eBPF 入门开发实践指南五:在 eBPF 中使用 uprobe 捕获 bash 的 readline 函数调用

最新推荐文章于 2025-12-12 13:33:39 发布
原创 最新推荐文章于 2025-12-12 13:33:39 发布 · 1.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bash #开发语言 #linux #ebpf #服务器

本文介绍了如何利用eBPF的uprobe探针捕获bash的readline函数调用,以获取用户输入的命令行。uprobe允许在用户空间动态插桩,适用于解析内核无法处理的流量。示例代码展示了如何定义和使用SEC宏与BPF_KRETPROBE宏来实现这一功能。通过eunomia-bpf工具链,可以编译和运行eBPF程序,最终在内核日志中查看readline函数的返回值。

eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具,它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。

本文是 eBPF 入门开发实践指南的第五篇,主要介绍如何使用 uprobe 捕获 bash 的 readline 函数调用。

什么是uprobe

uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。

uprobe基于文件,当一个二进制文件中的一个函数被跟踪时,所有使用到这个文件的进程都会被插桩,包括那些尚未启动的进程,这样就可以在全系统范围内跟踪系统调用。

uprobe适用于在用户态去解析一些内核态探针无法解析的流量,例如http2流量(报文header被编码,内核无法解码),https流量(加密流量,内核无法解密)。

使用 uprobe 捕获 bash 的 readline 函数调用

uprobe 是一种用于捕获用户空间函数调用的 eBPF 的探针,我们可以通过它来捕获用户空间程序调用的系统函数。

例如,我们可以使用 uprobe 来捕获 bash 的 readline 函数调用,从而获取用户在 bash 中输入的命令行。示例代码如下:

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

#define TASK_COMM_LEN 16
最低0.47元/天 解锁文章
eBPF uprobe 应用程序跟踪
Linux内核研究者
03-10 1113
本文介绍了使用eBPFuprobe机制来跟踪用户态程序中的函数调用。首先,文章解释了uprobe的基本原理和工作流程,强调了与kprobe的区别在于其针对用户态进程。接着,详细说明了如何通过符号地址挂载uprobe,因为用户态程序的函数地址可能因ASLR而变化。文中还展示了如何利用libbpfgo将探针挂载到指定函数,并提供了Go语言代码示例来加载eBPF程序、绑定uprobe及监听perf buffer以输出目标函数的调用信息。
eBPF uprobe 跟踪动态库中的函数
Linux内核研究者
03-11 1137
本文介绍了使用eBPF的`uprobe`机制来跟踪动态库中的函数调用,特别是针对`libc.so.6`中的`mkdir()`函数。通过`libbpf`自动解析符号地址并附加到目标函数,文中详细讲解了如何定义eBPF程序以捕获函数调用时的参数和进程信息,并通过`bpf_perf_event_output()`将这些信息发送至用户态进行处理。此外,还展示了如何利用Go语言加载和附加eBPF程序,包括自动化与手动指定符号地址的方法。
eBPF 入门开发实践指南三:在 eBPF使用 fentry 监测捕获 unlink 系统调用
云微的blog
01-23 1777
这段程序是一个 eBPF 程序,通过使用 fentry 和 fexit 捕获 do_unlinkat 和 do_unlinkat_exit 函数,并通过使用 bpf_get_current_pid_tgid 和 bpf_printk 函数获取调用 do_unlinkat 的进程 ID、文件名和返回值,并在内核日志中打印出来。
eBPF(6)--uprobe
pigstor的博客
06-17 815
摘要:uprobe是一种用户空间探针技术,通过在二进制文件中插入断点指令实现动态插桩。它支持在函数入口/出口处插桩,并覆盖所有使用该二进制文件的进程。文章介绍了libbpf中的uprobe相关API(如bpf_program__attach_uprobe),详细展示了如何编写目标程序(需-g编译保留符号信息)、编写BPF探测程序(使用SEC和BPF_KPROBE宏),以及用户空间如何加载BPF程序进行插桩。通过实例演示了对test_add/test_sub函数的入口/出口监控,输出结果验证了uprobe的成
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
m0_74206992的博客
03-30 3188
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
借助 ChatGPT 编写的 libbpf eBPF 工具开发实践教程: 通过例子学习 eBPF
云微的blog
12-06 2727
这是一个基于 (一次编译,到处运行)的 的 eBPF开发教程,提供了从入门到进阶的 eBPF 开发实践指南,包括基本概念、代码实例、实际应用等内容。我们主要提供了一些 eBPF 工具的案例,帮助开发者学习 eBPF开发方法和技巧。教程内容可以在目录中找到,每个目录都是一个独立的 eBPF 工具案例。在学习 eBPF 的过程中,我们受到了 tutorial_bcc_python_developer 的许多启发和帮助,但从 2022 年的角度出发,使用 libbpf 开发 eBPF 的应用是目前相对更
深入理解Bash函数调用、通配符与正则表达式及相关参数
### 深入理解Bash函数调用、通配符与正则表达式及相关参数 在使用Bash进行脚本编写时,我们常常会遇到一些问题,下面将对常见的问题及解决办法进行详细介绍。 #### 1. 避免函数调用时出现“command not found”...
47、Bash使用技巧与参考指南
最新发布
pandas7gardener的博客
12-12 7
本文详细介绍了Bash编程中的关键技巧与实用参考,涵盖函数定义顺序、Shell通配符与正则表达式的区别、Bash调用选项、提示符定制、ANSI颜色使用、内置命令与保留字、常用环境变量及其应用场景,并提供了脚本性能优化建议。通过实例讲解了如何高效管理目录、生成随机数、控制命令历史、绑定快捷键以及捕获信号等高级用法,帮助用户提升Shell脚本编写效率与系统操作能力。
eBPF示例:x86-64平台上的uprobe
qq_38232169的博客
01-04 885
讲解 libbpf-bootstrap 框架上的 uprobe 示例代码; 函数符号被 strip 后的 uprobe 处理方法;
使用eBPF 技术进行四层网络监测
luisun66666的博客
11-17 1893
互联网的本质就是一系列的网络协议,按照功能不同,分工不同,其常被分为七层、层、四层网络结构。七层,层、四层的概念,只是人为的划分而已,是为了区分出哪一层是干什么用的。今天咱们主要讲“四层网络协议”,该协议族中最核心的两个协议分别为 TCP(传输控制协议)和 IP(网际协议),因此它也被称为 TCP/IP 协议族,它具有四层网络结构 :应用层、传输层、网络层、网络接口层。eBPF是一个,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。
ebpfpub:ebpfpub是Linux的通用函数跟踪库,它支持跟踪点,kprobes和uprobes
02-03
ebpfpub:ebpfpub是Linux的通用函数跟踪库,它支持跟踪点,kprobes和uprobes
uprobe
yunlianglinfeng的专栏
10-15 906
项目上需要分析用户态程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe使用,小结如下: 1.编写小测试程序如下: #include <stdlib.h> #include <s.
