Home Explore Help
Sign In
cecf
/
eBPF-test
5
0
Fork 0
Files Issues 0 Pull Requests 0 Wiki
Tree: 3a1af73872
Branches Tags
eBPF-test
/
kprobe
/
kprobe.c

kprobe.c 529 B
History Raw

123456789101112131415161718192021222324252627 
  1. //go:build ignore
    2. 

  2. 

  3. #include "common.h"
    4. 

  4. 

  5. char __license[] SEC("license") = "Dual MIT/GPL";
    6. 

  6. 

  7. struct bpf_map_def SEC("maps") kprobe_map = {
    8. 

  8. 	.type        = BPF_MAP_TYPE_ARRAY,
    9. 

  9. 	.key_size    = sizeof(u32),
    10. 

  10. 	.value_size  = sizeof(u64),
    11. 

  11. 	.max_entries = 1,
    12. 

  12. };
    13. 

  13. 

  14. SEC("kprobe/sys_execve")
    15. 

  15. int kprobe_execve() {
    16. 

  16. 	u32 key     = 0;
    17. 

  17. 	u64 initval = 1, *valp;
    18. 

  18. 

  19. 	valp = bpf_map_lookup_elem(&kprobe_map, &key);
    20. 

  20. 	if (!valp) {
    21. 

  21. 		bpf_map_update_elem(&kprobe_map, &key, &initval, BPF_ANY);
    22. 

  22. 		return 0;
    23. 

  23. 	}
    24. 

  24. 	__sync_fetch_and_add(valp, 1);
    25. 

  25. 

  26. 	return 0;
    27. 

  27. }
    28.