eBPF 入门开发实践指南六:捕获进程发送信号的系统调用集合,使用 hash map 保存状态

最新推荐文章于 2024-04-02 21:43:30 发布
原创 最新推荐文章于 2024-04-02 21:43:30 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#哈希算法 #算法 #linux #ebpf #服务器

本文介绍了如何使用eBPF在Linux内核中动态加载和运行用户代码,监控kill、tkill和tgkill系统调用,捕获进程发送信号的信息。通过hashmap保存状态,并在系统调用退出时打印相关信息。文章提供了一个示例代码,展示了如何定义探针函数、使用bpf_mapAPI以及编译和运行eBPF程序的方法。

eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具,它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。

本文是 eBPF 入门开发实践指南的第六篇,主要介绍如何实现一个 eBPF 工具,捕获进程发送信号的系统调用集合,使用 hash map 保存状态。

sigsnoop

示例代码如下:

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

#define MAX_ENTRIES 10240
#define TASK_COMM_LEN 16

struct event {
   
   
 unsigned int pid;
 unsigned int tpid;
 int sig;
 int ret;
 char comm[TASK_COMM_LEN];
};

struct {
   
   
 __uint(type, BPF_MAP_TYPE_HASH);
 __uint(max_entries, MAX_ENTRIES);
 __type(key, __u32);
 __type(value, struct event
最低0.47元/天 解锁文章
系统调用捕获和分析—通过ptrace获取系统调用信息
H4ppyD0g的博客
05-31 826
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注! 文章目录ptrace系统调用利用ptrace获取进程系统调用 ptrace系统调用 linux提供了ptrace系统调用接口,通过这个接口可以实现进程的跟踪功能。以此实现父进程对其子进程进行控制和改变子进程核心镜像,包括读写子
《“系统调用”拦截技术:ptrace, LD_PRELOAD与eBPF
最新发布
2501_93632774的博客
10-04 272
系统调用(syscall)是用户程序与操作系统内核交互的接口,拦截系统调用在安全监控、调试、性能分析等领域有广泛应用。本文将逐步介绍三种主流拦截技术:ptrace、LD_PRELOAD 和 eBPF,包括原理、实现方式、优缺点及适用场景。所有解释基于真实技术原理,确保可靠性和实用性。ptrace 是一个系统调用,用于进程跟踪和调试。它允许一个进程(如调试器)附加到另一个目标进程,拦截其系统调用,并在调用前后注入自定义逻辑。原理:示例代码(C 语言): 以下是一个简化示例,展示如何拦截 系统调用: 优缺
linux发送signal的进程,(原创)linux杀死进程以及发送或响应信号
weixin_42508114的博客
04-28 609
原创文章,转载请注明出处:jquery中文网,否则追究法律责任。jquery中文网首发!作者:isbadboy 终结进程是我们通常都会碰到的事情。有时,我们可能需要终结某个程序的所有实例。命令行提供了多种用于终结程序的方法。在类unix环境中与进程相关的一个重要概念就是信号信号是一种进程间通信的机制,它用来中断运行的进程以执行某些操作。终止程序也是通过使用信号技术来实现的。本文就为大家简单...
Linux查找是发送SIGKILL信号进程
枫竹梦
01-12 7923
背景 最近在开发服务器上遇到了一件奇怪的事情,同事反馈之前运行着正常的程序,现在现在运行一段时间会退出,而且没有日志输出。询问后,出现这个现象是在周末由于停电重启之后。 停电重启?退出,无日志?有关系吗? 问题定位 由于程序在常驻,所以使用了两个进程相互守护。是守护出了问题吗?如果是的话,应该会有日志输出。在服务器上查看程序的过程中又发现新的疑点,使用vim打开带有push的文件名的文件,
eBPF 入门开发实践指南二:在 eBPF使用 kprobe 监测捕获 unlink 系统调用
云微的blog
01-23 1234
通过本文的示例,我们学习了如何使用 eBPF 的 kprobe 和 kretprobe 捕获 unlink 系统调用。本文是 eBPF 入门开发实践指南的第二篇。下一篇文章将介绍如何在 eBPF使用 fentry 监测捕获 unlink 系统调用。完整的教程和源代码已经全部开源,可以在中查看。
Linux eBPF内核源码sample/bpf全网最细解析(一)
尧fighting的博客
09-28 4146
本文重点讲解samples/bpf/sockex1_kern.c和samples/bpf/sockex1_user.c这两个文件,并剖析了它们调用的其他外部函数。
eBPF 入门开发实践教程九:捕获进程调度延迟,以直方图方式记录
云微的blog
06-03 1480
runqlat 是一个 Linux 内核 BPF 程序,通过柱状图来总结调度程序运行队列延迟,显示任务等待运行在 CPU 上的时间长度。编译这个程序可以使用 ecc 工具,运行时可以使用 ecli 命令。runqlat 是一种用于监控Linux内核中进程调度延迟的工具。它可以帮助您了解进程在内核中等待执行的时间,并根据这些信息优化进程调度,提高系统的性能。如果您希望学习更多关于 eBPF 的知识和实践,可以访问我们的教程代码仓库以获取更多示例和完整的教程。
