ebpf入门---监听所有新进程

最新推荐文章于 2025-06-11 22:20:57 发布
原创 最新推荐文章于 2025-06-11 22:20:57 发布 · 959 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习

本文介绍了eBPF(扩展的伯克利包过滤器),一种可以在不修改内核源代码的情况下与内核交互的技术。文章探讨了eBPF的底层优势,如绕过安全监控和潜在的隐秘操作,以及通过hooksyscall进行系统调用的示例。最后提到了将Python和Go代码编译为静态链接的挑战。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是ebpf

eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行

用途

ebpf由于直接与内核交互,所以更为底层,可以用来绕过一些安全组件的监控功能。同时可以做到如你看不见的后门(通过hook read的syscall,篡改返回结果)等等更有意思的场景。个人看来,ebpf在未来会得到更广泛的应用,同时也是以后rootkit的首选

简单使用

今天这个demo是个入门,原理就是hook syscall,判断是否是execve,然后获取对应的pid和执行文件,然后返回并输出

python

整体代码还是很简单的,注释里面也比较详细了

from bcc import BPF

bpf_text = """
#include <linux/binfmts.h>
struct data_t {
    int pid;
    char comm[TASK_COMM_LEN];
    char filename[256]; 
};

BPF_PERF_OUTPUT(myevents);//注册events

TRACEPOINT_PROBE(raw_syscalls, sys_enter) {
    if (args->id != __NR_execve)
        return 0;
    struct data_t data = {};
    data.pid = bpf_get_current_pid_tgid() >> 32;//获取pid
    bpf_get_current_comm(&data.comm, sizeof(data.comm));//获取当前进程的命令名称
    bpf_probe_read_user(&data.filename, sizeof(data.filename), (void *)args->args[0]);//用户空间读取execve的第一个参数,通常是要执行的文件路径
    myevents.perf_submit(args, &data, sizeof(data));// 将data结构体的内容发送到用户空间的events性能事件输出
    return 0;
}
"""

b = BPF(text=bpf_text)#创建了一个BPF对象b,它用于编译和加载前文中定义的eBPF程序


def print_event(cpu, data, size):#它是一个回调函数,用于处理从eBPF程序发送到用户空间的事件。函数的参数包括:cpu:捕获事件的CPU编号。,data:一个包含eBPF事件数据的字节流。,size:数据的大小。
    event = b["myevents"].event(data)#将data字节流转换成一个Python对象,这个对象包含了与eBPF程序中定义的数据结构匹配的字段
    print("New process created, PID: %d, Command: %s, Path: %s" % (event.pid, event.comm.decode('utf-8', 'replace'), event.filename.decode('utf-8', 'replace')))


b["myevents"].open_perf_buffer(print_event)#这行代码将print_event回调函数附加到名为myevents的eBPF性能事件输出上。当myevents输出中有新的事件时,print_event函数将被调用。

print("Listening for sys_execve calls... Press Ctrl+C to exit.")
try:
    while True:
        b.perf_buffer_poll()#用于轮询性能事件缓冲区,检查是否有任何新的事件到达。如果有,它将调用open_perf_buffer登记的回调函数来处理事件。
except KeyboardInterrupt:
    pass

运行效果
在这里插入图片描述

go

go代码更为复杂一点,但大体逻辑上类似

package main

import (
    "bytes"
    "encoding/binary"
    "fmt"
    "os"
    "os/signal"

    "github.com/iovisor/gobpf/bcc"
)

const bpfProgram = `
#include <linux/sched.h>

struct data_t {
    u32 pid;
    char comm[TASK_COMM_LEN];
    char filename[256];
};

BPF_PERF_OUTPUT(myevents);

