深入探索Bpftrace：Linux性能分析的新利器

2025-10-11

在运维或开发工作中，你是否遇到过这样的场景：Linux 服务器突然变得异常卡顿，响应迟缓，严重影响业务正常运行。当你匆忙登录服务器，使用常用的 top、htop 等命令查看系统资源使用情况时，却发现 CPU、内存使用率看似正常，没有明显的异常进程。磁盘 I/O 和网络带宽也都在合理范围内，但系统性能却实实在在地下降了，这让你陷入困惑，不知从何下手去定位问题。

其实，这种情况在复杂的生产环境中并不少见，传统的性能分析工具往往只能提供一些表面的信息，对于深层次的系统行为和潜在的性能瓶颈难以洞察。此时，我们就需要一款更强大、更灵活的工具来深入系统内部，挖掘问题的根源，而 bpftrace 就是这样一款能够帮助我们突破困境的神器。它基于 eBPF 技术，能够实现对 Linux 系统全方位、深层次的动态跟踪和性能分析，为我们解决性能难题提供了有力的支持。接下来，就让我们一起走进 bpftrace 的世界，探索它的强大功能和应用场景。

一、bpftrace 是什么

bpftrace 是一种基于 eBPF（Extended Berkeley Packet Filter）技术的高级动态跟踪工具，诞生于 Linux 系统环境，它为开发者、系统管理员和运维工程师提供了一种强大且灵活的方式，来深入探索 Linux 系统的内部运作机制。简单来说，eBPF 就像是一个可以在内核中运行的小型虚拟机，允许执行用户定义的代码，而无需修改内核源代码或加载内核模块，这为系统的动态跟踪和性能分析开辟了新的道路，而 bpftrace 则是站在 eBPF 这个巨人肩膀上的得力助手。

bpftrace 使用一种简洁且易读的声明式语言进行脚本编写，这种语言的设计灵感来源于 awk 和 C，对于有一定编程基础的人来说，很容易上手。通过 bpftrace，用户能够快速创建和运行复杂的跟踪脚本，这些脚本可以捕获并分析系统和应用程序的各种事件，包括进程活动、文件系统操作、网络通信、内存使用以及 CPU 调度等。

举个例子，在排查系统性能问题时，我们想知道某个进程在一段时间内的系统调用次数和类型，使用 bpftrace，只需编写简单的脚本，就能轻松获取这些信息。假设我们要追踪进程 ID 为 1234 的系统调用，脚本可以这样写：

复制

sudo bpftrace -e tracepoint:syscalls:sys_enter_* /pid == 1234/ { @[probe] = count(); }1.

上述脚本中，tracepoint:syscalls:sys_enter_*表示捕获所有系统调用的进入事件，/pid == 1234/是过滤条件，仅针对进程 ID 为 1234 的进程，{ @[probe] = count(); }则是对符合条件的事件进行计数，并将结果存储在关联数组@中，以探针名称作为键。运行这个脚本后，就能得到该进程的各种系统调用的次数统计，帮助我们快速定位可能存在性能问题的系统调用。

从功能特性上看，bpftrace 具有以下显著特点：

轻量级与低开销：基于 eBPF 技术，它在运行时对系统性能的影响极小，几乎可以忽略不计，这使得它非常适合在生产环境中进行实时跟踪和分析，不会因为工具本身的运行而干扰到系统的正常业务。强大的事件捕获能力：能够捕获系统和应用程序层面的各种事件，无论是内核态的函数调用，还是用户态的程序执行，bpftrace 都能精准定位并获取详细信息，为全面了解系统行为提供了丰富的数据来源。灵活的数据处理与分析：支持多种数据处理和分析操作，如计数、求和、平均值计算、直方图生成等，还可以通过关联数组等数据结构对数据进行存储和组织，方便进行复杂的统计分析，帮助用户从海量的跟踪数据中提取有价值的信息。动态追踪：bpftrace 支持动态追踪，可以在应用程序或系统运行时动态添加和删除跟踪规则。这使得用户可以快速响应变化的需求，并进行实时监测和分析。

正是这些强大的功能特性，使得 bpftrace 在 Linux 性能分析和故障排查领域占据了重要地位。无论是优化系统性能、诊断应用程序的异常行为，还是进行安全审计，bpftrace 都能发挥关键作用，成为众多 Linux 爱好者和专业人士不可或缺的工具。

