Linux ebpf跟踪技术1:Linux跟踪技术纵览Linux ebpf跟踪技术2:BCC介绍Linux ebpf跟踪技术3:BCC工具开发提示第一个程序是使用kprobe挂钩到sys_sync系统...
使用ebpf对Linux进行跟踪5:第二个程序
在这个例子,尝试跟踪一下execve系统调用,看能够获取什么有意思的信息。在每一个事件,我们希望获取到这些数据:时间戳进程ID执行程序名称execve在内核执行的时间按照前一篇文章的办法,可以很容易获...
eBPF项目开发环境meson化之旅
使用meson管理工程是真的香,受Frida的启发,我试着将eBPF开发环境meson化。首先,是libbpf的meson化。这个基础库当时研究使用的时候才0.8版本,现在都1.5了。直接上代码。pr...
eBPF(一)—— eBPF介绍&内核编译
eBPF(一)—— eBPF介绍&内核编译目录○ eBPF介绍○ eBPF基础 ◇ 代码验证 ◇ 即时编译○ eBPF开发工具 ◇ BCC ◇ bpftrace ...
eBPF verifier验证器与编译器inline内联
笔者在二月份编写eCapture的GoTls密钥捕获功能时,遇到了一个小bug,就是在UBUNTU 21.04的Linux上运行时,遇到eBPF verifier的报错,无法启动,笔者后来通过启用al...
【A9】初探eBPF
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
初探Linux内核eBPF之恶意程序行为监控
0x00 关于eBPFeBPF是BPF技术的一个扩展,而BPF (Berkeley Packet Filter) 是一种内核技术,最初用于高效过滤网络数据包。它可以让操作系统内核从用户空间接收过滤规则...
这款免费工具无须CA证书也能捕获HTTPS明文流量,原理大揭秘!
Wireshark、Burp Suite、tcpdump等工具在没有CA证书的情况下只能抓到加密后的流量,无法捕获TLS的明文。而将下来我们将会介绍一款工具,它只需要root权限,即可捕获明文的HTT...
eBPF挂钩TC egress时,被TCP Checksum搞死了
译者注我最近也在尝试用eBPF TC类型程序,挂钩egress网络包,修改IP包、TCP包内容,实现路由跟踪的功能。除了eBPF验证器的奇葩问题外,剩下的就是skb_buff修改后,被客户端内核丢弃、...
G.O.S.S.I.P 阅读推荐 2024-10-09 HIVE
今天为大家推荐的论文来自中科院计算所内构安全实验室投稿并发表在 USENIX Security 2024 上的最新工作HIVE: A Hardware-assisted Isolated Execut...
Pixel6刷机包,eBPF学习环境供下载
很多朋友在研究eBPF开发时候,很害怕Pixel6系统刷机。整个开启eBPF内核选项编译刷机的过程有一定的风险性。一不小心黑砖后果很严重。 为了减少大家的刷机风险,这里给大家分享一个eBPF学员...
G.O.S.S.I.P 阅读推荐 2023-08-04
先来说一下我们前天在公众号文章 G.O.S.S.I.P 阅读推荐 2023-08-02 zpoline 里面提出的问题(为什么eBPF不适合system call hooking),我们的读者热心留言...