если вы хотите проверить аргументы, когда ядро создает системный вызов exec, то подключаете программу в начале вызова. В этом случае нужно прописать заголовок раздела SEC("kprobe/sys_exec"). Если же хотите проверить возвращаемое значение системного вызова exec, требуется написать в заголовке раздела SEC("kretprobe/sys_exec").
BPF для мониторинга Linux
·
Дэвид Калавера
