Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Writing an experimental eBPF disassembler

Avatar for Drumato Drumato
July 24, 2021
Programming
0
350

Writing an experimental eBPF disassembler

適当にLTネタになるかな,と思って作った話.
https://github.com/Drumato/ebpf-disasm

Avatar for Drumato

Drumato

July 24, 2021
Tweet

More Decks by Drumato

See All by Drumato
仕様と実装で学ぶOpenTelemetry
Avatar for Drumato drumato
2
2.7k
Activities about Kubernetes operation improvements as an SRE
Avatar for Drumato drumato
3
640
DEMO Apps recently implemented
Avatar for Drumato drumato
0
98
An incremental approach to implement an admission controller
Avatar for Drumato drumato
0
250
Components of Kubernetes Cluster
Avatar for Drumato drumato
0
330
cybozu-labs-youth-10th
Avatar for Drumato drumato
1
1.1k

Other Decks in Programming

See All in Programming
「ちょっと古いから」って避けてた技術書、今だからこそ読もう
Avatar for もっち mottyzzz
10
6.7k
Software Architecture
Avatar for Henning Schwentner hschwentner
6
2.3k
Django Ninja による API 開発効率化とリプレースの実践
Avatar for Kashun Yoshida kashewnuts
0
1.3k
スマホから Youtube Shortsを見られないようにする
Avatar for lemolatoon lemolatoon
27
31k
そのpreloadは必要?見過ごされたpreloadが技術的負債として爆発した日
Avatar for mugi mugitti9
2
3.3k
ポスターセッション: 「まっすぐ行って、右!」って言ってラズパイカーを動かしたい 〜生成AI × Raspberry Pi Pico × Gradioの試作メモ〜
Avatar for komo_fr komofr
0
1.3k
Go言語はstack overflowの夢を見るか?
Avatar for Takuto Nagami logica0419
0
260
Pull-Requestの内容を1クリックで動作確認可能にするワークフロー
Avatar for Atsuya Sato natmark
2
510
20251016_Rails News ~Rails 8.1の足音を聴く~
Avatar for Masato Mori morimorihoge
1
110
Introducing ReActionView: A new ActionView-Compatible ERB Engine @ Kaigi on Rails 2025, Tokyo, Japan
Avatar for Marco Roth marcoroth
3
1k
Swift Concurrency - 状態監視の罠
Avatar for Yuki Yasoshima objectiveaudio
2
520
開発生産性を上げるための生成AI活用術
Avatar for starfish719 starfish719
3
680

Featured

See All Featured
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
59
9.6k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.2k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.1k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.5k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
32
2.3k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k

Transcript

  1. eBPF disassemblerを作る Drumato

  2. Attention! • 完全準拠ではない • torvalds/linux/samples/bpfのkernel side sourceがそれっぽくなればOKまで をやった

  3. 背景

  4. なんとなくeBPFについての記事を読んでた

  5. "基本的に命令長は64bit固定" という記述を見る

  6. 素敵! disasm書きたい! (x64を想いつつ)

  7. 書く

  8. 身につける必要があった知識 • Object file上でeBPF functionがどのように表現されているか • Opcode encoding/immediateの形式を知る

  9. あとは頑張って書く

  10. これはassembler自作と大して変わらない

  11. ELF Header

  12. eBPF object file#ELF Header

  13. eBPF object file#ELF Header

  14. E_machine以外は普通のrelocに見える

  15. Section Header Table

  16. eBPF object file#SHT

  17. eBPF object file#SHT .textはあるけど 中身は空

  18. eBPF object file#SHT SEC("socket1")のように 書いたsymbolが sectionに

  19. eBPF object file#SHT eBPF mapsもsectionに Entry sizeは Programで決まっていて, Shdr.sh_entsizeを読んでも わからない

    Key + valueのどちらも可変なので entsizeは使えないか(linkとinfoは?)

  20. eBPF object file#SHT これは単に"GPL\0"という文字列が 入っているだけ

  21. Symbol table

  22. eBPF object file#symtab

  23. ぱっと見特に気になる点はなし

  24. eBPF object file#summary • なんとなく以下を満たすsectionをdisasすれば良さそう ◦ Shdr.sh_type == SHT_PROGBITS ◦

    Shdr.sh_flags & (SHF_ALLOC | SHF_EXECINSTR) != 0 ◦ Shdr.sh_size > 0

  25. eBPF instruction architecture

  26. eBPF instruction architecture#overview

  27. eBPF instruction architecture#overview OpcodeEncoding head byteをどう解釈するか

  28. eBPF instruction architecture#overview InstructionClass Opcodeをどう解釈するか Ex1. ic=0x04ならopcode=0x00はAdd ic=0x05ならopcode=0x00はJA

  29. eBPF instruction format ArithOrJump Memory

  30. eBPF instruction format ArithOrJump Memory ADD/SUB/MUL/DIV/MOD/LSH etc.. JA/JEQ/JGT/JSLT/ etc...

  31. eBPF instruction format ArithOrJump Memory Use src field as register

    If S bit is up

  32. eBPF instruction format ArithOrJump Memory ALU/ALU64/JMP/JMP64

  33. eBPF instruction format ArithOrJump Memory IMM/MEM/IND/ABS etc

  34. eBPF instruction format ArithOrJump Memory Byte/Half word/Word/Double Word

  35. eBPF instruction format ArithOrJump Memory LD/LDX/ST/STX

  36. わかったら書く!書く!

  37. 機械語programmingは手動かす!

  38. disasm#tips • Building block的に作ると良い ◦ Opcode type/InstClass typeを作ってEncoding typeを作る ▪

    それぞれのdecoderを書く ◦ それら(とsrc/dst/offset/imm)をまとめてInstruction typeを作る ▪ decoderを次々呼ぶだけ • srcは ooooxxxx のようになっているけど,4bit rshすると使いやすい ◦ Register numberに変換する感覚

  39. disasm#summary

  40. disasm#summary

  41. このくらいのしょぼ完成度なら サクッと数時間で作れる

  42. references • Linux Socket Filtering aka Berkeley Packet Filter (BPF)

    - www.kernel.org • Drumato/ebpf-disasm … 実装 ◦ 完全じゃないよ(Memory InstClassは適当)

  43. Thanks!