Kprobes on 办公AI智能小助手 https://blog.qife122.com/tags/kprobes/ Recent content in Kprobes on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Sep 2025 03:22:56 +0800 Linux系统调用监控:深入内核探索与Kprobes技术实践 https://blog.qife122.com/p/linux%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%9B%91%E6%8E%A7%E6%B7%B1%E5%85%A5%E5%86%85%E6%A0%B8%E6%8E%A2%E7%B4%A2%E4%B8%8Ekprobes%E6%8A%80%E6%9C%AF%E5%AE%9E%E8%B7%B5/ Sat, 13 Sep 2025 03:22:56 +0800 https://blog.qife122.com/p/linux%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%9B%91%E6%8E%A7%E6%B7%B1%E5%85%A5%E5%86%85%E6%A0%B8%E6%8E%A2%E7%B4%A2%E4%B8%8Ekprobes%E6%8A%80%E6%9C%AF%E5%AE%9E%E8%B7%B5/ <h1 id="linux系统调用监控">Linux系统调用监控</h1> <p>最近我深入研究了Linux,特别是探索Linux内核。我发现Michael Kerrisk的《Linux编程接口》(TLPI)等书籍是极好的参考手册,涵盖了系统调用(syscalls)的应用。要快速了解Linux系统调用,可以在终端中使用<code>man 2 intro</code>命令(或在线查看手册页)查看介绍性内容。在阅读TLPI时,我渴望更深入地探索系统调用本身的实现。为此,我最近阅读了大量内核源代码,并将代码片段串联起来,以更好地理解某些功能的作用。我的首要任务是找到一种检测给定系统调用何时被使用的方法,以及一种查看在执行之前传递给它的信息的方法。作为整个探索的延伸,我最终希望有一个可加载内核模块(LKM),可以监听给定的系统调用,并至少记录该调用被观察到。理想情况下,该模块还会打印有关调用参数的详细信息。最终我得到了一段代码,可以扩展以监控任意系统调用,以及一种研究Linux内核安全的机制。</p> Linux系统调用监控:深入内核与Kprobes技术探索 https://blog.qife122.com/p/linux%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%9B%91%E6%8E%A7%E6%B7%B1%E5%85%A5%E5%86%85%E6%A0%B8%E4%B8%8Ekprobes%E6%8A%80%E6%9C%AF%E6%8E%A2%E7%B4%A2/ Thu, 11 Sep 2025 18:33:04 +0800 https://blog.qife122.com/p/linux%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%9B%91%E6%8E%A7%E6%B7%B1%E5%85%A5%E5%86%85%E6%A0%B8%E4%B8%8Ekprobes%E6%8A%80%E6%9C%AF%E6%8E%A2%E7%B4%A2/ <h1 id="linux系统调用监控">Linux系统调用监控</h1> <p>最近我深入研究了Linux,特别是探索Linux内核。我发现Michael Kerrisk的《Linux编程接口》(TLPI)等资源是极好的参考手册,涵盖了系统调用(syscalls)的应用。要快速了解Linux系统调用,可以在终端中使用<code>man 2 intro</code>命令(或在线查看手册页)查看介绍性内容。在阅读TLPI时,我渴望更深入地探索系统调用本身的实现。为此,我最近阅读了大量内核源代码,并将代码片段串联起来,以更好地理解某些功能。我的首要目标是找到一种检测给定系统调用何时被使用的方法,以及一种查看在执行前传递给它的信息的方法。作为整体探索的延伸,我最终想要一个可加载内核模块(LKM),该模块可以监听给定的系统调用,并至少记录观察到的系统调用。理想情况下,该模块还会打印有关调用参数的详细信息。最终我得到了一段代码,可以扩展以监控任意系统调用,以及一种研究Linux内核安全的机制。</p> Linux系统调用监控:深入内核探索之旅 https://blog.qife122.com/p/linux%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%9B%91%E6%8E%A7%E6%B7%B1%E5%85%A5%E5%86%85%E6%A0%B8%E6%8E%A2%E7%B4%A2%E4%B9%8B%E6%97%85/ Wed, 10 Sep 2025 20:12:59 +0800 https://blog.qife122.com/p/linux%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%9B%91%E6%8E%A7%E6%B7%B1%E5%85%A5%E5%86%85%E6%A0%B8%E6%8E%A2%E7%B4%A2%E4%B9%8B%E6%97%85/ <h1 id="linux系统调用监控">Linux系统调用监控</h1> <p>最近我深入研究了Linux,特别是探索Linux内核。Michael Kerrisk所著的《Linux编程接口》(TLPI)是一本极佳的参考手册,涵盖了系统调用(syscalls)的应用。要快速了解Linux系统调用,可以在终端中使用<code>man 2 intro</code>命令(或在线查看手册页)查看介绍性内容。在阅读TLPI时,我渴望更深入地探索系统调用本身的实现。为此,我最近阅读了大量内核源代码,并将代码片段串联起来,以更好地理解某些功能。我的首要任务是找到一种检测给定系统调用何时被使用的方法,以及一种在执行前查看传递给它的信息的方法。作为整个探索的延伸,我最终希望有一个可加载内核模块(LKM),可以监听给定的系统调用,并至少记录该调用被观察到。理想情况下,该模块还会打印有关调用参数的详细信息。最终我得到了一段可以扩展以监控任意系统调用的代码,以及一种研究Linux内核安全的机制。</p>