This repository has been archived by the owner on Oct 24, 2023. It is now read-only.

希望可以添加的功能 #2

Open

xiaotujinbnb opened this issue Dec 15, 2022 · 1 comment

xiaotujinbnb commented Dec 15, 2022

希望添加过滤，可以过滤掉一些系统库。

Owner

SeeFlowerX commented Dec 16, 2022 •

edited

Loading

虽然这看起来是一个很简单的事情，但是在eBPF的限制下实现起来并不容易

主要是涉及到用户态与内核态（eBPF）之前的交互，请查阅eBPF基本认识小节

后续会考虑在系统库已经加载完成之后的时机提供过滤支持。

个人认为使用seccomp-bpf实现syscall的追踪与详细记录是更好的选择

https://nullptr.icu/index.php/archives/62/

另外strace实际上有seccomp-bpf模式的支持，完全可以移植到安卓上用，配合zygisk使用

Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.