二、bpftrace 的技术原理

bpftrace 之所以能实现如此强大的动态跟踪和性能分析功能，离不开其背后的一系列关键技术。这些技术相互协作，使得 bpftrace 能够深入系统内部，获取各种详细的信息，为用户提供精准的系统洞察。接下来，我们将深入剖析 bpftrace 的技术原理，从 eBPF 虚拟机、bpftrace 前端以及跟踪机制等多个方面，揭示其强大功能背后的奥秘。

2.1eBPF 虚拟机

eBPF 虚拟机是 bpftrace 的核心支撑组件，它在内核中提供了一个安全、高效的执行环境，允许运行用户定义的 eBPF 程序。当用户编写好 bpftrace 脚本后，这些脚本会被编译成 eBPF 字节码，然后加载到 eBPF 虚拟机中执行。

加载过程中，eBPF 程序以字节码的形式被提交到内核。内核中的验证器会对字节码进行严格的安全性检查，确保程序不会包含危险操作，如无限循环、非法内存访问等，防止其导致内核崩溃或安全漏洞。只有通过验证的 eBPF 程序才能继续后续的执行流程。

验证通过后，eBPF 程序会通过 JIT（Just-In-Time）编译器编译成本地机器码。JIT 编译能够将通用的字节码转化为与当前硬件架构相匹配的机器指令，大大提高了程序的执行效率，使得 eBPF 程序能够像本地编译的内核代码一样高效运行。

在执行过程中，eBPF 程序可以访问内核中的各种数据结构和函数，但这种访问受到严格的限制，只能通过内核提供的稳定 API（辅助函数）来进行，以保证系统的安全性和稳定性。例如，eBPF 程序可以通过特定的辅助函数获取当前时间、生成随机数、访问 eBPF 映射（Maps）等。

正是 eBPF 虚拟机这种严格的加载、验证和执行机制，为 bpftrace 提供了坚实的基础，使得 bpftrace 能够安全、高效地运行各种跟踪脚本，深入系统内部获取关键信息。

2.2bpftrace 前端

bpftrace 前端是用户与 eBPF 虚拟机之间的桥梁，它主要负责将用户编写的 bpftrace 脚本编译成 eBPF 字节码，并与内核中的 eBPF 虚拟机进行交互。

bpftrace 提供了一种高级的、领域特定的语言（DSL），这种语言设计灵感来源于 awk 和 C，具有简洁易读的语法，方便用户编写跟踪脚本。当用户编写好脚本后，bpftrace 前端首先对脚本进行词法分析、语法分析和语义分析，构建抽象语法树（AST），检查脚本的语法正确性和语义合理性。

经过一系列分析后，bpftrace 前端借助 LLVM（Low-Level Virtual Machine）编译器框架，将脚本从抽象语法树逐步转化为 eBPF 字节码。LLVM 提供了强大的代码优化和生成能力，能够生成高效的 eBPF 字节码。

生成 eBPF 字节码后，bpftrace 前端通过 libbpf 库与内核中的 eBPF 虚拟机进行交互。libbpf 库提供了一组丰富的函数和接口，用于加载 eBPF 程序、管理 eBPF 映射（Maps）以及与内核进行通信等操作。bpftrace 前端利用这些接口，将生成的 eBPF 字节码加载到 eBPF 虚拟机中，并将其挂载到相应的内核钩子点（如 kprobes、uprobes、tracepoints 等）上，以便在特定事件发生时触发 eBPF 程序的执行。

通过这样的流程，bpftrace 前端将用户的高级脚本语言转化为可在内核中执行的 eBPF 字节码，实现了用户与 eBPF 虚拟机之间的交互，使得用户能够方便地利用 eBPF 技术进行系统跟踪和分析。

2.3跟踪机制

bpftrace 利用 eBPF 提供的多种跟踪机制，实现对系统和应用程序的全方位跟踪。这些跟踪机制包括 kprobes、uprobes、tracepoints 等，每种机制都有其独特的用途和优势。

kprobes（内核探针）：kprobes 允许动态地在内核函数的入口处插入探针，当 CPU 执行到被探测的内核函数入口时，会触发一个陷入（trap），CPU 切换到预先定义的处理函数（probe handler）执行，这个处理函数可以访问和修改内核的状态，包括 CPU 寄存器、内核栈、全局变量等。执行完处理函数后，CPU 会返回到断点处，继续执行原来的内核代码。例如，使用 kprobe 可以跟踪内核函数vfs_open的执行，获取文件打开时的相关信息：

复制

sudo bpftrace -e kprobe:vfs_open { printf("File %s opened by process %s (PID %d)\n", str(args->dentry->d_name.name), comm, pid); }1.2.3.4.

