我正在关注密件抄送教程并尝试执行trace-bpfcc命令:sudo trace-bpfcc 'sys_execve "%s", arg1'
该命令失败并出现错误:
cannot attach kprobe, probe entry may not exist Failed to attach BPF program b'probe_sys_execve_1' to kprobe b'sys_execve'
在网上搜索时,我发现如果__x64_sys_execve中缺少符号就会出现这样的错误/proc/kallsyms,但我那里有一个。
我根本没有任何内核开发经验,我需要做什么来解决这个问题?
我的发行版是 Ubuntu 20
答案1
您自己找到了正确的符号:__x64_sys_execve,您想在运行命令时使用相同的内容:
$ sudo trace-bpfcc '__x64_sys_execve "%s", arg1'
您的内核中没有简单调用的函数__sys_execve,您必须匹配 BCC 的确切符号才能找到相关函数。