ebpf 字节码elf文件信息读取

最新推荐文章于 2024-11-22 14:47:39 发布
最新推荐文章于 2024-11-22 14:47:39 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: ebpf map program 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hubingsong/article/details/126518580
版权

ebpf内核程序是以elf格式保存的.o文件,其内容主要包括map和program,都是以sect的方式存在于.o文件中。

这些.o程序的使用需要在ebpf用户态程序进行加载、数据初始化、挂载到钩子点,完成这些处理后才能将ebpf程序融入到内核中发挥相应的功能。

ebpf系统提供了相关的函数来完成上述这些处理。下面介绍xdp程序运行的基本处理步骤。

一)map的加载(load)与初始化。

map是一段共享内存,用于用户为ebpf内核程序提供运行数据以及运行统计结果存储。说白了就是epbf用户程序用map老控制内核程序的运行,并获取内核程序的运行结果状态统计等。

用户态程序对map的操作分为以下几个步骤:

1)将elf文件加载到内存

struct bpf_prog_load_attr prog_load_attr = {
        .prog_type    = BPF_PROG_TYPE_XDP,
    };

struct bpf_object *obj;

int prog_fd;

prog_load_attr.file = filename;

bpf_prog_load_xattr(&prog_load_attr, &obj, &prog_fd);

这时我们获得了一个bpf对象obj(这个obj对象包含了所有elf文件中加载到内存的信息),以及该elf文件中的第一个program sect中的程序对应的fd(这个fd跟map操作没有关联,我们需要获得map所在sect的fd)。

2)获取map对应的sect的文件描述符fd

涉及的数据结构:

struct bpf_map *map;

int map_fd;

如果elf文件中只有一个map,使用bpf_map__next、bpf_map__fd函数就能获得该map的fd:

...

map = bpf_map__next(NULL, obj);

...

map_fd = bpf_map__fd(map);

...

如果elf文件中有多个map,需要遍历所有map,并根据map的名称来获取map的fd:

...

map = bpf_map__next(NULL, obj);

while(map){

        if (!strcmp("my_map",bpf_map__name(map))){

                map_fd = bpf_map__fd(map);

                break;

        }

        map = bpf_map__next(map, obj);

}

...

3)用fd对map进行读写操作

二)program的加载(load)与挂载(attach)

如果xdp加载的是第一个prog sect的程序,可以使用上述调用:

bpf_prog_load_xattr(&prog_load_attr, &obj, &prog_fd);

返回的prog_fd进行挂载即可:

...

bpf_set_link_xdp_fd(idx,prog_fd, 0);

...

其中的参数idx是系统中的网络接口号,是一个整数,可以通过网络名称获得:

...

idx = if_nametoindex(if_name);

...

如果xdp系统加载的不是第一个prog sect的程序,那么需要根据prog的名称遍历prog sect来获得prog_fd:

...

struct bpf_program *prog;

...

prog = bpf_object__next_program(obj, NULL);

while(prog){

        if (!strcmp("my_prog",bpf_program__name(prog))){

                prog_fd = bpf_program__fd(prog);;

                break;

        }

        prog=bpf_object__next_program(obj, prog);

}

...

注意:

对于高版本的libbpf来说,已经提供了单个函数来根据名称获取fd。

读取ELF文件
ndzjx的专栏
11-12 834
/* elfparse.c - gcc elfparse.c -o elfparse */ #include <stdio.h> #include <string.h> #include <errno.h> #include <elf.h> #include <unistd.h> #include <stdlib.h> #...
readelf命令读取elf文件的详细信息
qq_30379221的博客
02-10 493
概述 readelf用于查看elf文件文件信息,关于elf文件及其格式的介绍在【ctf权威竞赛指南笔记】(2)二进制文件中有比较详细的介绍。 常用参数 在这里使用一个elfDemo.rel作为示例,elfDemo.rel是elfDemo.c使用如下指令生成的。 gcc -c elfDemo.c -o elfDemo.rel elfDemo.c内容如下: #include<stdio.h&...
关于ELF文件格式的理解与读取
weixin_44820962的博客
09-03 387
ELF文件格式
ebpf理解
muyuanbiao888的博客
08-05 617
简单记录下ebpf的个人理解。 结构 ebpf分为两部分。一部分是ebpf字节码代码,另外一部分是加载ebpf字节码的用户态程序。 ebpf字节码 字节码是只能使用bpf helper函数编写的代码。这个代码运行于内核中。 基于现有的tracing系统注入ebpf字节码,比如tracepoint,kprobe,raw_tracepoint等。这些根据注入点的不通这块将bpf程序进行对应的分类。每种类型有点差异,比如tracepoint类型的ebpf代码,获取函数参数按照指定的结构获取。而raw_tracep
ebpf字节码的加载过程(三)
u013237642的博客
03-17 674
添加kernel-src/sample/bpf/bpf_load.h(头文件搜索目录在makefile中指定了),把sample/bpf/bpf_load.c和自己的user_load.c文件通过Makefile编译出一个monitor-exec程序,负责加载elf格式的.o文件。《2》int load_bpf_file(char *path)、read_trace_pipe()等用户空间函数在bpf_load.c中定义。《3》在bpf_load.c中我们看看load_bpf_file()做了啥。
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2559
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
深入探析 eBPF:从程序编写到执行的全流程解析
weixin_45887654的博客
09-28 1511
这篇文章介绍了eBPF(扩展的伯克利包过滤器)技术从程序的编写、验证到执行的全过程。深入分析了eBPF程序从源码到字节码的转换、验证机制以及通过JIT(即时编译)在内核中的运行过程。通过这些步骤的详细描述,读者可以更好地理解eBPF程序的执行原理。本文旨在为对eBPF感兴趣的技术人员提供入门指导,并为进一步深入研究打下基础。
Linux内核】eBPF实践入门篇
最新发布
qq_43840665的博客
11-22 1409
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于––进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
A_pure_Go_eBPF_library.pdf
04-23
eBPF是一种在Linux内核中运行的、安全的、动态的字节码技术,它允许开发者在操作系统内部执行轻量级的程序,用于网络包处理、系统追踪、性能分析等多种场景。由于其高效、灵活的特性,eBPF被广泛应用于容器网络安全...
Goebpf:一个易用的eBPF库,支持Go语言
这个二进制文件包含了eBPF字节码,它被加载到Linux内核中并执行。 goebpf库使用了Go的cats-effect库,这是一个提供异步和并发控制的库。这意味着goebpf库在执行时会考虑到异步编程的模型和特性。 此外,goebpf库还...
openEuler 2203 中利用ebpf实现文件变更实时监控
zhangdaolong
06-18 581
sed,vim等命令修改文件,每次更新,文件的inode会变化,这个和具体命令的实现有关,有的时候可能还是需要用文件的名称来做唯一标记。在ebpf安全保护机制下,不可控循环可能不让操作,所以这边固定了循环次数,也就是固定目录的深度,这个地方举例是4级。上边循环中,可以用数组来保存目录的名称,但是具体实现过程,编译没有过,暂时用这个临时方法代替。操作文件的时候,传入参数文件路径可以是相对路径或者是绝对路径,如果是相对路径可能需要在获取文件的完成路径。1),根据fd获取文件的名称。3.监控中参数获取遇到问题。
bpf的加载流程分析
大草的博客
05-26 3025
分析load_bpf_file函数
万字干货,eBPF 经典入门指南
极客重生
05-25 4946
eBPF 源于BPF[1],本质上是处于内核中的一个高效与灵活的虚拟机组件,以一种安全的方式在许多内核 hook 点执行字节码。BPF最初的目的是用于高效网络报文过滤,经过重新设计,eBPF不再局限于网络协议栈,已经成为内核顶级的子系统,演进为一个通用执行引擎。开发者可基于 eBPF 开发性能分析工具、软件定义网络、安全等诸多场景。本文将介绍 eBPF 的前世今生,并构...
【无标题】Android上使用BPF工具获取内核信息
hudongliang2006nb的专栏
03-05 1656
android中ebpf是如何从内核获取信息,并在framework层进行处理的
ebpf perf_event使用流程
hubingsong的博客
09-09 1771
本文介绍了ebpf的perf_event的使用流程
Linux eBPF内核源码sample/bpf全网最细解析(一)
尧fighting的博客
09-28 3775
本文重点讲解samples/bpf/sockex1_kern.c和samples/bpf/sockex1_user.c这两个文件,并剖析了它们调用的其他外部函数。
bpftime(为什么要有,介绍,原理图),如何编译运行其代码,示例代码(运行结果+解释+内核层代码,用户层代码分析)
m0_74206992的博客
04-16 1202
bpftime(为什么要有,介绍,原理图),如何编译运行其代码,示例代码(运行结果+解释+内核层代码,用户层代码分析)
【翻译】 XDP的力量
wang603603的专栏
01-11 2561
https://blogs.oracle.com/linux/the-power-of-xdp XDP的力量 Oracle Linux内核开发人员Alan Maguire谈到了XDP,即eXpress DataPath,它使用BPF来加速数据包处理。有关BPF的更多背景信息,请参阅BPF系列文章,其中他深入介绍了内核的“伯克利包过滤器”(Berkeley Packet Filter),它...
3.4 Android bpfloader初始化流程解读(二)
从0到1,突破自己
10-04 595
这里梳理下android上bpfloader的初始化过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值