Writing an experimental eBPF disassembler

Slide 1

Slide 1 text

eBPF disassemblerを作る Drumato

Slide 2

Slide 2 text

Attention! ● 完全準拠ではない ● torvalds/linux/samples/bpfのkernel side sourceがそれっぽくなればOKまでをやった

Slide 3

Slide 3 text

背景

Slide 4

Slide 4 text

なんとなくeBPFについての記事を読んでた

Slide 5

Slide 5 text

"基本的に命令長は64bit固定" という記述を見る

Slide 6

Slide 6 text

素敵! disasm書きたい! (x64を想いつつ)

Slide 7

Slide 7 text

書く

Slide 8

Slide 8 text

身につける必要があった知識 ● Object file上でeBPF functionがどのように表現されているか ● Opcode encoding/immediateの形式を知る

Slide 9

Slide 9 text

あとは頑張って書く

Slide 10

Slide 10 text

これはassembler自作と大して変わらない

Slide 11

Slide 11 text

ELF Header

Slide 12

Slide 12 text

eBPF object file#ELF Header

Slide 13

Slide 13 text

eBPF object file#ELF Header

Slide 14

Slide 14 text

E_machine以外は普通のrelocに見える

Slide 15

Slide 15 text

Section Header Table

Slide 16

Slide 16 text

eBPF object file#SHT

Slide 17

Slide 17 text

eBPF object file#SHT .textはあるけど中身は空

Slide 18

Slide 18 text

eBPF object file#SHT SEC("socket1")のように書いたsymbolが sectionに

Slide 19

Slide 19 text

eBPF object file#SHT eBPF mapsもsectionに Entry sizeは Programで決まっていて， Shdr.sh_entsizeを読んでもわからない Key + valueのどちらも可変なので entsizeは使えないか(linkとinfoは?)

Slide 20

Slide 20 text

eBPF object file#SHT これは単に"GPL\0"という文字列が入っているだけ

Slide 21

Slide 21 text

Symbol table

Slide 22

Slide 22 text

eBPF object file#symtab

Slide 23

Slide 23 text

ぱっと見特に気になる点はなし

Slide 24

Slide 24 text

eBPF object file#summary ● なんとなく以下を満たすsectionをdisasすれば良さそう ○ Shdr.sh_type == SHT_PROGBITS ○ Shdr.sh_flags & (SHF_ALLOC | SHF_EXECINSTR) != 0 ○ Shdr.sh_size > 0

Slide 25

Slide 25 text

eBPF instruction architecture

Slide 26

Slide 26 text

eBPF instruction architecture#overview

Slide 27

Slide 27 text

eBPF instruction architecture#overview OpcodeEncoding head byteをどう解釈するか

Slide 28

Slide 28 text

eBPF instruction architecture#overview InstructionClass Opcodeをどう解釈するか Ex1. ic=0x04ならopcode=0x00はAdd ic=0x05ならopcode=0x00はJA

Slide 29

Slide 29 text

eBPF instruction format ArithOrJump Memory

Slide 30

Slide 30 text

eBPF instruction format ArithOrJump Memory ADD/SUB/MUL/DIV/MOD/LSH etc.. JA/JEQ/JGT/JSLT/ etc...

Slide 31

Slide 31 text

eBPF instruction format ArithOrJump Memory Use src field as register If S bit is up

Slide 32

Slide 32 text

eBPF instruction format ArithOrJump Memory ALU/ALU64/JMP/JMP64

Slide 33

Slide 33 text

eBPF instruction format ArithOrJump Memory IMM/MEM/IND/ABS etc

Slide 34

Slide 34 text

eBPF instruction format ArithOrJump Memory Byte/Half word/Word/Double Word

Slide 35

Slide 35 text

eBPF instruction format ArithOrJump Memory LD/LDX/ST/STX

Slide 36

Slide 36 text

わかったら書く!書く!

Slide 37

Slide 37 text

機械語programmingは手動かす!

Slide 38

Slide 38 text

disasm#tips ● Building block的に作ると良い ○ Opcode type/InstClass typeを作ってEncoding typeを作る ■ それぞれのdecoderを書く ○ それら(とsrc/dst/offset/imm)をまとめてInstruction typeを作る ■ decoderを次々呼ぶだけ ● srcは ooooxxxx のようになっているけど，4bit rshすると使いやすい ○ Register numberに変換する感覚

Slide 39

Slide 39 text

disasm#summary

Slide 40

Slide 40 text

disasm#summary

Slide 41

Slide 41 text

このくらいのしょぼ完成度ならサクッと数時間で作れる

Slide 42

Slide 42 text

references ● Linux Socket Filtering aka Berkeley Packet Filter (BPF) - www.kernel.org ● Drumato/ebpf-disasm … 実装 ○ 完全じゃないよ(Memory InstClassは適当)

Slide 43

Slide 43 text

Thanks!