TRACEPOINT_PROBE(raw_syscalls, sys_enter) {


    if (args->id != __NR_execve) return 0;
    struct data_t data = {};
    data.pid = bpf_get_current_pid_tgid() >> 32;
    bpf_get_current_comm(&data.comm, sizeof(data.comm));
    bpf_probe_read_user(&data.filename, sizeof(data.filename), (void *)args->args[0]);


    myevents.perf_submit(args, &data, sizeof(data));

    return 0;
}

`

type execveEvent struct {
    Pid      uint32
    Comm     [16]byte
    Filename [256]byte
}

func main() {

    //创建了一个新的 eBPF 模块,并加载了 eBPF 程序。defer module.Close() 确保在程序结束时清理和关闭 eBPF 模块
    module := bcc.NewModule(bpfProgram, []string{})
    defer module.Close()
    //加载 eBPF 程序中定义的跟踪点
        tracepoint, err := module.LoadTracepoint("tracepoint__raw_syscalls__sys_enter")
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to load tracepoint: %s\n", err)
    os.Exit(1)
    }

    //将跟踪点附加到系统调用的入口点
    err = module.AttachTracepoint("raw_syscalls:sys_enter", tracepoint)
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to attach tracepoint: %s\n", err)
    os.Exit(1)
    }

    //创建一个新的性能事件表来接收 eBPF 程序发送的事件,并创建一个 Go 通道来接收这些事件
    table := bcc.NewTable(module.TableId("myevents"), module)
    channel := make(chan []byte)
    perfMap, err := bcc.InitPerfMap(table, channel, nil)
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to init perf map: %s\n", err)
    os.Exit(1)
    }

    go func() {
    for {
    data := <-channel
    var event execveEvent
    err := binary.Read(bytes.NewBuffer(data), binary.LittleEndian, &event)
    if err != nil {
    fmt.Fprintf(os.Stderr, "Failed to decode received data: %s\n", err)
    continue
    }
    filename := string(bytes.Split(event.Filename[:], []byte("\x00"))[0])
    fmt.Printf("execve called by PID %d (%s): %s\n", event.Pid, event.Comm, filename)
    }
    }()

    //启动性能事件表来接收事件,并确保在程序结束时停止它
    perfMap.Start()
    defer perfMap.Stop()

    fmt.Println("Waiting for execve events... Press Ctrl-C to exit.")
    signals := make(chan os.Signal, 1)
    signal.Notify(signals, os.Interrupt)
    <-signals
}

效果
在这里插入图片描述

但是这两个都有一个共性的问题,python虽然可以是pyinstaller去编译成可执行文件,但和go编译的结果都是动态链接的,而往往目标机器上可能没有对应的库,所以我们要转化为静态链接,目前这两个demo我尝试了一下是无法变成静态链接的,如果有思路也可以进一步交流

