本篇记录一下利用EBPF技术实现HIDS系统agent端部分功能的研究,及部分例子的实验情况。0x01 研究细节此处就不再对BPF技术及其使用做详细介绍了。这里粗略提一下使用EBPF技术做恶意利用时候...
《eBPF 系列(一): 初探eBPF》
01简介ebpf是一种Linux应用程序在内核空间执行代码的机制,经常被用于网络,调试,函数调用追踪,防火墙等领域。ebpf可以在Linux内核里面运行沙箱程序而不需要修改内核代码或者加载内核模块。e...
bpf,ebpf一些原理以及逆向基于libbpf-bootstrap编写的bpf文件
0x00 bpf BPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classic...
基于 TCP 的 Linux eBPF 后门
点击上方蓝字“Ots安全”一起玩耍================================================================ ██████╗ ██████╗ ██...
从Falco看如何利用eBPF检测系统调用
一、eBPF1.1简介eBPF是一项革命性的技术,可以在操作系统内核中运行沙盒程序。它用于安全有效地扩展内核的功能,而无需更改内核源代码或加载内核模块。通过允许在操作系统中运行沙箱程序,应用程序开发人...
Linux中基于eBPF的恶意利用与检测机制
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在...
浅谈一下,Linux中基于eBPF的恶意利用与检测机制
初识 eBPF,你应该知道的知识
eBPF 作为一颗在基础软件领域冉冉上升的新星,可谓前途大好,越来越多的基于 eBPF 的应用如雨后春笋般蓬勃涌现,这是 eBPF 展现出的惊人力量。本文就将带着大家了解 eBPF。什么是 eBPF ...
BlackHat USA 2021 洞察(一):议题技术解读
周末抽空学习下BlackHat USA 2021的议题,对自己感兴趣的议题学习下。经常记录下,保持对行业动态的关注,有时突然想起来某个思路在外部会议上见过,可以回头查阅下,好多次遇到这种情况。打算先分...
CVE-2021-31440:Linux kernel eBPF模块漏洞详情
点击上方蓝字关注我们概述CVE-2021-31440存在于eBPF程序的处理过程中,是由于在执行用户提供的eBPF程序之前,未进行适当的验证导致的。攻击者可以利用此漏洞来提升特权,并在内核的上下文中执...
CVE-2021-3490 - Ubuntu 上 Pwning Linux 内核 eBPF
更多全球网络安全资讯尽在邑安全研究人员在 Ubuntu 机器上的 Linux 内核 eBPF 中发布了针对高严重性提权漏洞 (CVE-2021-3490) 的利用代码。安全研究人员曼弗雷德·保罗&nb...
CVE-2020-27194:Linux Kernel eBPF模块提权漏洞的分析与利用
报告编号:B6-2020-110302报告来源:360-CERT报告作者:360-CERT更新日期:2020-11-030x01 漏洞背景2020年11月01日, 360CERT监测到国外安全研究人员...
15