Linuxebpf(3)uprobeebpf
Once_day的回忆
09-07 4060
Linux 内核从 3.5 版本开始引入了 uprobe 功能,它是一种用户态的动态追踪技术。Uprobe 允许在用户空间的应用程序中插入探测点,以便实时监控和跟踪程序的运行状态和行为,而无需修改或重新编译应用程序的源代码。Uprobe 的工作原理如下:在目标应用程序的特定指令位置设置探测点。当程序执行到该指令时,会触发探测点。探测点被触发后,程序执行流程会被中断,并将控制权转移给预先注册的探测处理程序。探测处理程序可以访问寄存器、内存等程序运行时的上下文信息,以此来分析和记录程序的状态。
eBPF入门
qq_43811102的博客
10-22 560
BPF和eBPF是什么? 简单来说, BPF提供了一种在和各种内核和应用程序事件发生时运行一段小程序的机制 BPF是一项灵活而高效的技术, 由指令集, 存储对象和辅助函数等几部分组成,由于它采用了虚拟指令集规范, 因此也可将它视作一种虚拟机的实现. 这些指令由Linux内核的BPF运行时模块执行. 具体来说, 它运行时提供两种机制:一个解释器和一个将BPF指令动态转换为本地化指令的即时(JIT)编译器 主要作用:跟踪, 嗅探, 采样, 剖析和可观察性 BCC, bptrace和IO Visor 直接通过BP
获取cmdline参数
qq_14814909的博客
07-10 3322
#include&lt;string.h&gt;#include&lt;stdio.h&gt;#include&lt;stdlib.h&gt;#include&lt;fcntl.h&gt; #include &lt;unistd.h&gt;#include&lt;string.h&gt;int main(int argc, char* argv[]){ int fd; int ret = 1; i...
libbpf-bootstrap开发指南:用户态探针 - uprobe
阿呆的隐秘角落
07-16 781
做全网最好的libbpf-bootstrap 开发指南
【性能工程 - eBPF 技术】什么是 kprobe 和 uprobe?一文详解 kprobe 和 uprobe 奥秘
Mercury_Lc的博客
12-07 1395
详解 eBPF 中的 kprobe、 uprobe、kretprobe、 uretprobe。
mysql eBPF bcc_用 eBPF/bcc 分析系统性能的一个简单案例
weixin_30578645的博客
02-05 411
bcc是eBPF的一种前端,当然这个前端特别地简单好用。可以直接在python里面嵌入通过C语言写的BPF程序,并帮忙产生BPF bytecode和load进入kernel挂载kprobe、tracepoints等上面执行。之后,还可以从python取出来C函数里面导出的maps数据以及per-event数据并进行打印。我们特别看一下其中的bitehist.py例子:上述程序通过kprobe截获了...
Linux内核 eBPF基础: 探索USDT探针
RToax
05-18 4732
目录 Motivation Tracing System Overview Terminology术语 Evoluction of Linux Tracing Linux Tracing Technical Stack Event Sources Tracing Frameworks ftrace perf_event eBPF perf_event profiling vs. eBPF profiling SystemTap LTTng ktap dtrace4linux
如何在python中调用git bash命令
03-04
<think>好的,用户想知道如何在Python中调用Git Bash命令。首先,我需要回忆一下Python执行系统命令的常用方法。通常有os.system、subprocess模块这些方法。不过Git Bash和普通的cmd命令可能有些不同,特别是路径和shell的环境变量可能不一样。 用户可能是在Windows环境下工作,因为Git Bash主要在Windows上使用。所以需要确认Python中调用的是Git Bash的可执行文件,比如bash.exe的位置。可能需要指定shell的路径,否则可能会默认使用cmd,导致某些命令无法识别,比如Linux风格的命令。 接下来,我需要考虑subprocess模块的不同函数,比如run、Popen、check_output等。推荐使用subprocess.run,因为它更灵活,可以捕获输出和错误。同时,要注意设置shell=True可能会带来安全风险,但在这种情况下可能需要。 另外,用户可能希望命令在Git Bash的环境中执行,而不仅仅是执行命令。所以需要指定可执行文件的路径,例如C:\Program Files\Git\bin\bash.exe,或者使用env参数传递环境变量。 可能还需要处理路径转换的问题,比如在Git Bash使用正斜杠,而Windows路径是反斜杠,需要正确转义或者使用原始字符串。此外,用户可能需要传递多个参数,或者执行多个命令,比如用&&连接的命令。 还要考虑错误处理,如果命令执行失败,Python脚本应该能够捕获异常并给出提示。比如使用check=True让subprocess在命令返回非零状态时抛出异常,然后用try-except块处理。 可能用户的实际使用场景是在Python脚本中自动化一些Git操作,比如拉取代码、提交更改等,所以需要确保命令的正确执行和输出结果的获取。例如,用户可能需要获取git status的输出,或者处理git clone的结果。 最后,需要给出一个完整的示例,展示如何正确调用Git Bash命令,并处理可能遇到的问题,比如路径问题、环境变量、命令参数等。同时提醒用户注意安全性和跨平台兼容性,如果有的话。