azraelxuemo
关注
Linux eBPF:网络、系统监控和安全领域的创新
望获实时Linux系统
05-29 1671
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全:eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF的功能和应用场景不断扩展,如今已成为网络、系统监控和安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
eBPF Tracing 入门教程与实例
数据库技术
05-28 831
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPFeBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction...
eBPF工具全解:原理、架构与精华实战
最新发布
Interview_TC的博客
06-11 730
摘要: 本文全面解析eBPF技术,涵盖其原理、架构及实战应用。eBPF(扩展伯克利包过滤器)是一种安全、高效的内核动态编程技术,支持无侵入式追踪、网络过滤和安全监控。核心架构包括虚拟机、验证器和JIT编译器,确保安全与性能。文章介绍了bpftrace、bcc等主流工具生态,并通过文件追踪、性能统计等实战案例展示eBPF的灵活性与低开销优势。对比内核模块,eBPF具备热插拔和零风险特性,适用于云原生、网络安全等场景。推荐初学者从bpftrace入手,逐步深入自动化开发。eBPF已成为现代Linux运维和调试的
使用 eBPF 增强监控和可观测性
观测云的博客
06-16 1304
将代码注入 Linux 内核的能力开辟了一个全新的可能性世界。您可以轻松改进很多东西——安全性、网络、可观测性等等。BPF(伯克利包过滤器)使您能够编写可以从内部利用 Linux 内核功能的程序。BPF 传统上用于在将原始网络数据包发送到用户空间之前对其进行过滤,以提高系统的整体安全性。eBPF是 BPF 的扩展版本,具有一系列安全实现,以防止 BPF 程序破坏内核。在本指南中,您将了解如何使用 eBPF 在基于 Kubernetes 的基础架构中实现增强的可观测性。eBPF 代表扩展 BPF。顾名思义,它
[大厂实践] DoorDash基于eBPF监控实践
残星说梦话
12-26 633
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。在此之前,我们使用的是fentry版本的探针,但由于我们用的是基于ARM的Kubernetes节点,而当前的Linux内核版本不支持基于ARM架构优化的入口探测,所以改用kprobe。我们对新的见解感到兴奋,这促使我们扩展BPFAgent,以支持网络流量监视之外的其他用例。
应用监控eBPF 版调研
qq_33043025的博客
06-24 1297
具体来说,当一个请求进入系统时,会创建一个根Span,然后在处理过程中,每个服务或组件都会创建自己的Span,并在Span中记录相关信息,如开始时间、结束时间、耗时、标签、日志等。当前持续剖析的能力是基于eBPF实现的,因为无侵入的特点,针对Go等有Debug符号信息的语言,Profiling的数据能够显示具体的函数调用,如果遇到unknown的函数,表示当前函数无法在内核中找到对应的符号表信息。可以根据选择的应用、接口和告警指标,通过智能算法对该指标的历史数据进行分析,推荐较为合理的静态阈值。
使用 ebpf 监控 Node.js 事件循环的耗时
标子 的专栏
12-18 1176
前言:强大的 ebpf 使用越来越广,能做的事情也越来越多,尤其是无侵入的优雅方式更加是技术选型的好选择。本文介绍如何使用 ebpf监控 Node.js 的耗时,从而了解 Node.js 事件循环的执行情况。不过这只是粗粒度的监控,想要精细地了解 Node.js 的运行情况,需要做的事情还很多。 在 Node.js 里,我们可以通过 V8 Inspector 的 cpuprofile 来了解 JS 的执行耗时,但是 cpuprofile 无法看到 C、C++ 代码的执行耗时,通常我们可以使用 perf
eBPF监测未知进程的创建
李老板的移动安全杂货铺
12-02 750
以下是一个简单的eBPF模块代码示例,用于检测未知进程的创建。在此示例中,我们使用eBPF的`kprobe`功能来监视`do_fork`系统调用,并检查新创建进程的PID和进程命令行。如果发现未知进程,则通过`trace_printk`函数将消息打印到内核日志中。要编译和加载此模块,需要在系统上安装运行eBPF的环境。// 如果PID不存在于pid_cmd哈希表中,则打印未知进程信息。请确保将`eth0`替换为您要监视的网络接口。// 存储新创建进程的PID和命令行。
Cilium 官方文档翻译(9) 替换kube-proxy
煮酒论架构
11-21 1853
本指南解释了如何在没有kube-proxy的情况下配置Kubernetes集群,以及如何使用Cilium完全替换它。cilium 使用 eBPF 实现了内核态高性能的负载均衡,并通过BPF Maps开放控制面的服务发现
eBPF可观测之网络流量控制和管理traffic control浅尝
kingu_crimson的博客
05-28 1703