上述脚本中，kprobe:vfs_open表示在vfs_open函数入口插入探针，当该函数被调用时，通过printf函数打印出打开的文件名、进程名和进程 ID。

uprobes（用户探针）：uprobes 用于动态地在用户空间函数的入口或出口处插入探针，从而监控或调试用户态程序的行为。与 kprobes 类似，当用户空间函数被调用或返回时，会触发 uprobes 的处理函数执行。例如，要跟踪用户空间程序/usr/bin/bash中readline函数的调用，可以使用以下脚本：

复制

sudo bpftrace -e uprobe:/usr/bin/bash:readline { printf("User %d executed command: %s\n", uid, str(retval)); }1.2.3.

这个脚本在/usr/bin/bash的readline函数处插入探针，当函数返回时，打印出执行命令的用户 ID 和命令内容。

三、bpftrace的安装与使用

3.1安装方法

在不同的 Linux 发行版上，安装 bpftrace 的方式略有不同。以下是几种常见发行版的安装步骤：

Ubuntu：对于 Ubuntu 19.04 及更高版本，可以直接使用 apt 包管理器进行安装：

复制

sudo apt-get install -y bpftrace1.

对于 Ubuntu 16.04 及更高版本，也可以通过 snap 安装：

复制

sudo snap install --devmode bpftrace sudo snap connect bpftrace:system-trace1.2.

Fedora：在 Fedora 28 及更高版本中，bpftrace 已包含在官方仓库中，使用 dnf 命令安装：

复制

sudo dnf install -y bpftrace1.

CentOS：首先添加软件源，执行以下命令：

复制

curl https://repos.baslab.org/rhel/7/bpftools/bpftools.repo --output /etc/yum.repos.d/bpftools.repo1.

然后使用 yum 安装：

复制

yum install bpftrace bpftrace-tools bpftrace-doc bcc-static bcc-tools1.

3.2基本语法与指令

bpftrace 脚本的基本语法结构为probes /filter/ { action }：

probes：表示事件，例如tracepoint（跟踪点）、kprobe（内核函数探针）、kretprobe（内核函数返回探针）、uprobe（用户函数探针）等。此外，还有两个特殊事件BEGIN和END，分别用于在脚本开始和结束时执行特定操作。filter：是过滤条件，用于判断事件触发时是否执行相应的动作。例如/pid == 1234/，表示仅当进程 ID 为 1234 时执行后续动作。action：即具体执行的操作，如{ printf("File opened\n"); }表示打印 “File opened”。常用指令有

列出探针：

使用bpftrace -l命令可以列出所有可用的探针。例如，要查找与sleep相关的探针，可以执行bpftrace -l *sleep*。

变量：

内置变量：bpftrace 提供了许多内置变量，方便获取各种信息。例如pid表示进程 ID，tid表示线程 ID，uid表示用户 ID，comm表示进程名，nsecs表示纳秒级别的时间戳等。自定义变量：以$符号开头定义，如$myvar = 10; 。Map 变量：用于内核向用户空间传递数据，以@符号开头定义。例如@count[pid] = count();表示按进程 ID 统计事件发生次数。

函数：

输出函数：printf用于格式化输出，与 C 语言中的printf函数类似。例如printf("PID: %d, Comm: %s\n", pid, comm); 。统计函数：count()用于计数，sum(x)用于求和，hist(x)用于生成 2 的幂次方直方图，lhist(x, min, max, step)用于生成线性直方图等。例如@bytes = sum(args->ret);表示对args->ret的值进行求和。

3.3执行脚本方式

bpftrace 有两种常见的执行脚本方式：

单行指令执行：使用-e选项，将脚本直接写在命令行中。例如，统计系统调用次数的单行指令为：

复制

sudo bpftrace -e tracepoint:syscalls:sys_enter_* { @[probe] = count(); }1.