</think>在 Python 中调用 Git Bash 命令的 **5 种核心方法**及其应用场景: --- ### 1️⃣ **基础版 - 使用 `subprocess.run()`** ```python import subprocess # 执行简单命令 result = subprocess.run( 'git --version', shell=True, executable='C:\\Program Files\\Git\\bin\\bash.exe', # 显式指定 Git Bash capture_output=True, text=True ) print(result.stdout) # 输出:git version 2.39.0.windows.2 ``` --- ### 2️⃣ **跨平台兼容写法** ```python from pathlib import Path import subprocess # 自动定位 Git Bash 路径 git_bash_path = Path('C:/Program Files/Git/bin/bash.exe') # 执行带参数的命令 cmd = ''' cd /d/project && git status && git log -n 2 ''' result = subprocess.run( [str(git_bash_path), '-c', cmd], capture_output=True, text=True ) ``` --- ### 3️⃣ **执行多行脚本** ```python script = ''' # 创建测试文件 touch demo.txt # 提交到 Git git add . && git commit -m "Add demo file" ''' subprocess.run( f'echo "{script}" | bash', shell=True, executable=git_bash_path ) ``` --- ### 4️⃣ **实时输出执行过程** ```python # 实时打印命令输出 process = subprocess.Popen( ['bash', '-c', 'git fetch && git pull'], stdout=subprocess.PIPE, stderr=subprocess.STDOUT, universal_newlines=True ) # 流式读取输出 while True: output = process.stdout.readline() if output == '' and process.poll() is not None: break if output: print(output.strip()) ``` --- ### 5️⃣ **错误处理最佳实践** ```python try: result = subprocess.run( 'git checkout non-existent-branch', shell=True, executable=git_bash_path, check=True, # 自动检测错误状态码 capture_output=True, text=True ) except subprocess.CalledProcessError as e: print(f"命令执行失败!错误码:{e.returncode}") print(f"错误输出:{e.stderr}") ``` --- ### 🛠️ **关键技术要点** 1. **路径规范**: - 始终使用 **原始字符串** 处理路径:`r'C:\Git'` - 推荐转换为 POSIX 格式:`Path('C:/Git').as_posix()` 2. **环境变量配置**: ```python env = os.environ.copy() env['GIT_AUTHOR_NAME'] = 'AutoBot' subprocess.run('git commit', env=env) ``` 3. **超时控制**: ```python try: subprocess.run('git clone repo', timeout=30) except subprocess.TimeoutExpired: print("操作超时!") ``` --- ### ⚠️ **安全注意事项** 1. **禁止直接拼接用户输入**: ```python # 错误示范(SQL注入式漏洞) user_input = input("输入分支名:") subprocess.run(f'git checkout {user_input}') # 高风险! # 正确做法 subprocess.run(['git', 'checkout', user_input]) ``` 2. 建议使用 `shlex.quote()` 对参数进行转义 --- ### 📊 **方法对比表** | 方法 | 适用场景 | 优点 | 缺点 | |--------------------|-------------------------|--------------------------|-----------------------| | `subprocess.run` | 简单命令执行 | 代码简洁 | 无法实时获取输出 | | `subprocess.Popen` | 需要交互式操作 | 完全控制输入输出流 | 代码复杂度高 | | `os.system` | 快速测试 | 最简单 | 无法捕获输出 | | `io.StringIO` | 模拟终端输入 | 适合自动化测试 | 需要维护输入流 | |第三方库(如sh) | 复杂脚本 | 语法更友好 | 需要额外安装依赖 | --- 通过结合这些方法,可以覆盖从简单 Git 操作到复杂自动化脚本的所有使用场景。建议根据具体需求选择最合适的实现方式。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值