Bootstrap 是一个使用 libbpf 的完整应用,它利用 eBPF 程序来跟踪内核中的 exec 系统调用(通过 SEC("tp/sched/sched_process_exec") handle_exec BPF 程序),这主要对应于新进程的创建(不包括 fork 部分)。此外,它还跟踪进程的 exit 系统调用(通过 SEC("tp/sched/sched_process_exit") handle_exit BPF 程序...