(转载) Linux下 /proc/maps 文件分析

最新推荐文章于 2024-03-08 16:43:07 发布
最新推荐文章于 2024-03-08 16:43:07 发布
阅读量2.8k 收藏
点赞数
文章标签: linux struct c
本文详细解析了如何通过/proc/PID/maps查看Linux进程的虚拟地址空间,并解释了每列字段的含义,包括地址、权限、偏移量、设备、节点和路径。同时提供了ldd命令用于获取依赖库信息,以及解释了系统调用入口代码和应用程序虚拟空间大小。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/proc/<PID>/maps
查看进程的虚拟地址空间是如何使用的。
该文件有6列,分别为:
地址:库在进程里地址范围
权限:虚拟内存的权限,r=读,w=写,x=,s=共享,p=私有;
偏移量:库在进程里地址范围
设备:映像文件的主设备号和次设备号;
节点:映像文件的节点号;
路径: 映像文件的路径
每项都与一个vm_area_struct结构成员对应,
范例:
应用程序的正文段(权限为r-xp)从0x08048000到0x08049000,大小为4096;数据段从0x08049000到 0x0804a000,大小为1KB。该应用程序使用了两个库:lib和libc。Libc 的正文段从0x00391000到0x004b4000,大小为1164KB;数据段从0x004b5000到0x004b8000,大小为12KB.
Ld 的正文段从00378000到0038d000,大小为84KB;数据段从0x0038e000到0x0038f000,大小为4KB。该应用程序所使用的库所占的虚拟空间的大小从0x4b8000到0x378000,大小为1280KB,其实真正大小为VmLib(1251KB);因为是按页分配,每页大小为4KB。

[root@localhost ~]# cat /proc/7114/maps
08047000-080dc000 r-xp 00000000 03:06 884901 /bin/bash
080dc000-080e3000 rwxp 00094000 03:06 884901 /bin/bash
080e3000-08129000 rwxp 080e3000 00:00 0 [heap]
4d575000-4d58a000 r-xp 00000000 03:06 736549 /lib/ld-2.3.4.so
4d58a000-4d58b000 r-xp 00015000 03:06 736549 /lib/ld-2.3.4.so
4d58b000-4d58c000 rwxp 00016000 03:06 736549 /lib/ld-2.3.4.so
4d58e000-4d6b1000 r-xp 00000000 03:06 736550 /lib/tls/libc-2.3.4.so
4d6b1000-4d6b2000 r-xp 00123000 03:06 736550 /lib/tls/libc-2.3.4.so
4d6b2000-4d6b5000 rwxp 00124000 03:06 736550 /lib/tls/libc-2.3.4.so
4d6b5000-4d6b7000 rwxp 4d6b5000 00:00 0
4d6de000-4d6e0000 r-xp 00000000 03:06 736552 /lib/libdl-2.3.4.so
4d6e0000-4d6e2000 rwxp 00001000 03:06 736552 /lib/libdl-2.3.4.so
4d807000-4d80a000 r-xp 00000000 03:06 736567 /lib/libtermcap.so.2.0.8
4d80a000-4d80b000 rwxp 00002000 03:06 736567 /lib/libtermcap.so.2.0.8
b7bf2000-b7c1e000 r-xp 00000000 03:06 881337 /usr/lib/gconv/GB18030.so
b7c1e000-b7c20000 rwxp 0002b000 03:06 881337 /usr/lib/gconv/GB18030.so
b7c20000-b7c26000 r-xs 00000000 03:06 881502 /usr/lib/gconv/gconv-modules.cache
b7c26000-b7d2f000 r-xp 02197000 03:06 852489 /usr/lib/locale/locale-archive
b7d2f000-b7f2f000 r-xp 00000000 03:06 852489 /usr/lib/locale/locale-archive
b7f2f000-b7f38000 r-xp 00000000 03:06 734450 /lib/libnss_files-2.3.4.so
b7f38000-b7f3a000 rwxp 00008000 03:06 734450 /lib/libnss_files-2.3.4.so
