나는 팔로우하고 있다숨은 참조 튜토리얼그리고 다음 명령을 실행해 보십시오 trace-bpfcc:sudo trace-bpfcc 'sys_execve "%s", arg1'
다음 오류로 인해 명령이 실패합니다.
cannot attach kprobe, probe entry may not exist Failed to attach BPF program b'probe_sys_execve_1' to kprobe b'sys_execve'
__x64_sys_execve온라인 검색에서 에 기호가 누락된 경우 이 오류가 발생하는 것을 발견했는데 /proc/kallsyms거기에 기호가 있습니다.
커널 개발 경험이 전혀 없는데, 이 문제를 해결하려면 어떻게 해야 합니까?
내 배포판은 Ubuntu 20입니다.
답변1
올바른 기호를 직접 찾았습니다.__x64_sys_execve, 명령을 실행할 때 동일한 내용을 사용하려고 합니다.
$ sudo trace-bpfcc '__x64_sys_execve "%s", arg1'
커널에는 단순히 호출되는 함수가 없습니다 __sys_execve. 관련 함수를 찾으려면 BCC의 정확한 기호를 일치시켜야 합니다.