1

我正在尝试构建一个工具,其中我将 BPF 程序附加到所有系统调用的入口点。在 CLI 中,我能够通过附加到所有系统调用条目

sudo bpftrace -e 'tracepoint:syscalls:sys_enter_* /comm != "bpftrace"/ {printf("Process Name: %s\nSyscall Requested: %s\n", comm, probe);}'

这很棒,但我想做更复杂的事情。我发现我可以使用 python 的前端将 BPF 程序附加到 kprobe 事件中——

#!/usr/bin/python

from bcc import BPF

prog = """
int hello(void *ctx){
    bpf_trace_printk("Hello, world!\\n");
    return 0;
}
"""

b = BPF(text=prog)
b.attach_kprobe(event="__x64_sys_clone", fn_name="hello)

print("TIME(s)", "COMM", "PID", "MESSAGE")

while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    except KeyboardInterrupt:
        exit()
    printb(b"%-18.9f %-16s %-6d %s" %(ts, task, pid, msg))

但是,在 attach_kprobe 行中,我想附加到所有系统调用条目而不是 sys_clone。但是,我没有找到任何 sys_enter 跟踪点,/sys/kernel/debug/tracing/available_filter_functions但我在/proc/kallsyms. 但是,当我尝试用 __tracepoint_sys_enter 替换 __x64_sys_clone 时,我得到一个无效的参数错误。我想知道,我可以使用 kprobes 附加到所有系统调用条目(并最终退出)吗?还是我需要使用不同的跟踪机制。谢谢!

4

2 回答 2

2

我认为没有办法通过 BPF 使用单个 kprobe 附加点跟踪所有系统调用。相反,您可以做的是从给定的模式(即sys_enter_*)中导出所有匹配的 krprobe 钩子的列表。

在密件抄送中,有一个函数BPF.get_kprobe_functions()可以让你做到这一点。您可以在密件抄送中看到一个示例用法funccount.py。我猜 bpftrace 在给它一个模式时会做一些非常相似的事情。

于 2020-04-02T09:07:45.693 回答
2

似乎没有捕获所有系统调用入口点的 kprobes 事件——相反,每个系统调用入口似乎都有一个 kprobe 事件。虽然我们可以通过应用到每个 kprobe 系统调用条目事件(具体来说,通过使用 pchaigno 概述的方法)来编写所需的逻辑,但我们可以通过附加到单个 TRACEPOINT 事件来执行相同的操作 -

from bcc import BPF
b = BPF(text = """
TRACEPOINT_PROBE(raw syscalls, sys_enter)
{
    bpf_trace_printk("Hello world\\n");
}
""")

while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s" % (ts, task, pid, msg))

同样,我们可以附加到所有系统调用出口点

于 2020-04-02T21:14:25.703 回答