借助 ChatGPT 编写的 libbpf eBPF 工具开发实践教程: 通过例子学习 eBPF
云微的blog
12-06 2721
这是一个基于 (一次编译,到处运行)的 的 eBPF开发教程,提供了从入门到进阶的 eBPF 开发实践指南,包括基本概念、代码实例、实际应用等内容。我们主要提供了一些 eBPF 工具的案例,帮助开发者学习 eBPF开发方法和技巧。教程内容可以在目录中找到,每个目录都是一个独立的 eBPF 工具案例。在学习 eBPF 的过程中,我们受到了 tutorial_bcc_python_developer 的许多启发和帮助,但从 2022 年的角度出发,使用 libbpf 开发 eBPF 的应用是目前相对更
eBPF安全与编程:从系统调用到高级应用
一些分析器使用附着到`sys_enter`的eBPF代码来跟踪已使用系统调用集,并生成用于`seccomp`的配置文件,`seccomp`负责执行这些配置文件。还有一类eBPF工具也附着到`sys_enter`,用于跟踪应用程序的行为并与安全策略...
eBPF 入门开发实践指南四:在 eBPF捕获进程打开文件的系统调用集合使用全局变量过滤进程 pid
云微的blog
01-23 1492
本文介绍了如何使用 eBPF 程序来捕获进程打开文件的系统调用。在 eBPF 程序中,我们可以通过定义 tracepoint__syscalls__sys_enter_open 和 tracepoint__syscalls__sys_enter_openat 函数并使用 SEC 宏把它们附加到 sys_enter_open 和 sys_enter_openat 两个 tracepoint 来捕获进程打开文件的系统调用
基于linux的C语言环境下开源hashmap使用与测试
q544344318的博客
12-02 1177
C语言中没有C++语言中map键值对容器的数据结构,为在C语言中提供一种hashmap数据结构,并提供hashmap的操作方法,具体包括新建、释放、清除、获得缓存数据量、设置数据、获取数据、浏览数据等操作,基于hashmap的开源代码很丰富,本文不介绍如何设计hashmap的具体函数,仅介绍linux环境下开源hashmap使用与测试,具体测试了两种键值(字符串键值和数值键值)。
Linux内核数据结构之哈希表
小鱼学编程
07-15 7312
今天,我们来学习Linux内核数据结构中的哈希表
Linux内核数据结构——哈希表
weixin_38954835的博客
03-06 1015
Linux内核数据结构——哈希表 1、基本概念 In computing, a hash table (hash map) is a data structure that implements an associative array abstract data type, a structure that can map keys to values. A hash table uses a ...
libbpf开发指南:获取与给定 BPF 程序关联的 ELF section 名称
阿呆的隐秘角落
07-06 524
返回一个表示 ELF section 名称的字符串。
使用bpftool将eBPF程序attach到某个tracepoint上
Shalom373的博客
04-02 824
使用bpftool将eBPF程序attach到某个tracepoint上
trace系列3 - trace event学习笔记
HZero
11-04 5036
0.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明trace event的原理。 1. TRACE_EVENT宏 第一次定义(include/linux/tracepoint.h) #define TRACE_EVENT(name, proto, args, struct, assign, print) \
Eunomia:ebpf 程序的分发和使用像网页和 web 服务一样自然
云微的blog
08-18 1067
Eunomia 想要探索一条全新的路线:在本地编译或者远程服务器编译之后,使用 http RESTful API 直接进行 ebpf 字节码的分发,在生产环境最小仅需 4 MB 的运行时,约 100ms 的时间和微不足道的内存、CPU 占用即可实现 ebpf 代码动态分发、热加载、热更新,不受内核版本限制,不需要在生产环境中安装底层库(如 LLVM、python 等)、搭建环境即可启动;......
linux使用hashmap
荒乱的没日没夜。。。
08-15 7522
#include "apue.h" #include #include #include #include #include "Sales_item.h" #include #include #ifdef __GNUC__ #include #else #include #endif using namespace std; namespace std { using name
Linuxhash_map使用
yangruibao的专栏
11-09 1389
http://blog.sina.com.cn/s/blog_73eb956401019cq1.html   Linux使用hash_map 问题 1:头文件 #if 0  #if __GNUC__>2  #include  #include   using namespace __gnu_cxx;  #else  #include  #include   usi
Ruby新手入门指南与项目实践
结合标签中的关键词如“Ruby”、“编程语言”、“新手入门”、“开发环境”、“项目实践”、“代码示例”、“脚本语言”、“面向对象”、“Ruby语法”以及“软件开发”,我们可以系统地梳理出一套完整的Ruby入门知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值