这条指令表示对所有系统调用的进入事件进行计数，并将结果存储在以探针名称为键的@映射变量中。

脚本文件执行：将 bpftrace 脚本保存为文件（通常以.bt为后缀），然后直接运行该文件。例如，创建一个名为test.bt的脚本文件，内容如下：

复制

BEGIN { printf("Tracing file opens... Hit Ctrl-C to end.\n"); } tracepoint:syscalls:sys_enter_open { printf("Process %s (PID %d) opened file %s\n", comm, pid, str(args->filename)); } END { printf("Stopped tracing.\n"); }1.2.3.4.5.6.7.8.9.

执行该脚本的命令为：

复制

sudo bpftrace test.bt1.

通过这两种方式，用户可以根据实际需求灵活选择执行 bpftrace 脚本，快速实现对系统的跟踪和分析。

四、bpftrace实用案例解析

4.1性能分析案例

假设我们有一个 Web 服务器，近期发现响应时间变长，用户抱怨访问速度慢。为了定位性能瓶颈，我们使用 bpftrace 来分析系统调用次数和函数执行时间。

首先，统计系统调用次数，我们使用如下 bpftrace 脚本：

复制

sudo bpftrace -e tracepoint:syscalls:sys_enter_* { @[probe] = count(); }1.

运行一段时间后，按下Ctrl+C停止脚本，得到的结果类似：

复制

@[tracepoint:syscalls:sys_enter_read]: 12345 @[tracepoint:syscalls:sys_enter_write]: 6789 @[tracepoint:syscalls:sys_enter_open]: 23451.2.3.

从结果中发现sys_enter_read调用次数异常高，这表明系统在读取操作上可能存在性能问题。

接下来，我们进一步分析read系统调用的执行时间，使用如下脚本：

复制

sudo bpftrace -e tracepoint:syscalls:sys_enter_read { @start[tid] = nsecs; } tracepoint:syscalls:sys_exit_read { $elapsed = nsecs - @start[tid]; @latency = hist($elapsed); delete(@start[tid]); }1.2.

运行一段时间后，得到read系统调用执行时间的直方图：

复制

@latency: [0] : 10 | | [1 -> 2] : 20 |** | [3 -> 4] : 30 |*** | [5 -> 8] : 50 |***** | [9 -> 16] : 80 |******** | [17 -> 32] : 120 |************* | [33 -> 64] : 200 |*********************** | [65 -> 128] : 150 |****************** |1.2.3.4.5.6.7.8.9.

从直方图可以看出，大部分read操作的执行时间集中在 33 - 128 纳秒之间，但也有部分操作耗时较长，这为我们优化系统提供了方向。通过进一步检查，发现是磁盘 I/O 性能瓶颈导致read操作缓慢，更换高性能磁盘后，Web 服务器的响应时间明显缩短，性能得到显著提升。

4.2故障排查案例

有一天，系统管理员发现某个重要的配置文件突然被删除，导致相关服务无法正常启动。为了找出删除文件的 “元凶”，使用 bpftrace 编写如下脚本：

复制

sudo bpftrace -e tracepoint:syscalls:sys_enter_unlinkat { printf("%s deleted by process %s (PID %d)\n", str(args->pathname), comm, pid); }1.2.3.

运行脚本后，很快就捕获到了文件删除事件：

复制

/etc/important_config.conf deleted by process rm (PID 12345)1.

通过进一步查看进程 12345 的相关信息，发现是一个误操作的脚本导致了文件被删除。及时恢复文件并修正脚本后，服务恢复正常运行。

再比如，某个进程经常异常退出，但没有明显的错误日志。我们可以使用 bpftrace 来跟踪进程的退出原因，脚本如下：

复制

sudo bpftrace -e kprobe:do_exit { printf("Process %s (PID %d) exited with code %d\n", comm, pid, args->error_code); }1.2.3.

运行脚本后，当进程再次异常退出时，得到如下输出：

复制

Process my_service (PID 6789) exited with code -111.

根据退出代码 - 11，查询相关资料得知是段错误（Segmentation fault），进一步检查代码，发现是一个指针越界的问题，修复后进程不再异常退出。

4.3安全监控案例

在安全监控方面，bpftrace 可以帮助我们实时监测系统调用和网络活动，及时发现潜在的安全威胁。例如，我们要监控系统中所有的execve系统调用，查看是否有异常的程序执行，使用如下脚本：

复制

sudo bpftrace -e tracepoint:syscalls:sys_enter_execve { printf("Process %s (PID %d) executed %s\n", comm, pid, str(args->filename)); }1.2.3.

