BCC是第一个基于BPF的上层跟踪框架。BPF是一种在1992年开发用来提高网络包过滤性能的技术。在2003年,它被重写扩展为eBPF,在2014年引入到Linux内核。它的重写使得它变成一个通用的执...
Tetragon - 盯向内核的眼睛
一. 简介1.1 什么是eBPF?eBPF(extended Berkeley Packet Filters)起源于BPF, 是一套通用执行引擎,提供了直通L...
eBPF介绍
很早前就想写一篇关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写一篇。这文章主要还是简单的介绍 eBPF 是用来干什么的,并通过几个示例来介绍是怎么玩的。这个技术非常非常之强,Li...
TripleCross:一款功能强大的Linux eBPF安全研究工具
关于TripleCross TripleCross是一款功能强大的Linux eBPF安全研究工具,该工具提供了后门、C2、代码库注入、执行劫持、持久化和隐蔽执行等功能。&nbs...
原创Paper | 在 Android 中开发 eBPF 程序学习总结(三)
作者:Hcamael@知道创宇404实验室日期:2022年11月30日相关阅读:在 Android 中开发 eBPF 程序学习总结(一)在 Android 中开发 eBPF 程序学习总结(二)在研究u...
使用eBPF实现基于DWARF的堆栈遍历
译者注: 原文为https://www.parca.dev/[1]的Javier Honduvilla Coto[2],文章地址DWARF-based Stack Walking Using eBPF...
实战eBPF kprobe函数插桩
本文作者为团队小伙伴阿松,在Linux文件监控领域实战经验丰富。本次引入eBPF在文件监控上应用,提升文件变更的关联进程信息等。在实现过程中,分享了eBPF kbproe时,被插桩函数超多参数获取的解...
首届中国eBPF大会分享 | 基于eBPF的内核漏洞检测实践
随着智能化、数字化、云化的飞速发展,全球基于Linux系统的设备数以百亿计,而这些设备的安全保障主要取决于主线内核的安全性和健壮性。 传统的内核安全存在周期长、效率低以及版本适配的问题,有没...
原创Paper | 在 Android 中开发 eBPF 程序学习总结(一)
作者:Hcamael@知道创宇404实验室日期:2022年11月4日最近在研究eBPF,做一下学习笔记。起因其实是想学习一下ecapture是怎么实现的,但是实际在我xiaomi 10手机上测试的过程...
Linux | eBPF技术的Rootkit攻防 (二)
2. BPF在攻防中的应用回顾 BPF 在攻防中的应用BPF 很有趣,因为 BPF 程序具有超越普通程序的能力。hook 系统调用和用户空间函数调用操作用户空间数据结构修改系统调用返回值调用 syst...
回顾haidragon二进制动静态分析工具大全
目录大纲eBPF系统视频教程# eBPF系统视频教程 ## 基础教程* 1.课程介绍* 2.eBPF介绍* 3.eBPF工作机制(组成)* 4.BCC工具集源码编译* 5.编译安装内核源码* 6.第一...
如何使用eBPF观测用户空间应用程序
译者注这一年来,很多刚接触eBPF的朋友会问我,eCapture[1]的原理是什么,为什么区分OpenSSL、Gnutls、Nspr等类库实现?为什么要设定OpenSSL类库地址?为什么C、JAVA、...
15