8、BPF 追踪技术：从内核到用户空间的全面解析

BPF 追踪技术：从内核到用户空间的全面解析

1. 内核探测与追踪基础

在使用 BPF 进行内核追踪时，我们可以通过以下代码来追踪 execve 系统调用：

execve_function = bpf.get_syscall_fnname("execve")
bpf.attach_kretprobe(event = execve_function, fn_name = "ret_sys_execve")  
bpf.trace_print()

这里的 bpf.get_syscall_fnname 用于获取系统调用的函数名， bpf.attach_kretprobe 则将 BPF 程序附加到系统调用返回时执行的探针上。

另外，在 BPF 程序中，我们会经常看到 ctx 参数，它被称为上下文参数，用于访问内核当前正在处理的信息。这个上下文会根据运行的 BPF 程序类型以及系统架构而有所不同，但我们可以使用内核定义的宏（如 PT_REGS_RC ）来访问寄存器，而无需担心架构差异。

2. 内核探针与追踪点

内核探针（kprobes）是访问内核的强大方式，但由于它们附着在内核源代码的动态点上，可能会因内核版本的变化而不稳定。而追踪点（tracepoints）则是内核代码中的静态标记，具有更稳定的 ABI。

2.1 追踪点的发现

我们可以通过列出