b7f3a000-b7f3c000 rwxp b7f3a000 00:00 0
b7f51000-b7f52000 rwxp b7f51000 00:00 0
bfc3d000-bfc52000 rw-p bfc3d000 00:00 0 [[color=Red]stack][/color]
ffffe000-fffff000 ---p 00000000 00:00 0 [[color=Red]vdso[/color]]
[root@localhost ~]#

参数 解释
address: 0085d000-00872000 虚拟内存区域的起始和终止地址文件所占的地址空间
perms:rw-p 权限:r=read, w=write, x=execute, s=shared, p=private(copy on write)
offset: 00000000 虚拟内存区域在被映射文件中的偏移量
dev: 03:08 文件的主设备号和次设备号
inode: 设备的节点号,0表示没有节点与内存相对应
name: /lib/ld-2.3.4.so 被映射文件的文件名

各共享库的代码段,存放着二进制可执行的机器指令,是由kernel把该库ELF文件的代码段map到虚存空间;
各共享库的数据段,存放着程序执行所需的全局变量,是由kernel把ELF文件的数据段map到虚存空间;
用户代码段,存放着二进制形式的可执行的机器指令,是由kernel把ELF文件的代码段map到虚存空间;
用户数据段之上是代码段,存放着程序执行所需的全局变量,是由kernel把ELF文件的数据段map到虚存空间;
用户数据段之下是堆(heap),当且仅当malloc调用时存在,是由kernel把匿名内存map到虚存空间,堆则在程序中没有调用malloc的情况下不存在;
用户数据段之下是栈(stack),作为进程的临时数据区,是由kernel把匿名内存map到虚存空间,栈空间的增长方向是从高地址到低地址。

[root@localhost ~]# ldd /bin/bash
linux-gate.so.1 => (0xffffe000)
libtermcap.so.2 => /lib/libtermcap.so.2 (0x4d807000)
libdl.so.2 => /lib/libdl.so.2 (0x4d6de000)
libc.so.6 => /lib/tls/libc.so.6 (0x4d58e000)
/lib/ld-linux.so.2 (0x4d575000)
[root@localhost ~]#

这个所谓的"linux-gate.so.1"的内容就是内核映射的代码,系统中其实并不存在这样一个链接库文件,它的名字是由ldd自己起的,了 0xffffe400这里的一段代码,这里就是内核为我们映射的系统调用入口代码。Mapped是该应用程序的虚拟空间的大小,这里的值比用top 或ps都大了4KB,就是最后0xffffe400-0xffffffff的代码;shared 给出共享的虚拟空间部分。
老肖79
关注
Linux内存管理子系统——mmap内存映射原理分析(dax文件系统的mmap)
Imagine Miracle的博客
04-18 3229
Linux mmap分析 内核版本:linux-5.16 1. 虚拟内存概要内容简介 1.1. mm_struct 和 vm_area_struct // mm_struct 和 vm_area_struct 的简要成员 struct mm_struct { unsigned long start_brk, brk, start_stack; } __attribute__((preserve_access_index)); struct vm_area_struct { unsigned lo
快速找出Linux服务器上不该存在恶意或后门文件
qq_40907977的博客
05-18 2380
转载来源 :如何快速找出Linux服务器上不该存在恶意或后门文件 :https://www.2cto.com/article/201805/748965.html 如何快速找出Linux服务器上不该存在恶意或后门文件。前段时间我在APT写作时注意到一个问题,我发现网上大多都是关于Windows恶意软件检测的文章以及教程,而关于如何寻找Linux系统上恶意软件的资料却少之又少。因此,这篇文章主要是向大家介绍一些有关检查Linux系统恶意软件的技巧和方法。话不多说,让我们进入正题。 校验二进制文件 有一件事需要
linux的/proc/{pid}/maps介绍及使用(定位内存泄漏)
mijichui2153的博客
04-03 1万+
1、介绍 简单来说就是查看进程的虚拟地址空间是如何使用的。总共包括六列,每列及其含义如下。 address | perms | offset | dev | inode | pathname (1)地址:本段在虚拟内存中的地址范围;对应vm_area_struct中的vm_start和vm_end。 (2)权限:本段的权限; r-读,w-写,x-执行, p-私有;对应vm_flags。 (3)偏移地址:即本段映射地址在文件中的偏移;对于有名映射指本段映射地址在文件中的偏移,对应vm_pgoff;对于匿
