https://mp.weixin.qq.com/s/dPrzhPp7O9Ynvqk-yUxZmg
当看到字节的 netcap 推广文，我就在评论区推 pwru 😜
（这公众号的作者就是字节的 🤣）

bpflbr 一大进步：能拿到 bpf prog 的 line info 啦 🥳🥳🥳
如上图，filter_pcap_ebpf_l3() 就是 pwru 里的函数。
后面，整理一下输出的格式，让它好看一些！

P.S. 还是得薅虾毛，因为需要 CPU 支持 LBR 才能跑起来

#bpflbr

https://github.com/open-telemetry/opentelemetry-ebpf-profiler/pull/196

https://asphaltt.github.io/post/ebpf-talk-134-i-disable-freplace-tailcall-freplace/

如何 decode x86 机器码？ 尝试了 golang.org/x/arch/x86/x86asm，失败了：Failed to decode instruction at pc 2432: unrecognized instruction。 一番搜索，还是用 capstone 吧；参考给 drgn 提的 PR：Proposal: contrib/bpf_inspect.py: disas bpf prog with capstone，使用 gapstone 来 decode 机器码： # ./bpflbr…

如何 decode x86 机器码？
尝试了 golang.org/x/arch/x86/x86asm，失败了：Failed to decode instruction at pc 2432: unrecognized instruction。

一番搜索，还是用 capstone 吧；参考给 drgn 提的 PR：Proposal: contrib/bpf_inspect.py: disas bpf prog with capstone，使用 gapstone 来 decode 机器码：

```

# ./bpflbr -p 438 --dump-jited
0: nop dword ptr [rax + rax]
5: nop
7: push rbp
8: mov rbp, rsp
b: sub rsp, 0x98
12: push rbx
13: push r13
15: mov rbx, rdi
18: mov r13, qword ptr [rbx + 0x60]
1c: xor edi, edi

```

#bpflbr #capstone #gapstone #drgn

好嘛。。。 ping -T 不通的问题，跟 mlx 驱动有关，这回得下够本钱对 mlx 驱动进行 debug 了 😭😭

在学习 retsnoop 中是怎么将 addr 转成 linenum 的：用的是 addr2line 工具。 接着，我找到了 Go addr2line library，看着挺精简的；写个 example 验证了下，可行。 #retsnoop #addr2line #bpflbr

好嘛。。。 ping -T 不通的问题，跟 mlx 驱动有关，这回得下够本钱对 mlx 驱动进行 debug 了 😭😭

在学习 retsnoop 中是怎么将 addr 转成 linenum 的：用的是 addr2line 工具。 接着，我找到了 Go addr2line library，看着挺精简的；写个 example 验证了下，可行。 #retsnoop #addr2line #bpflbr