写在前面

    我们开发eBPF程序的初衷就是再不改动内核的情况下，将内核监控数据传递给到用户态；像应用进程开发一样开发内核监控程序。

    Android开机的时候eBPF程序被加载器加载到内核中，但此时它并没有被附加到内核函数上去，也就是ebpf程序并不会执行，我们可以理解为，它仅仅被安装到了内核当中。

    那么，如果要将ebpf程序运行起来还需要进行attach。attach就是为了把ebpf程序hook到对应的内核监控点上，如tracepoint等类型。attach成功，ebpf程序才算真正的在内核中运行起来。

一，Android eBPF API

Android已经为我们封装了一个api调试list，来方便应用程序内核的ebpf程序。我们可以更方便的借助这些api来读取内核传递到用户态的map数据，它就是BpfSyscallWrappers，我们来看下BpfSyscallWrappers操作函数有哪些？

#pragma once#include <linux/bpf.h>
#include <linux/unistd.h>#ifdef BPF_FD_JUST_USE_INT#define BPF_FD_TYPE int#define BPF_FD_TO_U32(x) static_cast<__u32>(x)
#else#include <android-base/unique_fd.h>#define BPF_FD_TYPE base::unique_fd&#define BPF_FD_TO_U32(x) static_cast<__u32>((x).get())
#endif#define ptr_to_u64(x) ((uint64_t)(uintptr_t)(x))namespace a