运行脚本后，每当有新的程序执行时，都会输出相关信息：

复制

Process bash (PID 1234) executed /usr/bin/sudo Process my_script.sh (PID 5678) executed /usr/bin/python31.2.

通过监控这些信息，我们可以及时发现未经授权的程序执行，防止恶意软件的运行。

另外，我们还可以监控网络活动，例如跟踪所有的 TCP 连接建立和关闭事件，脚本如下：

复制

sudo bpftrace -e tracepoint:tcp:tcp_connect { printf("TCP connect from %s:%d to %s:%d\n", ip(args->saddr), args->sport, ip(args->daddr), args->dport); } tracepoint:tcp:tcp_close { printf("TCP close from %s:%d to %s:%d\n", ip(args->saddr), args->sport, ip(args->daddr), args->dport); }1.2.3.4.5.6.

通过监控这些网络连接事件，我们可以实时了解系统的网络活动情况，发现异常的网络连接，如大量的外部连接尝试，及时采取措施进行防范，保障系统的网络安全。

五、bpftrace与其他工具对比

在Linux系统性能分析和故障排查领域，有众多工具可供选择，bpftrace 与传统工具 DTrace、SystemTap 以及同基于 eBPF 的 BCC 工具相比，具有独特的优势和特点。

5.1bpftrace与 DTrace 对比

DTrace 是动态追踪领域的鼻祖，最初由 Sun 开发，支持 Solaris、FreeBSD、Mac OS X 等操作系统，但由于许可问题无法直接在 Linux 上运行。

语法和易用性：DTrace 使用 D 语言，其语法相对复杂，学习曲线较陡。而 bpftrace 的语法设计灵感来源于 awk 和 C，更为简洁易读，对于有一定编程基础的用户来说，更容易上手。例如，在统计系统调用次数时，DTrace 的脚本可能需要较多的代码来实现，而 bpftrace 只需简单的一行脚本：sudo bpftrace -e tracepoint:syscalls:sys_enter_* { @[probe] = count(); }。

功能特性：DTrace 功能强大，能够跟踪用户态和内核态的几乎所有事件，并通过一系列优化措施保证最小的性能开销。bpftrace 同样具备强大的事件捕获能力，能捕获系统和应用程序层面的各种事件，且在性能开销方面也表现出色，基于 eBPF 技术，对系统性能的影响极小。不过，bpftrace 在灵活性和扩展性上更具优势，它可以方便地通过编写自定义脚本，实现对各种复杂场景的追踪和分析。

应用场景：DTrace 在其支持的操作系统中，广泛应用于性能分析、故障诊断和安全审计等领域。bpftrace 则在 Linux 系统中，为用户提供了类似的功能，并且由于其基于 eBPF 技术，与 Linux 内核的集成度更高，更适合在 Linux 环境下进行深度的系统跟踪和性能分析。

5.2bpftrace与 SystemTap 对比

SystemTap 是 RedHat 主推的动态追踪工具，试图将 DTrace 移植到 Linux 中。

实现方式：SystemTap 需要先把脚本编译为内核模块，然后再插入到内核中执行。这种方式在编写和测试时较为麻烦，而且在生产系统中插入内核模块可能会带来一定的风险，如导致系统不稳定或崩溃。而 bpftrace 基于 eBPF 技术，通过将脚本编译成 eBPF 字节码，直接在 eBPF 虚拟机中运行，无需加载内核模块，安全性和稳定性更高。

语法和开发难度：SystemTap 定义了一种类似的脚本语言，虽然功能强大，但语法较为复杂，开发和调试成本较高。bpftrace 的语法相对简单，开发效率更高，能够让用户更快速地编写和运行追踪脚本，满足快速定位问题的需求。

性能和开销：在性能方面，SystemTap 由于需要编译和加载内核模块，可能会对系统性能产生一定的影响。bpftrace 则凭借 eBPF 的高效执行机制，在运行时对系统性能的影响极小，更适合在生产环境中进行实时跟踪和分析。

