hook exec的时候为什么要用lru,直接读task->real_parent->pid就能拿到ppid吧
SenberHu opened this issue · 3 comments
SenberHu commented
hook exec的时候为什么要用lru,直接读task->real_parent->pid就能拿到ppid吧
chriskaliX commented
感谢提问! 因为我看到 task->real_parent->pid 获取方式可能不是完全兼容的,连接为 : https://github.com/iovisor/bcc/blob/e83019bdf6c400b589e69c7d18092e38088f89a8/tools/execsnoop.py 里面提到
// Some kernels, like Ubuntu 4.13.0-generic, return 0
// as the real_parent->tgid.
// We use the get_ppid function as a fallback in those cases. (#1883)
所以我 lru 保存一下
SenberHu commented
明白了,多谢
发自 网易邮箱大师
…---- 回复的原邮件 ----
| 发件人 | ***@***.***> |
| 日期 | 2021年11月25日 22:16 |
| 收件人 | ***@***.***> |
| 抄送至 | ***@***.******@***.***> |
| 主题 | Re: [chriskaliX/Hades] hook exec的时候为什么要用lru,直接读task->real_parent->pid就能拿到ppid吧 (Issue #4) |
感谢提问! 因为我看到 task->real_parent->pid 获取方式可能不是完全兼容的,连接为 : https://github.com/iovisor/bcc/blob/e83019bdf6c400b589e69c7d18092e38088f89a8/tools/execsnoop.py 里面提到
// Some kernels, like Ubuntu 4.13.0-generic, return 0
// as the real_parent->tgid.
// We use the get_ppid function as a fallback in those cases. (#1883)
所以我 lru 保存一下
—
You are receiving this because you authored the thread.
Reply to this email directly, view it on GitHub, or unsubscribe.
Triage notifications on the go with GitHub Mobile for iOS or Android.
chriskaliX commented
:-) 不客气,欢迎交流