通过读取maps信息获取可执行文件头装载的地址

最新推荐文章于 2025-06-12 19:17:52 发布
原创 最新推荐文章于 2025-06-12 19:17:52 发布 · 686 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了通过分析maps文件来获取进程的文件头和段表的方法。作者在实践中遇到文件头读取错误的问题,发现在64位系统中,maps文件存在多个段,尤其是权限为`r-xp`的代码段之前还有一个`rw-p`的段。通过尝试固定值,发现大部分数据匹配,但部分数据不一致,原因是未正确处理`ptrace`读取的字节数。最后,作者发现错误源于在64位环境下用8字节变量存储4字节数据,修正后数据匹配成功。

1. 通过maps文件获取进程的文件头和段表

想要实现这一功能,根据书上所写,首先要找到代码段的首地址BaseVaddr,然后文件头就从这个地址开始,用ptrace从这个地址读一个sizeof(Elf64_Ehdr)大小的数据出来就可以了

但是,我在实现的时候遇到的一个问题,读出来的结果压根不对,其结果如下所示

$ sudo ./reconstruct 12127
BaseVaddr: 0x401000
ELF header:

magic:    f3 f 1e fa ff ff ff ff 48 8b 5 e9 ff ff ff ff 
 Type:                               c085
 Machine:                            274
 Version:                            0
 Entry point address:                c308c4
 Start of Program header:            2fe235ff
 Size of program header:             65535 (bytes)
 Number of Program headers:          61952
 Size of section header:             57833 (bytes)
 Number of Section headers:          65535
 Section
最低0.47元/天 解锁文章
【编译、链接、装载十】可执行文件装载与进程
junxuezheng的博客
06-22 1183
二、装载的方式 1、分页(Paging) 2、 页映射 三、从操作系统角度看可执行文件装载 1、进程的建立 2、页错误 四、进程虚存空间分布 1、ELF文件链接视图和执行视图 2、堆和栈
Android手游绘制基础--04动态获取模块
2401_83038597的博客
02-26 924
1、通过maps中加载的模块信息找到基址。2、代码实现读取基址,这个是模板代码,其他游戏也通用的。3、代码读取的数据和maps对比,和gg中的模块信息对比可以确认读取是否正常。
linux进程maps,了解Linux / proc / id / maps
weixin_31523833的博客
05-11 980
泛舟湖上清波郎朗每行/proc/$PID/maps描述进程或线程中连续虚拟内存的区域。每行都有以下字段:addresspermsoffsetdevinodepathname08048000-08056000r-xp0000000003:0c64593/usr/sbin/gpmaddress- 这是进程地址空间中区域的起始和结束地址permis...
[内存管理] /proc/<pid>/maps 简要分析
老农民娃哈哈的博客
07-06 6790
https://www.cnblogs.com/arnoldlu/p/10272466.html
解析进程 /proc/pid/maps 和 /proc/pid/smaps
weixin_42136255的博客
03-08 4306
就是当进程申请内存的时候,Linux会给他先分配页,但是并不会区建立页与页框的映射关系,意思就是说并不会分配物理内存,而当真正使用的时候,就会产生一个缺页异常,硬件跳转page fault处理程序执行,在其中分配物理内存,然后修改页表(创建页表项)。查看该page的引用数,如果引用>1,则归为shared,如果是1,则归为private,同时也查看该page的flag,是否标记为_PAGE_DIRTY,如果不是,则认为干净的。对匿名映射来说,因为没有文件在磁盘上,所以没有设备号,始终为00:00。
Map对象的键值读取
Frankenstein_的博客
11-06 1098
1、Map就是Key value对应: Map<1,"我">你只要得到Map里面得1 他对应得值就是 : "我" 2:意思是你的Map对象的键是String类型的,而值因为被定义为最上层的java对象Object对象,而所有的下级对象都隶属于Object对象,所以可以传任何类型的值在里面,比如,你可以这样:值为String类型 Map<String, String&gt...
linux proc maps文件分析
热门推荐
jiazheng.li的优快云博客
04-13 5万+
Proc/pid/maps显示进程映射了的内存区域和访问权限。对应内核中的操作集为proc_pid_maps_op,具体的导出函数为show_map。内核中进程的一段地址空间用一个vm_area_struct结构体表示,所有地址空间存储在task->mm->mmap链表中。 一个文件可以映射到进程的一段内存区域中,映射的文件描述符保存在vm_area_struct->vm_file域中,这种内存
程序员自我修养阅读笔记——可执行文件装载过程
梦的灰色边沿...
01-27 2811
1 可执行文件装载过程 1.1 进程虚拟地址空间   一个可执行文件装载到内存变成程序后(进程和程序的区别在于一个是静态的一个是动态的,程序就是菜谱,进程就是厨师参考菜谱做菜的过程),拥有自己独立的地址空间。该地址空间是一个虚拟的地址空间,在该进程看来该空间内包含内核和自身,32bit系统该空间的大小是4GB,64bit系统是2的64次方-1bit。也就是说,一个程序实际上能够用到的虚拟内存空间实际上是小于理论值的,因为操作系统需要占用。 1.2 装载的方式   静态装入:将程序执行时所需要的指令和数据
可执行文件装载与进程
Coder_py的博客
04-09 828
