3.2 Android eBPF程序类型

最新推荐文章于 2024-10-28 17:13:48 发布
最新推荐文章于 2024-10-28 17:13:48 发布
阅读量581 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Android eBPF Book 文章标签: android php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangyabin001/article/details/132954293
本文介绍了Android中eBPF程序的类型及其在内核事件监控中的作用。重点讲解了内核支持的eBPF程序类型,包括kprobe、tracepoint和perf_event。kprobe允许动态跟踪内核行为,tracepoint是预定义的静态探测点,perf_event则为用户态提供性能数据接口。同时,文章探讨了Android对这些程序类型的实现和使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写在前面

为什么要先了解eBPF程序类型?

从帮助函数中,我们可能基于内核的eBPF开放API,对eBPF的能力有一个比较细致的认识,但是这并不能让我们从全局,或者更概括的认识eBPF。eBPF程序类型能够更宏观的告诉我们,eBPF能做哪些事情(除网络相关)。

一,eBPF程序类型

内核中不同事件会触发不同类型的eBPF程序,那么eBPF程序类型决定了它可以监控哪些内核事件类型。

1.1 内核支持的ebpf程序类型

/bionic/libc/kernel/uapi/linux/bpf.h

enum bpf_prog_type {
  BPF_PROG_TYPE_UNSPEC,//未定义或无效的程序类型
  BPF_PROG_TYPE_SOCKET_FILTER,//该类型的eBPF程序可用于输入输出网络包的过滤
  BPF_PROG_TYPE_KPROBE,//该类型的eBPF程序可以通过kprobe机制,动态注入到内核函数当中。eBPF程序类型中没有设置uprobe是因为uprobes和kprobes原理相同,kprobe类型的eBPF程序也可以使用uprobes。
  BPF_PROG_TYPE_SCHED_CLS,//用于网络流量控制分类器。
  BPF_PROG_TYPE_SCHED_ACT,//用于网络流量控制执行器。
  BPF_PROG_TYPE_TRACEPOINT,//用作决定某个tracepoint是否应该触发。内核采用插桩的方法抓取log。插桩就是tracepoint。他是Linux内核预先定义的静态探测点。它分布于内核的哥哥子系统当中。每个tracepoint都有一个name,一个
了解本专栏 订阅专栏 解锁全文
1.4 Android下使能eBPF
从0到1,突破自己
05-31 1211
由于eBPF可运行用户提供的eBPF程序来扩展内核,这些程序可以附加到内核中的探测点或事件,用于收集有用的内核统计信息,监控和调试。eBPF使用bpf(2)系统调用加载到内核中,并作为eBPF机器指令的二进制块由用户来提供。Android构建系统支持使用本文所述的build文件语法将C程序编译为eBPF程序。并且Android包含了一个eBPF加载器和库,这样Android可以在启动初始化阶段加载eBPF程序
3.7 Android eBpf Hello World调试(一)
从0到1,突破自己
10-14 563
tracepoint是Linux内核中预定义的静态探测点,分布于内核各个子系统中。每个tracepoint通常包含开关-enable,过滤器-filter等。
android平台eBPF初探
内核工匠
01-08 4662
一、eBPF是什么eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的...
eBPF介绍
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
(gopher)一无所知学ebpf
onepunchgo的博客
02-05 1835
我相信仍然有很多人不知道ebpf为何物,也不知道从何学起。但他似乎正在成为云原生开发性能优化的技术手段的事实标准
eBPF技术介绍
m0_71540099的博客
01-19 1212
总结起来,bpf_attach_type结构体用于定义eBPF程序的附加类型,而bpf_prog_type枚举用于定义eBPF程序类型。BPF_CGROUP_INET_SOCK_CREATE:将eBPF程序附加到指定的网络控制组,当创建新的套接字时执行程序。BPF_PROG_TYPE_SOCKET_FILTER:用于过滤套接字数据包的eBPF程序。BPF_PROG_TYPE_CGROUP_SOCK:用于控制组的eBPF程序。BPF_PROG_TYPE_CGROUP_SKB:用于控制组的eBPF程序
3.11 Android eBPF Hello World调试(五)
从0到1,突破自己
01-03 892
