一、linux系统调用介绍linux系统调用是linux为用户空间与内核空间交换提供的一组标准API，这些api能够让用户态进程访问内核代码，从而实现系统资源、硬件、文件读写的访问。需要注意的是，系统调用是用户态进入内核态的唯一入口，为了保证linux内核运行的稳定性，用户程序不能随意的访问内

之前通过修改内核插桩并编写内核模块的方式hookdo_sys_open函数（这种方式有点像tracepoint，都属于静态探测），这种方式优点是可以hook内核中的任意函数，但是需要编译内核和驱动模块较为麻烦。eBPF相当于在内核中定义了一个虚拟机，能够加载eBPF字节码并依赖kprobe,uprobe,tracepoint实现

ARM64上内联汇编实现系统调用#include<stdio.h>#include<stdint.h>#include<sys/types.h>#include<sys/stat.h>#include<fcntl.h>#include<unistd.h>intmain(){intdir_fd=AT_FDCWD;//使用当前工作目录作为目录文件描述符constchar