可执行文件装载与进程 进程虚拟地址空间 程序与进程的区别? 程序是一个静态的概念,就是一些预先编译好的指令和数据集合的一个文件 进程则是一个动态的概念,它是程序运行时的一个过程,很多时候吧动态库也叫作运行时 每个程序被运行起来以后,它将拥有自己独立的虚拟地址空间(Virtual Address Space),这个虚拟地址空间的大小由计算机的硬件平台决定,**具体地说是由CPU的位数决...
详细讲一下可执行文件装载过程
最新发布
08-09
3. 解析ELF文件获取入口点、程序表(Program Header Table)位置和大小、动态链接器路径等。 4. 创建进程地址空间:释放旧地址空间(如果是替换当前进程),创建新的虚拟地址空间,初始化页表。 5. 加载段到...
【二进制分析】获取进程PID和maps信息
WangKL
05-23 540
文件的第一行就是进程名称,可以通过查找这个信息实现。进程的maps信息会在进程被创建后,在。文件中存储了进程的各种信息,其中这个。路径下,每个数字都代表一个进程,路径下被创建,名称为。
linux static变量地址输出至map文件
qq_34157534的博客
07-21 523
文转载自菜鸟编程的一篇公众号[转侵删] Linux 下 static 变量地址输出到 map 文件的方法。在 CMakeLists.txt 文件中设置编译参数: set(CMAKE_C_FLAGS “-fdata-sections”) set(CMAKE_CXX_FLAGS “-fdata-sections”) 转载:菜鸟编程 bug复盘 ...
linux /proc/pid/maps,linux下/proc/pid/maps和pmap命令详解
weixin_36076907的博客
05-15 956
一.示例代码:1.创建pmap.c文件:vi pmap.c12.输入如下内容:#inculde int main(){ char *str; str = (char *) malloc(15); while(1) { ; } return 0;}12345678910113.编译pmap.c文件:gcc pmap.c -o pmap14.运行pmap可执行文件./pmap1二.查看/proc/pi...
Linux程序coredump地址显示问号的调试方法 - 基于map文件
一个带你入门的嵌入式开发“老者”
04-22 5492
coredump即Linux系统上,应用程序崩溃时的运行栈快照,已便于定位崩溃问题 正确使用coredump需要几个条件: 第一,coredump本身的配置 设置coredump文件路径及名称 echo "$dir/core-%e-%p-%t" > /proc/sys/kernel/core_pattern 记录pid echo 1 > /proc/sys/kernel/core_uses_pid 设置coredump文件大小: ulimit -c unlimited
android 代码分析运行逻辑,Android免Root权限通过Hook系统函数修改程序运行时内存指令逻辑...
weixin_39969060的博客
05-25 572
一、知识回顾在之前一篇文章中,已经介绍了Android中如何修改内存指令改变方法执行逻辑,当时那篇文章的大致流程很简单,在程序运行起来,dex文件被加载到内存中之后,通过读取maps文件获取dex文件的内存其实地址,然后通过文件信息找到指定dex在内存中的数据结构,这里还需要详细了解Dex文件的格式,不了解的同学可以看这篇文章:Android中Dex文件格式解析,然后使用系统函数修改内存读写属...
/proc/<pid>/maps文件格式详解
yinminsumeng的博客
06-12 623
摘要:/proc/<pid>/maps文件详细展示进程的虚拟内存布局,包含代码段、堆、栈等区域的地址范围、权限和映射来源。每行有6个字段:地址范围、权限标志(rwxp/s)、文件偏移、设备号、inode号和路径名。特殊标记如[heap]、[stack]标识关键内存区域。通过分析权限(r--p、rw-p等)可判断区域用途,如可执行代码或读写数据。工具如grep、pmap可辅助分析内存占用。该文件是诊断内存泄漏、分析进程行为的重要工具,需重点关注匿名映射和特殊内核区域。
linux下定位崩溃,backtrace + addr2line + maps
chenzhjlf的专栏
05-07 2736
一、导读 Backtrace中,一般都只有一些地址。但是利用addr2line这个工具,就可以找到对应的代码行。前提条件是可执行程序或者动态链接库编译的时候带-g选项。 具体来说,分两种情况: 如果关注的一行backtrace位于一个可执行文件中,那么直接addr2line -e <executable> <address> 如果关注的backtrace位于一个动态链接库中,那么麻烦一些,因为动态链接库的基地址不是固定的。这个时候,首先要把进程的memory ma
malloc 是如何分配内存的?
小林coding
04-07 1万+
大家好,我是小林。 很早之前写了一篇图解虚拟内存的文章:真棒!20 张图揭开内存管理的迷雾,瞬间豁然开朗 最近想多写一些内存管理的文章,这次我们就以 malloc 动态内存分配为切入点,我在文中也做了小实验: malloc 是如何分配内存的? malloc 分配的是物理内存吗? malloc(1) 会分配多大的内存? free 释放内存,会归还给操作系统吗? free() 函数只传入一个内存地址,为什么能知道要释放多大的内存? 发车! Linux 进程的内存分布长什么样? 在 Linux 操作系统中,
含大量图文解析及例程 | Linux下的ELF文件、链接、加载与库(中)
Peter的专栏
07-29 1166
可执行文件装载进程和装载的基本概念的介绍程序(可执行文件)和进程的区别程序是静态的概念,它就是躺在磁盘里的一个文件。进程是动态的概念,是动态运行起来的程序。现代操作系统如何装载可执行文件给进程分配独立的虚拟地址空间将可执行文件映射到进程的虚拟地址空间(mmap)将CPU指令寄存器设置到程序的入口地址,开始执行可执行文件装载的过程中实际上如我们所说的那样是映射的虚拟地址...
C语言实现目录与文件信息读取详解
资源摘要信息:"C语言读取目录和文件信息.zip"文档详细介绍了如何利用C语言实现读取目录和文件信息的功能。本文主要涉及到以下几个方面的知识点: 1. C语言中目录和文件信息读取的API使用。 2. 递归算法在目录遍历中...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值