Linux内核的eBPF(Extended Berkeley Packet Filter)技术,是一种轻量级的内核级别编程模型,原本用于高效的包过滤,近年来已经扩展为一种强大的工具,支持系统调用、网络...
聊一聊基于ebpf xdp的rootkit
背景在 全流量入侵检测系统的性能分析 中提到"包解析需要高性能"这个需求场景,和 pf_ring、dpdk 类似,xdp也是一种经常被讨论的高性能包处理技术。在 lkm和ebpf rootkit分析的...
EBPF恶意利用及防御
本篇记录一下利用EBPF技术实现HIDS系统agent端部分功能的研究,及部分例子的实验情况。0x01 研究细节此处就不再对BPF技术及其使用做详细介绍了。这里粗略提一下使用EBPF技术做恶意利用时候...
Linux中基于eBPF的恶意利用与检测机制
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在...