eBPF监测未知进程的创建

最新推荐文章于 2026-04-23 13:09:40 发布
原创 最新推荐文章于 2026-04-23 13:09:40 发布 · 910 阅读 · 9 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#安全 #系统安全 #网络安全
本文详细介绍了如何使用eBPF的kprobe功能,监控`do_fork`系统调用,检测未知进程创建,并在内核日志中打印相关信息。提供了编译和加载eBPF模块的步骤。

以下是一个简单的eBPF模块代码示例,用于检测未知进程的创建。在此示例中,我们使用eBPF的`kprobe`功能来监视`do_fork`系统调用,并检查新创建进程的PID和进程命令行。如果发现未知进程,则通过`trace_printk`函数将消息打印到内核日志中。

```c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <linux/icmp.h>
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/version.h>
#include <linux/kprobes.h>

#define MAX_CMD_LEN 256

BPF_HASH(pid_cmd, u32, char[MAX_CMD_LEN]);

int kprobe__do_fork(struct pt_regs *ctx)
{
    u32 pid = bpf_get_current_pid_tgid();
    struct task_struct *child = (struct task_struct *)PT_REGS_RC(ctx);
    char cmd[MAX_CMD_LEN];

    bpf_get_current_comm(&cmd, sizeof(cmd));

    // 存储新创建进程的PID和命令行
    pid_cmd.update(&pid, &cmd);

    return 0;
}

int kretprobe__do_fork(struct pt_regs *ctx)
{
    u32 pid = bpf_get_current_pid_tgid();

    // 如果PID不存在于pid_cmd哈希表中,则打印未知进程信息
    if (pid_cmd.lookup(&pid) == NULL) {
        char msg[MAX_CMD_LEN] = "Unknown process created: ";
        bpf_probe_read_user_str(&msg[sizeof("Unknown process created: ") - 1], sizeof(msg) - sizeof("Unknown process created: ") - 1, ((struct pt_regs *)ctx)->strret);
        trace_printk("%s", msg);
    }

    return 0;
}

char _license[] SEC("license") = "GPL";
```

要编译和加载此模块,需要在系统上安装运行eBPF的环境。此外,需要将代码保存为一个`.c`文件(例如`bpf_process_monitor.c`),然后使用以下命令进行构建:

```
clang -O2 -target bpf -c bpf_process_monitor.c -o bpf_process_monitor.o
```

构建成功后,可以使用以下命令将模块加载到内核中:

```
ip link set dev eth0 xdp obj bpf_process_monitor.o
```

