Search: #eBPF

黑洞资源笔记

1. 03:00 · Oct 7, 2022 · Fri

   

   ×

   

   BPF是一个运行从用户空间传递的程序的内核虚拟机。目前Linux中的BPF基础架构已经完全重新设计，升级为eBPF（扩展的 BPF），并有了很多新特性，如安全和终止检查、程序的JIT编译、持久映射、标准库、硬件卸载 支持等，现在用于许多任务。在非常低的级别（XDP）处理数据包、跟踪和监视系统上的事件、对cgroup实施访问控制，这些只是eBPF带来性能、可编程性和灵活性的几个例子。
   
   像github所有awesome系列一下，awesome eBPF这个repo整理了很多关于eBPF的资源。
   
   repo | #虚拟机 #eBPF

2. 19:34 · Jul 7, 2022 · Thu

   

   ×

   

   TripleCross 是一个Linux eBPF rootkit，它展示了 eBPF 技术的攻击性能力。
   
   这是一个学生的学士论文，项目里有比较完整的设计文档、技术原理、任务管理甘特图等。。 产品功能设计的比较复杂，功能比较完善，对eBPF感兴趣的同学可以学习一下。
   
   特征：
   一个库注入模块，通过在进程的虚拟内存中写入来执行恶意代码。
   一个执行劫持模块，它修改传递给内核的数据以执行恶意程序。
   一个本地权限提升模块，允许以 root 权限运行恶意程序。
   具有 C2功能的后门，可以监控网络并执行从远程 rootkit 客户端发送的命令。它包含多个激活触发器，因此这些动作可以秘密传输。
   一个rootkit 客户端，允许攻击者建立 3 种不同类型的类似 shell 的连接，以发送远程控制 rootkit 状态的命令和操作。
   一个持久性模块，可确保 rootkit 保持安装状态，即使在重新启动事件之后也能保持完全权限。
   一个隐藏模块，对用户隐藏与 rootkit 相关的文件和目录。
   
   Github | #eBPF

3. 08:14 · May 7, 2022 · Sat

   #电子书 《 What is eBPF》
   
   在过去的几年里，扩展的伯克利包过滤器 (#eBPF) 已经从相对默默无闻变成了现代基础设施计算中最热门的技术领域之一。 在这份报告中，Liz Rice 深入探讨了 eBPF，并解释了该框架如何为现代计算环境启用网络、安全和可观察性工具。 SRE、运维工程师和工程团队负责人将了解 eBPF 是什么以及它为何如此强大

   liz-rice-what-is-ebpf.pdf

   9.4 MB

4. 01:46 · Apr 24, 2022 · Sun

   

   ×

   

   Linux eBPF资料集锦 #eBPF

5. 12:37 · Apr 21, 2022 · Thu

   eBPF入门与实践指南
   
   #eBPF 源于 BPF，本质上是处于内核中的一个高效与灵活的虚类虚拟机组件，以一种安全的方式在许多内核 hook 点执行字节码。
   
   BPF 最初的目的是用于高效网络报文过滤，经过重新设计，eBPF 不再局限于网络协议栈，已经成为内核顶级的子系统，演进为一个通用执行引擎。 #指南