問題タブ [bcc-bpf]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - ebpf pythonを使用して開いているシステムコールからファイルパスを出力するには?
私は python bcc モジュールの bpf を使用しており、プローブ関数が現在のファイルのファイル パスを出力するようにしたいと考えています (カスタムの簡略化された opensnoop のようなものです)。どうやってやるの?
これは私がこれまでに持っているものです:
system-calls - bpftrace および sys_read syscall
認証部分の postfix プロセスと saslauthd から渡される文字列を取得する単一の bpftrace スクリプトを作成しようとしています。目標は、私の会社の侵害アカウントを検出することです。strace コマンドを実行すると、いくつかの良い結果が得られます。
ログイン/パスワードを回復し、ブルートフォースが実行されているかどうかを検出できます。
しかし、私は bpftrace で同じ結果を得ようとしています:
この場合、一部の sys_read syscall 文字列を読み取ることができますが、すべてではありません。bpftrace が同じ結果にならない理由がわかりません。また、null 文字についても考えます。なぜstr(arg1,arg2)を使用して配列のサイズを強制するのかということです。トレースポイントも使用しようとしましたが、これは同じ結果です。
多分誰かが私のエラーがどこにあるかを理解するのを手伝ってくれるでしょうか? そのため、ご意見をお待ちしております