请确保将`eth0`替换为您要监视的网络接口。

ebpf入门---监听所有新进程
azraelxuemo的博客
03-08 1249
eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
eBPF开发入门】案例(二)之监控系统调用
qq_40695381的博客
11-09 1169
0x01编辑代码 创建一个新文件syscall_counter.py,然后输入以下Python脚本。这个脚本使用BCC创建了一个eBPF程序,该程序会挂接(hook)到sys_clone系统调用,每次调用都会增加计数器。 from bcc import BPF # 定义eBPF程序 prog = """ #include <linux/sched.h> BPF_HASH(syscall_count, u32, u64); int count_sys_clone(struct pt_re
linux有端口找不到进程,linux查看端口和进程
weixin_39533896的博客
05-08 6097
查看进程ps -aux | grep appname杀死进程kill pid查看端口:netstat -ap | grep 端口号netstat -ap | grep 进程名字lsof -i:端口号例子:server这个程序会开启8888这个端口。root@ubuntu:/mnt/hgfs/code/SVN/net_code/dd# ./server &[1] 3779root@ubunt...
Linux 如何快速找到运行中的进程
sakura379的博客
06-26 1391
通俗的讲程序是一个包含可以执行代码的静态的文件。进程是一个开始执行但是还没有结束的程序的实例。这篇文章给大家介绍Linux 快速找到运行中的进程的方法,小编觉得很有价值,分享给大家 1 进程概述 通俗的讲程序是一个包含可以执行代码的静态的文件。进程是一个开始执行但是还没有结束的程序的实例。 当程序被系统调用到内存以后,系统会给程序分配一定的资源(内存,设备等等)然后进行一系列的复杂操作,使程序变成...
ebpf_bcc_tools之execsnoop(监控系统进程exec执行)
ljbcharles的专栏
04-09 966
ebpf实用案例之系统进程exec执行命令监控
eBPF与回归模型实现进程级能耗监测的技术解析
最新发布
weixin_30587927的博客
04-23 704
能耗监测是数据中心运维的核心环节,传统整机级监测无法满足精细化管理的需求。进程级能耗监测通过分析CPU、内存、IO等硬件资源的使用情况,建立与功耗的映射关系,为能效优化提供数据支撑。eBPF技术作为Linux内核的观测工具,能够以极低开销捕获系统调用、上下文切换等细粒度指标,结合回归模型实现硬件无关的能耗预测。这种方案特别适用于容器化环境、AI训练任务等场景,可精准识别能耗热点,指导资源调度优化。当前主流方案如Intel RAPL存在硬件绑定、测量粗糙等问题,而基于eBPF和机器学习的方法突破了这些限制,已
基于eBPF的procstat软件定位软件死锁
2401_84703565的博客
07-05 1385
procstat是一款基于eBPF的监控工具软件,运行在Linux平台,主要用于跟踪目标程序的运行状态,并报告异常指标,是分析程序性能问题的一大利器。同时,procstat也可用于检测和定位C/C++多线程程序中的死锁问题。
ebpf检测Linux系统要来了
子牙老师
01-14 573
摘要:子牙老师分享了基于eBPF技术开发的Linux系统检测工具新进展。在完成《手写生产级eBPF内存监测工具》课程后,他扩展了工具功能,成功实现了对fork子进程内存泄漏的监测。文章详细记录了开发过程中解决的9个关键技术难点,包括进程间日志处理、异步同步机制等,并展示了工具对单层和无限fork场景的监测效果。作者强调eBPF技术的强大应用前景,指出该技术可用于用户态和内核态的全面检测,并倡导技术人员应注重内功修炼,善用AI工具而非依赖。最后邀请对系统监测eBPF技术感兴趣的读者关注相关课程。
eBPF 入门开发实践指南三:在 eBPF 中使用 fentry 监测捕获 unlink 系统调用
云微的blog
01-23 1818
这段程序是一个 eBPF 程序,通过使用 fentry 和 fexit 捕获 do_unlinkat 和 do_unlinkat_exit 函数,并通过使用 bpf_get_current_pid_tgid 和 bpf_printk 函数获取调用 do_unlinkat 的进程 ID、文件名和返回值,并在内核日志中打印出来。
使用 eBPF 实现高性能网络监控
桂月二二博客
02-06 1460
eBPF(Extended Berkeley Packet Filter)是一种在 Linux 内核中运行的高效沙箱技术,允许开发者在不修改内核源码或加载内核模块的情况下,运行安全且高性能的程序。eBPF 最初用于网络数据包过滤,如传统的 Berkeley Packet Filter(BPF),但现在已扩展到监控、安全、跟踪和优化系统性能等多个领域。高效性:eBPF 代码在内核态执行,性能接近原生 C 代码。安全性:所有 eBPF 程序在执行前都会被验证,确保不会崩溃或影响系统稳定性。灵活性。