5.3bpftrace与 BCC 对比

BCC也是基于eBPF的工具，提供了一系列的编程框架和库，用于构建 BPF 程序。

编程接口和语言：BCC 主要使用 Python 或 C++ 作为编程接口，用户需要使用这些编程语言来编写 BPF 程序，对开发者的编程能力要求较高。bpftrace 则提供了一种高级的、领域特定的语言（DSL），语法简洁，类似于 awk 和 C，无需掌握复杂的编程语言，即可快速编写追踪脚本。

使用场景和灵活性：BCC 适用于开发复杂的、功能强大的 BPF 工具，对于需要深入定制和开发的场景更为合适。bpftrace 则更侧重于快速解决常见的性能分析和故障排查问题，用户可以通过简单的命令行脚本，快速获取系统信息，进行问题诊断。不过，bpftrace 在一些复杂场景下，可能无法像 BCC 那样灵活地实现某些高级功能。

学习成本：由于 BCC 使用通用编程语言，学习成本相对较高，需要开发者具备一定的编程经验和知识。bpftrace 的语法简单，学习成本低，对于初学者和非专业开发者来说，更容易上手和使用。

六、使用bpftrace的注意事项

6.1内核版本要求

bpftrace 基于 eBPF 技术，而 eBPF 在 Linux 内核中的支持有一定的版本要求。为了确保 bpftrace 能够正常工作并充分发挥其功能，建议使用 Linux 内核 4.9 或更高版本。在较低版本的内核中，可能不支持 eBPF 相关特性，或者支持的功能有限，导致 bpftrace 无法运行或部分功能不可用。

例如，某些早期内核版本可能不支持特定类型的 eBPF 探针，使得一些高级的跟踪和分析操作无法实现。在使用 bpftrace 之前，务必检查系统的内核版本，可通过命令uname -r查看。如果内核版本低于 4.9，考虑升级内核以获取对 bpftrace 的完整支持。

6.2权限与安全问题

运行 bpftrace 通常需要 root 权限或 CAP_SYS_ADMIN 能力。这是因为 bpftrace 的跟踪操作涉及到对内核和系统关键资源的访问，例如插入内核探针、读取内核数据结构等，这些操作只有具有足够权限的用户才能执行。如果以普通用户身份运行 bpftrace，可能会遇到权限不足的错误，导致脚本无法正常执行。例如，当使用 kprobe 或 tracepoint 等探针时，普通用户会收到类似 “Permission denied” 的提示。

然而，拥有 root 权限也意味着更高的风险。在编写 bpftrace 脚本时，必须格外小心，避免引入安全漏洞或导致内核崩溃。例如，错误的脚本逻辑可能导致对内核数据结构的非法访问，从而破坏系统的稳定性。特别是在使用 kprobes 和 uprobes 时，要确保探针的插入和操作不会干扰正常的系统运行。另外，避免在脚本中执行未经严格验证的外部命令，防止恶意代码注入。在生产环境中，建议在测试环境中充分验证脚本的安全性和稳定性后，再应用到实际生产系统中。

6.3性能开销与资源限制

虽然 eBPF 程序通常设计为高效运行，对系统性能的影响极小，但过度使用或编写不当的 bpftrace 脚本仍可能导致性能问题。例如，在脚本中频繁地进行大量的 I/O 操作、复杂的计算或无节制地创建和销毁数据结构，都可能消耗系统资源，导致系统性能下降。另外，如果在高负载的生产系统中，大量插入探针并进行密集的跟踪操作，可能会增加内核的负担，影响系统的响应速度。

eBPF 程序还受到内核的资源限制，如内存使用、指令数量等。每个 eBPF 程序都有一定的内存配额，用于存储数据和执行指令。如果脚本编写不合理，导致内存使用超出限制，可能会导致 eBPF 程序加载失败或运行时出错。同样，eBPF 程序的指令数量也有限制，过于复杂的脚本可能会因为指令过多而无法通过内核验证。在编写 bpftrace 脚本时，要尽量优化脚本逻辑，减少不必要的操作，避免超出资源限制。可以使用一些性能分析工具，如 perf，来评估脚本对系统性能的影响，及时发现并解决潜在的性能问题。

THE END

40 余款恶意火狐扩展瞄准加密货币钱包窃取用户资产

<<上一篇

新型 macOS 恶意软件利用进程注入与远程通信窃取钥匙串凭证

下一篇>>