私はフォローしています隠れたリファレンスチュートリアルそして、次のコマンドを実行してみてくださいtrace-bpfcc。sudo trace-bpfcc 'sys_execve "%s", arg1'
次のエラーが原因でコマンドが失敗します。
cannot attach kprobe, probe entry may not exist Failed to attach BPF program b'probe_sys_execve_1' to kprobe b'sys_execve'
__x64_sys_execveオンライン検索で に記号がない場合、このエラーが発生することがわかりましたが、そこ/proc/kallsymsに記号があります。
カーネル開発の経験はまったくありませんが、この問題を解決するにはどうすればよいですか?
私のディストリビューションはUbuntu 20です。
ベストアンサー1
正しいシンボルを直接見つけました。__x64_sys_execve、コマンドを実行するときに同じ内容を使用しようとしています。
$ sudo trace-bpfcc '__x64_sys_execve "%s", arg1'
カーネルには単に呼び出される関数はありません__sys_execve。関連関数を見つけるには、BCCの正確な記号を一致させる必要があります。