开发Type C接口的驱动程序(二)
苏洛的博客
07-20 394
UCM 是使用 WDF 类扩展客户端驱动程序模型设计的。 UcmCx类扩展是 Microsoft 提供的 WDF 驱动程序,它提供客户端驱动程序可以调用这些接口来报告有关连接器的信息。
C++ std::thread 管理线程生命周期:join 和 detach
m0_59680769的博客
07-16 997
方法用于同步主线程和子线程。也就是说,当主线程调用子线程的join方法时,主线程会被阻塞,直到子线程完成其执行。这意味着join方法确保主线程等待子线程结束,然后继续执行后续代码。t.join()方法则是让子线程在后台独立运行,与主线程分离。分离后的线程(也称为“游离线程”)不能再被join,它的资源会在该线程完成后自动释放。主线程会继续执行而不会等待该子线程。如果把std::this_thread::sleep_for(std::chrono::seconds(3));
【素养大赛c++复赛题-序列排序题解】图像模糊处理、吉利号码、战胜白蚁题解
qq_56949201的博客
07-16 180
第一行1个整数n,表示序列的大小。( 0 < n ≤ 1000) 第二行n个正整数,表示序列的每个数,每个数不大于100000000。对于给定的正整数序列,按照每个数的各位数和从大到小排序,各位数和相同的按照本身大小排序,大的在前,小的在后。来存储输入的数字序列,排序完成后输出序列,并在最后释放了动态分配的内存。输出按照题目要求排序后的序列。也可以使用动态分配的数组。
Windows 点云生成二维栅格图 [附C++完整代码实现]
weixin_43896283的博客
07-17 599
三维点云数据转换为二维栅格图
C语言中的指针函数和函数指针
letterljhx的博客
07-18 430
C语言中的指针函数和函数指针
C语言】逗号运算符详解 - 《不起眼的 “逗号”》
EleganceJiaBao的博客
07-19 445
逗号运算符是C语言中一个非常实用的运算符,但也常常被初学者忽视。本文将详细介绍逗号运算符的定义、用法和应用场景,通过示例和代码解释其工作原理。
浅谈C嘎嘎类与对象
2302_80418176的博客
07-17 594
关键字:class语法格式:class 类名//这里的分号不能少此外,class有三个属性分别是private、public、protected,这三个属性是干啥的,相信大家通过这三个单词的中文意思应该也能知道。那么我们来看一下下面的这个例子。从上面的图片中,我们可以看到整个类分为了两个部分:公共部分和私有部分,私有部分中声明变量,公有部分定义函数以及构造函数等等。
PySide(PyQt),使用 QGraphicsOpacityEffect 设置小部件的整体显示透明度
xulibo5828的博客
07-19 122
在 PySide6 中,可以使用 QGraphicsOpacityEffect 类来实现整体显示透明度。制作一个动态闪烁的指示灯。
【ROS2】高级:从包文件读取 (C++)
cxyhjl的博客
07-17 565
目标:在不使用 CLI 的情况下从包中读取数据。教程级别:高级时间:10 分钟目录背景先决条件任务1 创建一个包裹2 编写 C++ 读取器3 构建并运行摘要背景rosbag2不仅提供ros2bag命令行工具。它还提供了一个 C++ API,用于从您自己的源代码中读取和写入包。这使您可以在不播放包的情况下读取包中的内容,这有时会很有用。先决条件您应该在常规的 ROS 2 设...
第十四届蓝桥杯省赛C++B组I题【景区导游】题解(AC)
一只大采集~
07-19 618
对于计算树中任意两点的距离,我们可以使用。题目已给出地图为一个。
C++树形结构(2 树的直径)
Archie28的博客
07-18 1010
树的直径
c++ primer plus 第16章string 类和标准模板库, 16.3 标准模板库
zhyjhacker的博客
07-20 298
c++ primer plus 第16章string 类和标准模板库, 16.3 标准模板库。
xdp bpf如何获取当前时间
06-03
在 XDP BPF 中获取当前时间可以使用 bpf_ktime_get_ns() 函数,它返回当前时间的纳秒数。例如,可以在 XDP BPF 程序中使用以下代码获取当前时间: ``` #include <linux/bpf.h> uint64_t timestamp = bpf_ktime_get_ns(); ``` 需要注意的是,在使用 bpf_ktime_get_ns() 函数之前需要引入 <linux/bpf.h> 头文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeoCache

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值