linux proc maps文件分析
热门推荐
jiazheng.li的优快云博客
04-13 5万+
Proc/pid/maps显示进程映射了的内存区域和访问权限。对应内核中的操作集为proc_pid_maps_op,具体的导出函数为show_map。内核中进程的一段地址空间用一个vm_area_struct结构体表示,所有地址空间存储在task->mm->mmap链表中。 一个文件可以映射到进程的一段内存区域中,映射的文件描述符保存在vm_area_struct->vm_file域中,这种内存
/proc/maps
marken
12-24 1万+
文件 ---- /proc//maps 查看进程的虚拟地址空间是如何使用的。 该文件有6列,分别为: 地址:库在进程里地址范围 权限:虚拟内存的权限,r=读,w=写,x=执行,s=共享,p=私有; 偏移量:库在进程里地址偏移量 设备:映像文件的主设备号和次设备号,可以通过通过 cat /proc/devices查看设备号对应的设备名 节点:映像文件的节点号; 路径: 映像文件的路径,经常同一个地址有两个地址范围,那是因为一段是r-xp为只读的代码段,一段是rwxp为可读写的数据段。 每
Linux map 文件解析
dreamDay2016_11_11的博客
05-11 3024
map文件就是通过编译器编译之后,生成的程序、数据及IO空间信息的一种映射文件,里面包含函数大小,入口地址等一些重要信息。 生成的map 文件为: 2.对比C 程序,读map 文件 1)首先是included archive file 2)然后是library included 3)然后是common symbols 4)Discarded input sections 5)Memory Configuration 6)Linker
Linux下的proc目录详解
hackstoic的博客
11-21 4389
文章结构: 1.什么是proc目录 2. 初识proc目录 3. 从proc窥看系统详情 1.什么是proc目录 procLinux系统下一个很重要的目录。 它跟/etc, /home等这些系统目录不同, 它不是一个真正的文件系统, 而是一个虚拟的文件系统。 它不存在于磁盘, 而是存在于系统内存中。 所以当你使用 ls -al /proc这条命令来查看proc目录时
干货分享丨如何恢复Linux下误删etc目录数据
Anprou的博客
10-21 8312
重启mysql,测试下业务是否正常。
Linux下如何查看版本信息, 包括位数、版本信息以及CPU内核信息、CPU具体型号
m0_38102941的博客
06-03 2765
Linux下如何查看版本信息, 包括位数、版本信息以及CPU内核信息、CPU具体型号 1.uname -a(Linux查看版本当前操作系统内核信息) 2.cat /proc/version (Linux查看当前操作系统版本信息) 3.cat /etc/issue或cat /etc/redhat-release(Linux查看版本当前操作系统发行版信息) 4.cat /proc/cp...
proc_maps_parser:一个轻量级的库,用于解析Linuxproc [pid] maps文件,该文件包含进程的内存映射
05-05
proc_maps_parser 一个轻量级的库,用于解析Linux的/ proc / [pid] / maps文件,该文件包含进程的内存映射 / proc / [pid] / maps 包含当前映射的内存区域及其访问权限的文件。 有关内存映射的更多信息,请参见mmap(2)。 #memory映射区域proc_maps_parser表示具有此C结构的存储区域。 struct procmaps_struct{ void * addr_start; // < start address of the region void * addr_end; // < end address of the region unsigned long length; // < length of the region by bytes char perm[ 5 ]; // < permi
[内存管理] /proc/<pid>/maps 简要分析
老农民娃哈哈的博客
07-06 6585
https://www.cnblogs.com/arnoldlu/p/10272466.html
Linux下 /proc/maps 文件分析
walterxia的专栏
03-09 847
<br />/proc/<PID>/maps <br />查看进程的虚拟地址空间是如何使用的。 <br />该文件有6列,分别为: <br />地址:库在进程里地址范围 <br />权限:虚拟内存的权限,r=读,w=写,x=,s=共享,p=私有; <br />偏移量:库在进程里地址范围 <br />设备:映像文件的主设备号和次设备号; <br />节点:映像文件的节点号; <br />路径: 映像文件的路径 <br />每项都与一个vm_area_struct结构成员对应, <br />范例: <br />
解析进程 /proc/pid/maps 和 /proc/pid/smaps
weixin_42136255的博客
