一、为什么需要BPF安全监控
在安全取证和入侵检测场景中,实时捕获进程创建、文件访问、命令执行等活动至关重要。传统审计工具(如auditd)开销较大且不够灵活,而BPF(Berkeley Packet Filter)技术通过安全的用户态程序在内核中执行,能够以极低的开销捕获系统调用和内核函数,非常适合用于安全监控与实时取证。
本章将介绍7个核心BPF工具,覆盖从进程执行到文件打开的多个层面,帮助读者构建一套轻量级的安全监测体系。
二、execsnoop:捕获新进程执行
execsnoop 是BCC和bpftrace都提供的经典工具,通过跟踪execve(2)系统调用来记录系统中所有新进程的创建。其典型输出如下:
# execsnoop
PCOMM PID PPID RET ARGS
ls 7777 21086 0 /bin/ls -F
a.out 7778 21086 0 /tmp/a.out
[...]
安全价值:可以快速发现从/tmp、/dev/shm等异常路径执行的程序,以及由root身份启动的可疑二进制。注意,execsnoop只能捕获通过execve执行的进程,对于缓冲区溢出等直接修改代码段的方式无效,因此需要与其他工具配合。
实践建议</
订阅专栏 解锁全文

334

被折叠的 条评论
为什么被折叠?



