本文不同于 云原生安全攻防｜使用eBPF逃逸容器技术分析与实践，腾讯同学的实现，是用eBPF技术在用户态做hook，实现修改文件等动作，完成逃逸。在此过程中，还是会留下一些日志行为，能被常规HIDS感知捕获，触发告警。 本文是在kernel space内核态，hook内核态函数，更改内核态返回用户态缓冲区数据，达到用户态欺骗的目的。用户态进程拿到被篡改的数据，从而被骗通过认证。在此过程，不改变任何文件、进程、网络行为，不产生日志。 常规HIDS、HIPS产品无法感知。