03-08 3980
就是当进程申请内存的时候,Linux会给他先分配页,但是并不会区建立页与页框的映射关系,意思就是说并不会分配物理内存,而当真正使用的时候,就会产生一个缺页异常,硬件跳转page fault处理程序执行,在其中分配物理内存,然后修改页表(创建页表项)。查看该page的引用数,如果引用>1,则归为shared,如果是1,则归为private,同时也查看该page的flag,是否标记为_PAGE_DIRTY,如果不是,则认为干净的。对匿名映射来说,因为没有文件在磁盘上,所以没有设备号,始终为00:00。
Linux System.map解析
weixin_39247141的博客
04-21 1317
Linux中,System.map文件是内核符号名称及其对应内存地址的映射表。它在内核构建过程中创建,并位于内核源代码树的根目录中(通常是/linux/System.map)。System.map文件由内核的崩溃转储分析工具和一些性能分析工具使用,以将内核地址映射到它们对应的符号名称。System.map文件是一个纯文本文件,对于每个符号,它包含三列信息:符号的虚拟地址、符号类型(函数、数据等)和符号名称。虚拟地址是符号所在内核内存中的位置。符号类型指示符号是函数、变量还是某种其他类型的数据。
linux 内存查看方法:meminfo\maps\smaps\status 文件解析
11-11 2330
linux 下面查看内存有多种渠道,比如通过命令 ps ,top,free 等,比如通过/proc系统,一般需要比较详细和精确地知道整机内存/某个进程内存的使用情况,最好通过/proc 系统,下面介绍/proc系统下内存相关的几个文件maps 文件可以查看某个进程的代码段、栈区、堆区、动态库、内核区对应的虚拟地址,如果你还不了解linux进程的内存空间,可以参考。maps文件只能显示简单的分区,smap文件可以显示每个分区的更详细的内存占用数据。可以看到,linux下内存占用是一个比较复杂的概念,不能。
linux /proc/pid/maps,linux下/proc/pid/和pmap命令详解
weixin_28868483的博客
05-15 622
一.示例代码:1.创建pmap.c文件:vi pmap.c2.输入如下内容:#inculde int main(){char *str;str = (char *) malloc(15);while(1){;}return 0;}3.编译pmap.c文件:gcc pmap.c -o pmap4.运行pmap可执行文件./pmap二.查看/proc/pid/maps文件信息1.找到pmap进程的pi...
简单解读linux的/proc下的statm、maps、memmap 内存信息文件分析【转】
weixin_34130389的博客
06-29 338
转自:https://blog.youkuaiyun.com/sctq8888/article/details/7398776 转载自:http://hi.baidu.com/deep_pro/blog/item/5a9d5b9487b23314d31b7079.html 简单解读linux的/proc下的statm、maps、memmap 内存信息文件分析 * cmdline: 启动进程...
Linux /proc/1/maps文件的结构
最新发布
05-23
<think>好的,我现在要解析用户关于Linux系统中/proc/1/maps文件的结构组成和含义的问题。用户希望了解这个文件每一部分的含义,特别是各个字段代表的内容。首先,我需要回忆一下/proc文件系统的基本知识,以及maps文件的具体结构。 我记得/proc是一个虚拟文件系统,提供进程和系统信息的动态访问。每个进程的目录下都有maps文件,比如/proc/1/maps对应进程ID为1的进程的内存映射情况。用户需要的是这个文件的结构解析,所以我要详细解释每一列的含义,可能还要结合示例来说明。根据用户提供的引用内容[^1],maps文件中的每一行对应一个内存区域,包含地址范围、权限、偏移量、设备节点、inode和路径名等信息。我需要确认这些字段的顺序和具体含义是否正确,并补充可能的其他字段或细节。例如,地址范围通常用十六进制表示,权限包括读、写、执行和共享属性,设备节点可能对应主次设备号,路径名可能显示为匿名映射或具体文件。 接下来,我需要组织回答的结构,确保每个部分清晰明了。可能先概述maps文件的作用,然后逐列解释,包括示例行来辅助说明。例如,一行可能是这样的:00400000-00452000 r-xp 00000000 08:01 123456/usr/bin/bash。然后分别解释每个字段:地址是00400000到00452000,权限r-xp表示可读、可执行、私有,偏移量00000000,设备号08:01,inode123456,路径是/usr/bin/bash。 还需要注意不同内存区域的类型,如代码段、数据段、堆、栈等,结合引用中提到的用户代码段、共享库的数据段、堆和栈等部分。需要说明这些区域在maps文件中的表现,例如堆通常由malloc分配,栈由内核自动管理。另外,用户可能对某些字段的细节有疑问,比如偏移量的意义,设备节点的格式,或者如何区分不同的内存区域类型。