摘要:
之前通过修改内核插桩并编写内核模块的方式hookdo_sys_open函数(这种方式有点像tracepoint,都属于静态探测),这种方式优点是可以hook内核中的任意函数,但是需要编译内核和驱动模块较为麻烦。 eBPF相当于在内核中定义了一个虚拟机,能够加载eBPF字节码并依赖kprobe,upr 阅读全文
摘要:
拉取源码 当前pixel6是android13,所以选择了common-android13-5.10分支 接着就需要拉取对应分支的内核代码 mkdir ~/bin PATH=~/bin:$PATH curl https://storage.googleapis.com/git-repo-downlo 阅读全文