我想从 eBPF 程序中的任务结构中检索 sessionid。我的 eBPF 程序中有以下代码:
struct task_struct *task;
u32 sessionid;
task = (struct task_struct *)bpf_get_current_task();
sessionid = task->sessionid;
这会运行,但 sessionid 总是以 -1 结束。我读到这个答案,我可以用task_session它来检索它,但我收到一个关于无效内存访问的错误。我相信我需要使用bpf_probe_read将指向的指针移到堆栈上,但我无法让它工作。有什么我想念的吗?task_structtask
在对结构进行更多挖掘之后,task_struct我意识到您可以这样做:
struct task_struct *task;
struct pid_link pid_link;
struct pid pid;
unsigned int sessionid;
task = (struct task_struct *)bpf_get_current_task();
bpf_probe_read(&pid_link, sizeof(pid_link), (void *)&task->group_leader->pids[PIDTYPE_SID]);
bpf_probe_read(&pid, sizeof(pid), (void *)pid_link.pid);
sessionid = pid.numbers[0].nr;