[三] 基于eBPF开发一个简单的bash命令监控程序

Security Classification: 【C-1】 | Publish Time:2024-07-31 | Category:Coding | Edit
Old Version | Diff |

AI摘要:本文介绍了如何使用eBPF监控bash命令，通过监控bash内部函数readline的返回值来实现。首先定义了一个结构体用于存储程序pid和命令行，并创建了一个perf事件数组用于内核态保存数据。接着编写了eBPF程序，使用bpf_perf_event_output函数将数据发送到用户空间。随后，使用cilium/ebpf框架加载eBPF程序，创建Uretprobe绑定到readline函数，获取perf事件读取器以读取样本数据。最后，通过读取perf事件并解析打印出相关信息，展示了监控bash命令的效果。 --- (来自模型:gpt-4o-mini-2024-07-18)

## 基本信息

需求：监控bash命令监控程序

解析bash:

![](https://img.meituan.net/imgupload/7bbb72976906216e58e07d977722ea5d17132.png)

bash 有一个内部函数readline。bash 通过它读取每个行 shell 命令。只要监控这个函数的返回值，就可以监控系统中的所有 bash 发起的命令。

## 开发过程

该函数位于用户空间,所以我们要编写一个uretprobe类型的ebpf程序。并且根据函数调用约定，获取返回值寄存器的值。

首先定义一个结构体，用于存储程序pid与命令行

```
struct event {
	u32 pid;
	u8 line[80];
};
```

定义一个maps,用于内核态保存数据,并通过用户空间获取数据

```
struct {
	__uint(type, BPF_MAP_TYPE_PERF_EVENT_ARRAY);
} events SEC(".maps");
```

根据逻辑进行编写。PT_REGS_RC 是一个宏，它根据当前的架构获取寄存器状态中的返回值寄存器的值。

在 eBPF 程序中，bpf_perf_event_output 是一个关键的辅助函数，它允许 eBPF 程序将数据发送到用户空间的 perf 事件。

&events：指向 perf 事件数组的指针。这个数组是在 eBPF 程序加载时分配的，用于存储 perf 事件的输出。
&event：指向要发送的数据的指针。在这个例子中，它是指向 struct event 的指针。

``` go
SEC("uretprobe/readline")
int uretprobe_readline(struct pt_regs *ctx) {
	struct event event;
	event.pid = bpf_get_current_pid_tgid();
	bpf_probe_read(&event.line, sizeof(event.line), (void *)PT_REGS_RC(ctx));

bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &event, sizeof(event));

return 0;
}

```

编写好ebpf程序代码后，我们将通过cilium/ebpf框架编写代码用于：

1、加载ebpf程序
2、创建一个 Uretprobe，将其绑定到指定的用户态函数上。
3、获取perf event的reader,读取相应样本数据

```
	// 加载ebpf程序
	objs := bpfObjects{}
	if err := loadBpfObjects(&objs, nil); err != nil {
		log.Fatalf("loading objects: %s", err)
	}
	defer objs.Close()
	
	
....

// 打开链接文件,获取符号
	ex, err := link.OpenExecutable(binPath)
	if err != nil {
		log.Fatalf("opening executable: %s", err)
	}

//创建一个 Uretprobe，其绑定到符号 symbol，这里的 symbol 应该是一个函数名，比如 readline。objs.UretprobeBashReadline 可能是一个预先定义好的 BPF 程序，用于在 readline 函数返回时执行。
	up, err := ex.Uretprobe(symbol, objs.UretprobeBashReadline, nil)
	if err != nil {
		log.Fatalf("creating uretprobe: %s", err)
	}
	defer up.Close()
	
	
....

//在 eBPF 程序中，PERF_EVENT_ARRAY 是一个特殊的数组，它用于存储 perf 事件。当 eBPF 程序中的 perf 事件触发时，比如一个内核函数被调用或者用户空间函数返回，内核会将相关的数据写入到这个数组中。用户空间的程序可以通过打开一个 perf 事件读取器来读取这个数组中的数据，从而获取事件的详细信息。
	rd, err := perf.NewReader(objs.Events, os.Getpagesize())
	if err != nil {
		log.Fatalf("creating perf event reader: %s", err)
	}
	defer rd.Close()
	
....

//定义bpfEvent
	var event bpfEvent
	for {
		record, err := rd.Read()
		if err != nil {
			if errors.Is(err, perf.ErrClosed) {
				return
			}
			log.Printf("reading from perf event reader: %s", err)
			continue
		}

if record.LostSamples != 0 {
			log.Printf("perf event ring buffer full, dropped %d samples", record.LostSamples)
			continue
		}

// 解析perf事件原始样本为bpfevent结构体
		if err := binary.Read(bytes.NewBuffer(record.RawSample), binary.LittleEndian, &event); err != nil {
			log.Printf("parsing perf event: %s", err)
			continue
		}

//打印相关信息
		log.Printf("%s:%s return value: %s", binPath, symbol, unix.ByteSliceToString(event.Line[:]))
	}
```

## 效果

![](https://img.meituan.net/imgupload/ede4fc4c717e1435ff33325133fb3fa6118950.png)

Web3 Info

The ownership of the data in this article is secured by blockchain encryption technology and smart contracts, and is solely owned by the creator.

Comment List

Comment

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint

[三] 基于eBPF开发一个简单的bash命令监控程序

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint