eBPF

硬核观察 #558 JavaScript 调查表明：多数人使用 React 但不满意

更多：• 声称恢复 GPU 挖矿性能的工具实际上是恶意软件 • 红帽扩展 eBPF 用于输入设备的 HID 子系统

硬核观察 #422 微软演示在无 TPM、VBS 保护的计算机上如何黑进 Windows

更多：• 苹果公司认为对 Epic 的胜利还不够 • 沃尔玛把内核功能也“摆上了货架”

硬核观察 #362 亚马逊将监控客服人员键盘输入和鼠标点击以提升安全性

更多：• 黑客退还 6 亿美元加密货币，声称是出于好玩 • Linux 基金会旗下成立了 eBPF 基金会

硬核观察 | 阿里云正式发布它的首个 CentOS 兼容发行版 Anolis OS 8.2

更多：• 微软将 Linux 工具 eBPF 引入 Windows 10 • 微软将威胁和漏洞管理能力引入 Linux

怎么去转换任何系统调用为一个事件：对 eBPF 内核探针的介绍

在最新的 Linux 内核（>=4.4）中使用 eBPF，你可以将任何内核函数调用转换为一个带有任意数据的用户空间事件。这通过 bcc 来做很容易。这个探针是用 C 语言写的，而数据是由 Python 来处理的。

关于 BPF 和 eBPF 的笔记

在 BPF 出现之前，如果你想去做包过滤，你必须拷贝所有的包到用户空间，然后才能去过滤它们

深入理解 BPF：一个阅读清单

我收集了非常多的关于 BPF 的阅读材料：介绍、文档，也有教程或者示例。这里有很多的材料可以去阅读