$30 off During Our Annual Pro Sale. View Details »

Writing an experimental eBPF disassembler

Drumato
July 24, 2021
Programming
0
170

Writing an experimental eBPF disassembler

適当にLTネタになるかな,と思って作った話.
https://github.com/Drumato/ebpf-disasm

Drumato

July 24, 2021
Tweet

More Decks by Drumato

See All by Drumato
DEMO Apps recently implemented
drumato
0
23
An incremental approach to implement an admission controller
drumato
0
100
Components of Kubernetes Cluster
drumato
0
130
cybozu-labs-youth-10th
drumato
1
820
ELFに蔓延るNULL三姉妹
drumato
1
2.8k

Other Decks in Programming

See All in Programming
Django REST Framework はじめの一歩 〜 押さえておきたい3つのポイント 〜 / First step of Django REST Framework (stapy#87 2022)
akiyoko
0
330
Micro Frontends with Module Federation: Beyond the Basics
manfredsteyer
PRO
0
270
AWS データベースブログの記事 「Amazon DynamoDBによる CQRSイベントストアの構築」 を勝手に読み解く
j5ik2o
0
150
フロントエンドエコシステムで効率化する組織開発
okmttdhr
4
4.3k
The Engineer/Manager Pendulum (QCon SF 2022)
charity
0
380
디자인에 이어 코딩까지 AI가 프로그램 개발을 척척? : GitHub Copilot, 어디까지 알아보셨나요
outsider
0
540
KubeCon + CNCon NA 2022 Overview & Towards Something Better Than CRDs In a Post-Operator World / k8sjp54-kubecon-recap
masayaaoyama
0
370
최신 Flutter Desktop 톺아보기 - DevFest 2022 Songdo
itsmedreamwalker
0
170
サーバーレスなメール送信システムをAWS CDKで構築し数千人規模の環境で運用した話 / aws dev day cdk mail
gotok365
2
710
OMO Package of App Unity
appunity
0
450
XR技術をめちゃくちゃ流行らせるためにちゅらデータが取り組んでいること
mo84dan5
0
110
E2Eテストから負荷試験シナリオを作ってみた / Why do we make a scenario of load testing from E2E testing scenarios
mackee
0
760

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
260
25k
Fashionably flexible responsive web design (full day workshop)
malarkey
396
63k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
37
3.5k
The Invisible Side of Design
smashingmag
292
48k
Imperfection Machines: The Place of Print at Facebook
scottboms
254
12k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
44
14k
WebSockets: Embracing the real-time Web
robhawkes
58
5.9k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
3
480
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.1k
Bootstrapping a Software Product
garrettdimon
299
110k
Into the Great Unknown - MozCon
thekraken
0
170
Designing for humans not robots
tammielis
244
24k

Transcript

  1. eBPF disassemblerを作る Drumato

  2. Attention! • 完全準拠ではない • torvalds/linux/samples/bpfのkernel side sourceがそれっぽくなればOKまで をやった

  3. 背景

  4. なんとなくeBPFについての記事を読んでた

  5. "基本的に命令長は64bit固定" という記述を見る

  6. 素敵! disasm書きたい! (x64を想いつつ)

  7. 書く

  8. 身につける必要があった知識 • Object file上でeBPF functionがどのように表現されているか • Opcode encoding/immediateの形式を知る

  9. あとは頑張って書く

  10. これはassembler自作と大して変わらない

  11. ELF Header

  12. eBPF object file#ELF Header

  13. eBPF object file#ELF Header

  14. E_machine以外は普通のrelocに見える

  15. Section Header Table

  16. eBPF object file#SHT

  17. eBPF object file#SHT .textはあるけど 中身は空

  18. eBPF object file#SHT SEC("socket1")のように 書いたsymbolが sectionに

  19. eBPF object file#SHT eBPF mapsもsectionに Entry sizeは Programで決まっていて, Shdr.sh_entsizeを読んでも わからない

    Key + valueのどちらも可変なので entsizeは使えないか(linkとinfoは?)

  20. eBPF object file#SHT これは単に"GPL\0"という文字列が 入っているだけ

  21. Symbol table

  22. eBPF object file#symtab

  23. ぱっと見特に気になる点はなし

  24. eBPF object file#summary • なんとなく以下を満たすsectionをdisasすれば良さそう ◦ Shdr.sh_type == SHT_PROGBITS ◦

    Shdr.sh_flags & (SHF_ALLOC | SHF_EXECINSTR) != 0 ◦ Shdr.sh_size > 0

  25. eBPF instruction architecture

  26. eBPF instruction architecture#overview

  27. eBPF instruction architecture#overview OpcodeEncoding head byteをどう解釈するか

  28. eBPF instruction architecture#overview InstructionClass Opcodeをどう解釈するか Ex1. ic=0x04ならopcode=0x00はAdd ic=0x05ならopcode=0x00はJA

  29. eBPF instruction format ArithOrJump Memory

  30. eBPF instruction format ArithOrJump Memory ADD/SUB/MUL/DIV/MOD/LSH etc.. JA/JEQ/JGT/JSLT/ etc...

  31. eBPF instruction format ArithOrJump Memory Use src field as register

    If S bit is up

  32. eBPF instruction format ArithOrJump Memory ALU/ALU64/JMP/JMP64

  33. eBPF instruction format ArithOrJump Memory IMM/MEM/IND/ABS etc

  34. eBPF instruction format ArithOrJump Memory Byte/Half word/Word/Double Word

  35. eBPF instruction format ArithOrJump Memory LD/LDX/ST/STX

  36. わかったら書く!書く!

  37. 機械語programmingは手動かす!

  38. disasm#tips • Building block的に作ると良い ◦ Opcode type/InstClass typeを作ってEncoding typeを作る ▪

    それぞれのdecoderを書く ◦ それら(とsrc/dst/offset/imm)をまとめてInstruction typeを作る ▪ decoderを次々呼ぶだけ • srcは ooooxxxx のようになっているけど,4bit rshすると使いやすい ◦ Register numberに変換する感覚

  39. disasm#summary

  40. disasm#summary

  41. このくらいのしょぼ完成度なら サクッと数時間で作れる

  42. references • Linux Socket Filtering aka Berkeley Packet Filter (BPF)

    - www.kernel.org • Drumato/ebpf-disasm … 実装 ◦ 完全じゃないよ(Memory InstClassは適当)

  43. Thanks!