鉴定为反调
ebpf给我们带来的主要麻烦就是难以调试,以及需要dump且缺乏反编译器
反编译手动dump出的ELF的话可以用Ghidra插件:https://github.com/Nalen98/eBPF-for-Ghidra
(存在一定问题,部分bpf helper无法识别,部分地址错误)
对于ubuntu:apt安装 linux-tools-common 和 linux-tools-generic
非常好用(
可以 prog list 列出内核中加载的ebpf, prog dump xlated id xxx dump出带注释的汇编
可以 map xxx 列出所有map
除了没法单步调试,其他都挺好