Expand description
Binder eBPF 探针 — 跨进程通信监控
“how” — 如何通过 eBPF tracepoint 监控 Android Binder 事务。
Binder 是 Android 的核心 IPC 机制。所有系统服务调用 (通知、Activity 启动、窗口管理) 都是 Binder 事务。
eBPF tracepoint: tracepoint/binder/binder_transaction
提供: source_pid, target_pid, target_node (服务名), 事务类型。
§实现状态
本模块提供完整的接口定义和 Linux 端实现 stubs。 Android 真机部署需要:
- 自编译内核 (CONFIG_BPF_SYSCALL=y, CONFIG_DEBUG_INFO_BTF=y)
- 或 root 权限 (加载预编译的 BPF 程序)
- Daemon 以 system 身份运行 (SELinux 允许 bpf)
Structs§
- Binder
Probe - Binder 探针 — 订阅 Binder 事务事件
- Binder
Transaction - 从 eBPF tracepoint 解析出的 Binder 事务
Enums§
- Probe
Error - Binder 探针错误