因此,在解释时要尽可能详细,并提供例子帮助理解。 最后,生成相关问题时要考虑用户可能的后续疑问,例如如何分析具体进程的内存使用,或者如何利用maps文件进行调试,以及与其他工具如pmap的关系。这些问题应该与解析maps文件结构相关,并引导用户深入理解。现在需要检查是否有遗漏的信息,比如权限中的共享标志(shared或private),以及匿名映射的情况(如堆和栈通常没有关联的文件路径,显示为anon)。同时,确保每个字段的解释准确无误,参考引用内容中的描述,但也要补充更多细节。 总结下来,回答的结构大致为: 1.概述/proc/pid/maps的作用2.详细解析每一列的含义,包括示例行 3.解释不同内存区域的类型及其在maps中的表现4. 可能的示例分析 5. 相关问题生成需要确保使用中文,并遵循用户给出的格式要求,如行内数学表达式用$...$,独立公式用$$...$$,但在这个问题中可能不需要数学公式,所以重点在代码块和文本结构上。同时,引用标识要正确添加,引用内容中的信息需要适当融入回答中,但用户提供的引用是关于内存段的,需要准确对应到maps文件的各个部分。可能还需要注意权限中的p和s分别代表私有和共享,偏移量对应文件中的偏移,设备号的主次设备号格式,inode为0时表示匿名映射等细节。这些都需要在回答中明确说明,以帮助用户全面理解。</think>### Linux /proc/pid/maps 文件结构解析 `/proc/pid/maps` 文件记录了进程的虚拟内存映射信息,包含代码段、数据段、堆、栈等内存区域的详细信息。以下是其结构解析: --- #### **1. 文件结构组成** 每行对应一个内存区域,包含7个字段,格式如下: ``` 地址范围 权限 偏移量 设备节点 inode 路径名 00400000-00452000 r-xp 00000000 08:01 123456 /usr/bin/bash ``` --- #### **2. 各字段含义** 1. **地址范围** - 格式:`start-end`(十六进制) - 示例:`00400000-00452000` - 说明:内存区域的起始和结束地址,表示该区域在虚拟内存中的位置。 2. **权限** - 格式:`rwxp` 或 `rwxs` - `r`=可读,`w`=可写,`x`=可执行 - `p`=私有(Copy-on-Write),`s`=共享 - 示例:`r-xp`(可读、可执行、私有) - 说明:控制进程对该内存区域的访问方式。 3. **偏移量** - 格式:十六进制数 - 示例:`00000000` - 说明:该区域在映射文件中的起始偏移量。若为匿名映射(如堆、栈),则为`0`。 4. **设备节点** - 格式:`主设备号:次设备号` - 示例:`08:01`(对应磁盘设备) - 说明:映射文件的存储设备标识。匿名映射时显示`00:00`。 5. **inode** - 格式:十进制数 - 示例:`123456` - 说明:文件文件系统中的唯一标识。匿名映射时显示`0`。 6. **路径名** - 格式:文件路径或特殊标识 - 示例:`/usr/bin/bash`(可执行文件)、`[heap]`、`[stack]`、`[anon]` - 说明: - 文件路径:映射的共享库或可执行文件。 - `[heap]`:动态分配的内存区域(通过`malloc`)。 - `[stack]`:线程栈空间,由高地址向低地址增长。 - `[anon]`:匿名内存(如通过`mmap`分配的私有内存)[^1]。 --- #### **3. 典型内存区域示例** 1. **代码段** ``` 00400000-00452000 r-xp 00000000 08:01 123456 /usr/bin/bash ``` - 权限为`r-xp`,对应可执行文件的代码段。 2. **数据段** ``` 00652000-00653000 rw-p 00052000 08:01 123456 /usr/bin/bash ``` - 权限为`rw-p`,存放全局变量或静态数据。 3. **堆** ``` 01ab3000-01ad4000 rw-p 00000000 00:00 0 [heap] ``` - 由`malloc`动态分配,权限为`rw-p`。 4. **栈** ``` 7ffeebfff000-7ffec0000000 rw-p 00000000 00:00 0 [stack] ``` - 栈空间,权限为`rw-p`,地址从高到低增长。 5. **共享库映射** ``` 7f8e1a200000-7f8e1a400000 r-xp 00000000 08:01 654321 /lib/x86_64-linux-gnu/libc.so.6 ``` - 共享库的代码段或数据段。 --- #### **4. 与其他工具的关系** - **pmap命令**:直接读取`/proc/pid/maps`生成更友好的内存映射报告[^1]。 - **调试用途**:通过分析内存泄漏或权限异常,定位问题区域(如未释放的堆内存)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值