首先发表一个"暴论"eBPF在可观测方面的应用,就是各种google。不需要学习内核,只要掌握ebpf开发套路。好比你开发 web 开发网站, 你了解socket 底层和内核吗?一样不了解。知道怎么调用就行了。而且 eBPF 的开发也没多少复杂度, 更多的是 在内核态拦截(简化的c语言) 内核数据(不管是网络数据还是tracepoint数据), 最终都是要发给用户态(可以理解为java、golang),然后用户态具体做业务处理。所以c语言也不需要怎么学,学了也没啥用。
操作系统大赛:基于 eBPF 的容器监控工具 Eunomia 初赛报告(目标描述、ebpf 调研)
云微的blog
07-07 827
本项目由两部分组成: 是一个使用 C/C++ 开发的基于eBPF的云原生监控工具,旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件,力求为工业界提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。目前,它包含 、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能。除了收集容器中的一般系统运行时内核指标,例如系统调用、网络连接、文件访问、进程执行等,我们在探索实现过程中还发现目前对于 和 相关用
eBPF入门开发实践教程十三:统计 TCP 连接延时,并使用 libbpf 在用户态处理数据
云微的blog
06-03 1041
tcpconnlat这个工具能够跟踪内核中执行活动 TCP 连接的函数(如通过connect()系统调用),并测量并显示连接延时,即从发送 SYN 到收到响应包的时间。通过本篇 eBPF 入门实践教程,我们学习了如何使用 eBPF 来跟踪和统计 TCP 连接建立的延时。我们首先深入探讨了 eBPF 程序如何在内核态监听特定的内核函数,然后通过捕获这些函数的调用,从而得到连接建立的起始时间和结束时间,计算出延时。
eBPF 入门开发实践教程八:在 eBPF 中使用 exitsnoop 监控进程退出事件,使用 ring buffer 向用户态打印输出
云微的blog
01-28 960
本文介绍了如何使用 eunomia-bpf 开发一个简单的 BPF 程序,该程序可以监控 Linux 系统中的进程退出事件, 并将捕获的事件通过 ring buffer 发送给用户空间程序。在本文中,我们使用 eunomia-bpf 编译运行了这个例子。完整的教程和源代码已经全部开源,可以在中查看。
eBPF实战教程七 | 性能监控工具—bpftop
DBdoctor_off的博客
10-09 1123
bpftop是一个强大的工具,使用bpftop工具可以直观地监控系统中正在运行的eBPF程序,极大提升了开发eBPF程序时对其自身性能优化的效率。
基于eBPF检测 进程生命周期
weixin_42136255的博客
11-27 540
基于eBPF检测 进程生命周期
使用 eBPF 实时持续跟踪进程文件记录
云原生实验室
06-02 2136
本文主要用于演示基于 ebpf 技术来实现对于系统调用跟踪和特定条件过滤,实现基于 BCC[1] 的 Python 前端绑定,过程中对于代码的实现进行了详细的解释,可以作为学习 ebpf ...
【亲测免费】 探索Linux内核深处:ebpf_exporter——一个强大的监控工具
gitblog_00065的博客
05-12 748
探索Linux内核深处:ebpf_exporter——一个强大的监控工具 项目介绍 ebpf_exporter 是一个利用 eBPF(扩展Berkeley包过滤器)技术的开源项目,旨在帮助你收集和导出那些传统手段无法获取的Linux内核指标。它通过Prometheus格式提供这些自定义度量,使得系统监控更加全面且精准。如果你对Linux内核性能优化或者系统监控有深入需求,那么这个项目绝对值得你关注...
Linux未来监控tracing框架——eBPF
badman250的专栏
05-07 2606
eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Filter,简称 ...
我觉得可能不需要真的去和特征比对,只要在实际运行的时候拦截那些“不怀好意”的操作然后干掉它就行了
02-24
<think>嗯,用户之前问过如何用Python制作杀毒软件,现在又提到可能不需要特征比对,而是在运行时拦截恶意操作。这说明用户可能对传统基于特征码的杀毒方法不太满意,想探索行为监控的方法。我需要先确认用户的需求是什么,他们可能希望更主动的防御方式,类似于实时监控程序行为而不是静态扫描。 用户可能对现有杀毒软件的工作原理有一定了解,但想用Python实现类似行为分析的功能。需要分析行为监控的可行性,以及Python在这方面的优缺点。比如,Python在系统底层操作上的限制,可能需要依赖其他工具或库。 另外,用户可能关心如何具体实现行为拦截,比如监控文件操作、网络访问、进程创建等。这时候需要给出具体的实现思路,比如使用hook技术或现有库,同时指出潜在的技术难点,比如权限问题、性能影响等。 还要考虑到用户的技术水平,可能对系统底层不太熟悉,所以需要建议一些适合入门的库或框架,比如sysinternals的某些工具,或者Python的psutil、socket等库。同时提醒用户Python在实时监控方面的局限性,可能需要结合其他语言或工具。 最后,总结行为监控的优点和挑战,帮助用户权衡是否采用这种方法,并鼓励他们进行实验和学习。可能需要推荐进一步的学习资源,如动态分析工具或沙箱技术,供用户深入研究。</think>你的思路更偏向于 **主动防御(Active Defense)** 或 **行为监控(Behavior Monitoring)**,这种方法不依赖静态特征库,而是通过动态拦截程序的行为(如文件篡改、网络通信、系统调用等)来判断是否恶意。