深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布
阿里云云栖号
03-14 1218
简介:当前,云原生技术以容器技术为基础,通过标准可扩展的调度、网络、存储、容器运行时接口来提供基础设施。 当 Kubernetes 成为云原生事实标准,可观测性挑战随之而来 当前,云原生技术以容器技术为基础,通过标准可扩展的调度、网络、存储、容器运行时接口来提供基础设施。同时,通过标准可扩展的声明式资源和控制器来提供运维能力,两层标准化推动了开发与运维关注点分离,各领域进一步提升规模化和专业化,达到成本、效率、稳定性的全面优化。 在这样的大技术背景下,越来越对的公司引入了云原生技术来开发、运维业务..
利用eBPF探测Rootkit漏洞
thinker
07-20 283
利用eBPF探测Rootkit漏洞
有人质疑我ebpf水平
子牙老师
01-09 911
子牙老师深入解析eBPF内存检测工具的底层原理:通过uprobe/uretprobe技术监控内存分配函数,采用类似调试器断点的插桩机制(int3软中断)实现函数追踪。文章详细剖析了eBPF与Linux内核的交互过程,包括中断处理优先级、内核通知链机制等核心技术点,并验证了新老内核版本在uprobe实现上的差异。作者强调掌握操作系统和Linux内核知识对深入理解底层技术的重要性,并分享了相关课程体系。全文通过代码示例和内核调试过程,生动展示了eBPF技术的实现细节。
什么是 eBPF
marico123的博客
02-28 574
在现代 Linux 系统中,eBPF(extended Berkeley Packet Filter)是一个非常强大的内核功能扩展,它为系统安全、性能监控、网络处理等多个领域带来了革命性的变革。简单来说,eBPF 是一种安全的、可编程的内核运行环境,允许开发者动态注入代码到内核中执行,从而实现高效的事件处理和复杂的逻辑控制。这篇文章将系统性地讲解 eBPF 的基本原理、结构组成及其实现机制,帮助你深入理解它为何成为 Linux 内核不可或缺的工具。
穿透容器 Namespace:eBPF 让 EDR 实现 Linux 精细化安全监测
2501_93715454的博客
02-11 415
传统的 Linux 安全 Agent 往往依赖于“内核模块(LKM)”来拦截系统调用(Syscalls),这极易导致内核崩溃(Kernel Panic),且在高并发业务下会产生显著的 CPU 抖动。这不仅是对传统安全防护的升级,更是对服务器治理能力的重塑——让安全不仅是防守,更是对系统运行状态的极致掌控。eBPF 的核心价值在于:它允许我们在不更改内核代码、不加载危险模块的情况下,在内核触发的特定事件(如进程启动、网络发包、文件读写)中运行自定义的安全逻辑。层,EDR 可以直接提取传输层的加密前原始信息。
基于eBPF技术的云原生可观测实践
HarmonyCloud_的博客
07-02 1927
我们知道操作系统分为用户空间和内核空间,内核是操作系统的核心,它独立于常规的应用程序,可以访问受保护的内存空间,也有访问底层硬件设备的所有权限。为了保证内核的安全,现在的操作系统一般都强制用户进程不能直接操作内核。而应用程序通常是在用户空间中运行,每当这些应用程序想要以任何方式与硬件交互时,都必须向内核发出请求来获得访问权限,同时,内核还负责调度各个应用程序,以确保多个进程同时运行。
操作系统大赛:基于 eBPF 的容器监控工具 Eunomia 初赛报告(目标描述、ebpf 调研)
云微的blog
07-07 938
本项目由两部分组成: 是一个使用 C/C++ 开发的基于eBPF的云原生监控工具,旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件,力求为工业界提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。目前,它包含 、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能。除了收集容器中的一般系统运行时内核指标,例如系统调用、网络连接、文件访问、进程执行等,我们在探索实现过程中还发现目前对于 和 相关用
引领安全前沿:基于eBPF与无监督学习的进程行为异常检测工具
gitblog_00091的博客
06-25 650
引领安全前沿:基于eBPF与无监督学习的进程行为异常检测工具 去发现同类优质开源项目:https://gitcode.com/ 在数字时代,系统安全犹如守护神,而深入理解并监控进程行为则是其核心之一。今天,我们向您推荐一个开源宝藏——利用eBPF系统调用跟踪和无监督学习Autoencoders进行进程行为异常检测的工具。这款工具以其创新性的技术栈和实际应用潜力,为系统管理员和安全研究人员提供了强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值