8.eCapture旁观者-CFC4N-首届中国eBPF研讨会.pdf

《8.eCapture旁观者-CFC4N-首届中国eBPF研讨会.pdf》由会员分享，可在线阅读，更多相关《8.eCapture旁观者-CFC4N-首届中国eBPF研讨会.pdf（34页珍藏版）》请在三个皮匠报告上搜索。

1、首届中国eBPF研讨会eCapture 旁观者CA证书HTTPS抓包陈驰(CFC4N)首届中国eBPF研讨会录01我介绍02项介绍03运演示04实现原理05未来展望首届中国eBPF研讨会我介绍陈驰（CFC4N），美团-信息安全部从业经验：1.IDC/IT领域终端安全产品：HIDS/HIPS/EDR/WAF/RASP/2.游戏研发：MMORPC/MOBA/SLG3.个博客：https:/01首届中国eBPF研讨会项介绍eCapture 旁观者1.项官：https:/ecapture.cc2.CA证书HTTPS/TLS数据抓包3.eBPF技术驱动，持Linux/Android（x86_64/Aar

2、ch64）4.Golang/C 语研发02首届中国eBPF研讨会起源 BPF/eBPF的恶意利 eBPF在防御检测的利 疫情带来的碎化时间 规模化部署的预研 准确的业务痛点首届中国eBPF研讨会特点 零依赖 单件 双系统 三模块 四类库 五千星首届中国eBPF研讨会运依赖开启BPF开启BTF（可选）首届中国eBPF研讨会持系统Kernel 4.15 以上 X86_64 :Kernel 5.4 以上 Aarch64:首届中国eBPF研讨会持类库本模式(uprobe)GnuTLS NSS/NSPR OpenSSL 1.0.2（a-u 21个版本）OpenSSL 1.1.0（a-l 12个版本）Op

3、enSSL 1.1.1（19个版本）OpenSSL 3.0（8个版本）BoringSSL 1.1.1 定义的静态编译ELFPcap-NG模式(TC+uprobe)OpenSSL 1.0.2（12个版本）OpenSSL 1.1.0（21个版本）OpenSSL 1.1.1（19个版本）OpenSSL 3.0（8个版本）BoringSSL 1.1.1首届中国eBPF研讨会运结果展示首届中国eBPF研讨会运演示百闻不如03首届中国eBPF研讨会Linux X86_64 系统演示环境：Ubuntu 21.04,kernel 5.11,CO-RE首届中国eBPF研讨会Android Aarch64 系统演

4、示环境：Pixel 6,kernel 5.10,non CO-RE首届中国eBPF研讨会实现原理原理与机制类库、框架、架构04首届中国eBPF研讨会运原理 ELF 函数符号表定位 Offset 定位 Uprobe挂钩函数 Constant修改 BPF map传递数据 Traffic Control捕获流量 Uprobe 捕获SSL 密钥 PcapNG DSB密钥存储 WireShark DSB解析展示首届中国eBPF研讨会本模式/eBPF Uprobe函数原型内核空间首届中国eBPF研讨会被HOOK内存地址布局首届中国eBPF研讨会userspace 内存读取按版本区分内存布局偏移地址定制化读

5、取逻辑定制化首届中国eBPF研讨会流量包模式/eBPF TC原络流性能双向流量Traffic Control首届中国eBPF研讨会PcapNG Decryption Secrets BlockTLS密钥络流量eCapturepcapng数据包eBPF uprobeeBPF TCPcanNG DSB首届中国eBPF研讨会系统架构 CLI处理类库 模块业务逻辑 eBPF字节码打包 eBPF程序管理 eBPF 系统调 eBPF系统调 eBPF验证器 eBPF虚拟机首届中国eBPF研讨会Cli处理模块业务逻辑首届中国eBPF研讨会类库选型eBPF syscallcilium/ebpfebpf Mana

6、ger内核系统调编程语封装可配置化封装首届中国eBPF研讨会eBPF Manager内核空间常量管理内核空间用户空间首届中国eBPF研讨会eBPF Manager插桩挂钩内核空间用户空间首届中国eBPF研讨会eBPF ManagereBPF Map统管控内核空间用户空间首届中国eBPF研讨会eBPF字节码打包首届中国eBPF研讨会eBPF字节码打包首届中国eBPF研讨会展望未来05首届中国eBPF研讨会功能软件功能 信息：进程信息关联 类库：GnuTLS、NSS类库密钥捕获