HelloWorld程序的目标是跟踪当前core最近得到调度的任务ID;有同学遇到这样一个情况?明明cpu的核心只有8个核,但从map中却遍历了1024条数据。为什么会出现从eBPF map中读取的数据都是1024个条目的情况呢?那是因为不同的eBPF map类型有着不同的香味。例如,BPF_MAP_TYPE_ARRAY类型的map总是有一个固定的大小,并且索引是从0开始的连续整数。如果你创建了一个大小为1024的ARRAY map,那么读取时总会返回1024个结果,无论这些条目是否真的有数据被写入。
3.3 Android bpfloader初始化流程解读(一)
从0到1,突破自己
09-23 945
这里梳理下android上bpfloader的初始化过程
Android perfetto 简介
求变,从思想开始
09-06 2881
android linux 性能优化 原理及操作
2024最新版Android逆向教程——第4天:真机环境的配置
棒棒编程修炼场
11-08 1万+
工欲善其事必先利其器,本文详细讲解如何进行真机环境的配置
Android eBPF
greatwgb的博客
08-13 348
BPF与eBPF理解Android eBPFUbuntu下bpf纯c程序的编写与运行Linux 内核观测技术BPF深入理解 BPF:一个阅读清单
常见的 eBPF 程序类型和 ctx 类型对应表
最新发布
CeerDecy的博客
10-28 1067
开发ebpf程序的时候如何确定ctx上下文的类型呢?:在kprobe和kretprobe程序中,ctx是类型,表示寄存器上下文。可以通过ctx访问被监控函数的参数或返回值。:根据具体的 tracepoint 事件,ctx类型会是与事件定义相对应的struct。:每个 tracepoint 都有一个特定的上下文结构,通常可以在中找到。例如,的ctx类型是。示例:在 XDP 程序中,ctx是类型,用于访问网络数据包的元数据和数据指针。:在 socket filter 程序中,ctx是。
uprobe使用简介
weixin_42136255的博客
03-21 1803
uprobe使用简介
编写 Android Pixel 6 设备上的 eBPF 程序以隐藏进程和替换 MAC 地址
ByteWhiz的博客
08-30 359
在本文中,我们将讨论如何在 Android Pixel 6 设备上编写 eBPF 程序,以隐藏进程并替换 MAC 地址。通过编写类似上述示例的 eBPF 程序,我们可以实现在 Android Pixel 6 设备上隐藏指定进程并替换 MAC 地址的功能。确保设备具备 eBPF 支持Android Pixel 6 设备默认情况下支持 eBPF,但我们需要确保设备的内核版本和配置支持 eBPF 功能。此外,我们还需要安装编译 eBPF 程序所需的其他工具,如 clang 和 llvm。的 eBPF 函数。
eBPF 介绍
SHELLCODE_8BIT的博客
12-31 2784
eBPF 介绍 Tcpdump 是Linux 平台常用的网络数据包抓取及分析工具,tcpdump 主要通过libpcap 实现,而libpcap 就是基于eBPF。 先介绍BPF(Berkeley Packet Filter),BPF 是基于寄存器虚拟机实现的,支持 JIT(Just-In-Time),比基于栈实现的性能高很多。它能载入用户态代码并且在内核环境下运行,内核提供 BPF 相关的接口,用户可以将代码编译成字节码,通过 BPF 接口加载到 BPF 虚拟机中,当然用户代码跑在内核环境中是有风险的
eBPF 科普第一弹| 初识 eBPF,你应该知道的知识
DaoCloud_daoke的博客
01-18 1646
eBPF 作为一颗在基础软件领域冉冉上升的新星,可谓前途大好,越来越多的基于 eBPF 的应用如雨后春笋般蓬勃涌现,这是 eBPF 展现出的惊人力量。本文就将带着大家了解 eBPF
eBPF MAP类型详解
YZ状元的blog
01-15 3281
本文主要参考、翻译自参考文档,部分内容为个人翻译时加入的个人见解,仅供参考,如有错误,请不吝支出。 linux内核中定义了一下的eBPF map_type: enum bpf_map_type { BPF_MAP_TYPE_UNSPEC, /* Reserve 0 as invalid map type */ BPF_MAP_TYPE_HASH, BPF_MAP_TYPE_ARRAY, BPF_...
ebpf深入理解和应用介绍
热门推荐
网络安全研究
04-07 2万+
1. ebpf概述 1.1 ebpf发展历史 BPF,及伯克利包过滤器Berkeley Packet Filter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核崩溃或者安全问题 —— 并附着到一个套接字上,接着在每个接...
斐讯悟空M1同步时间的EasyLink 3.2 Android客户端介绍
5. Android应用打包文件APK:APK是Android Package的缩写,是Android系统中的应用程序包文件格式。该文件中包含了Android应用程序的所有相关数据,包括代码、资源、资产和证书签名。APK文件是Android应用在发布和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高桐@BILL

分享快乐,快乐分享...

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值