这种设计确实更先进,但实现难度也更高。以下是具体分析和建议: --- ### **1. 行为监控的核心逻辑** - **监控对象** 需重点关注高风险行为: - **文件操作**:加密文件(类似勒索软件)、覆盖系统文件 - **进程行为**:注入其他进程、提权操作 - **网络活动**:连接恶意 IP、高频发送敏感数据 - **注册表/配置修改**(Windows 特有) - **内存操作**:代码注入、Shellcode 执行 - **拦截机制** - **Hook 技术**:挂钩系统 API(如 Windows 的 `CreateProcess`、`WriteFile`),在关键操作前阻断。 - **沙箱(Sandbox)**:在隔离环境中运行程序,观察其行为。 - **系统日志监控**:解析系统日志(如 Linux 的 `auditd`、Windows 事件日志)检测异常。 --- ### **2. Python 的实现可能性** #### **可行方案** - **简易行为监控器** 用 Python 调用系统工具或库实现基础监控- **文件监控**:使用 `watchdog` 库监听文件变动,结合规则判断是否恶意(如频繁修改 `.docx` 文件)。 ```python from watchdog.events import FileSystemEventHandler class Handler(FileSystemEventHandler): def on_modified(self, event): if event.src_path.endswith(".docx"): analyze_behavior(event.src_path) # 自定义分析函数 ``` - **网络监控**:用 `scapy` 或 `socket` 库抓包,检测可疑连接: ```python from scapy.all import sniff def packet_callback(packet): if packet.haslayer("IP") and packet["IP"].dst == "1.2.3.4": block_ip(packet["IP"].src) # 封禁来源 IP sniff(prn=packet_callback, store=0) ``` - **进程监控**:通过 `psutil` 库追踪进程行为: ```python import psutil for proc in psutil.process_iter(): if "malicious.exe" in proc.name(): proc.kill() ``` #### **技术难点** - **底层交互限制** Python 难以直接挂钩系统 API(需依赖 C/C++ 扩展或调用外部工具如 `Sysinternals` 的 `Process Monitor`)。 - **性能与实时性** 纯 Python 实现的监控可能延迟较高,难以处理高频操作。 - **绕过风险** 恶意程序可能检测到 Python 监控进程并主动终止它。 --- ### **3. 改进方向** #### **结合系统工具** - **Windows** 调用 PowerShell 或 `Windows Defender` 的 API(如 `AMSI` 接口)增强拦截能力。 - **Linux** 利用 `auditd` 或 `eBPF` 实现内核级监控(需编写 C 模块)。 #### **集成机器学习** 通过行为日志训练模型,识别异常模式: ```python from sklearn.ensemble import IsolationForest # 假设 logs 是包含 CPU、文件操作等指标的数据集 model = IsolationForest() model.fit(logs) anomalies = model.predict(new_logs) # 预测异常行为 ``` #### **沙箱化执行** 结合虚拟化技术(如 `Docker`)运行可疑程序: ```bash # 在 Docker 容器中运行程序并监控 docker run --rm -v /safe/path:/app malware.exe ``` --- ### **4. 实际案例参考** - **开源项目** - **Cuckoo Sandbox**:Python 编写的自动化恶意软件分析系统,支持行为监控- **ProcMon**(非 Python):Windows 系统级行为监控工具,可导出日志供 Python 分析。 - **商业产品逻辑** 火绒、卡巴斯基等杀毒软件会混合使用特征码扫描 + 行为分析 + 云查杀。 --- ### **5. 对初学者的建议** 1. **从简单场景入手** 例如:监控 USB 设备插入时自动扫描文件,或阻止特定程序启动。 2. **利用现有中间件** 如 `YARA` 规则匹配进程内存中的恶意代码片段。 3. **测试环境安全** 务必在虚拟机中测试,避免真实系统被感染。 --- ### **总结** - **可以实现**:用 Python 构建轻量级行为监控工具,尤其适合学习原理。 - **难以实用化**:高实时性、防绕过、性能优化需依赖底层语言(如 C)或系统级支持。 - **进阶学习**:推荐研究反病毒引擎(如 ClamAV)、逆向工程(如 IDA Pro)或威胁狩猎框架(如 MITRE ATT&CK)。 如果需要具体的代码示例(如拦截进程创建),可以进一步说明场景!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值