使用/proc/${pid}/mem访问其他进程的内存变量

最新推荐文章于 2023-03-28 00:44:08 发布
最新推荐文章于 2023-03-28 00:44:08 发布
阅读量1.3w 收藏 12
点赞数 1
分类专栏: Android

在Linux/Unix中内存采用保护模式,每个进程都有独立的内存地址。可以访问/proc/${pid}/maps看到。

一、进程的内存结构认识:

[root@dev 28515]# pwd

/proc/28515

[root@dev 28515]# cat maps

003ee000-00407000 r-xp 00000000 fd:00 2197065    /lib/ld-2.5.so

00407000-00408000 r--p 00019000 fd:00 2197065    /lib/ld-2.5.so

00408000-00409000 rw-p 0001a000 fd:00 2197065    /lib/ld-2.5.so

00410000-0054d000 r-xp 00000000 fd:00 2197101    /lib/i686/nosegneg/libc-2.5.so

0054d000-0054f000 r--p 0013d000 fd:00 2197101    /lib/i686/nosegneg/libc-2.5.so

0054f000-00550000 rw-p 0013f000 fd:00 2197101    /lib/i686/nosegneg/libc-2.5.so

00550000-00553000 rw-p 00550000 00:00 0 

00b0d000-00b0e000 r-xp 00b0d000 00:00 0          [vdso]

08048000-08049000 r-xp 00000000 fd:00 2621911    /home/louis/elf/proc_mem/main

08049000-0804a000 rw-p 00000000 fd:00 2621911    /home/louis/elf/proc_mem/main

08c6a000-08c8c000 rw-p 08c6a000 00:00 0 

b7fc7000-b7fc8000 rw-p b7fc7000 00:00 0 

b7fde000-b7fdf000 rw-p b7fde000 00:00 0 

b7fdf000-b7fe0000 rw-s 00000000 00:08 58445      /dev/zero (deleted)

b7fe0000-b7fe1000 rw-p b7fe0000 00:00 0 

bff35000-bff4b000 rw-p bff35000 00:00 0          [stack]

其中b7fdf000-b7fe000内存段是使用mmap开闭的共享内存。貌似对应一个/dev/zero文件。


每个进程的代码段内存都在b7fdf000-b7fe000位置。

二、访问其他进程的结构。

如果想使用其他进程的内存结构有几个问题注意。

  1.使用ptrace开启进程内存跟踪。


  2.貌似定位的时候不能使用lseek,而是使用lseek64定位函数。由于pread是lseek与read的结合,所以也不能读取,总报非法参数错误。
  3.我在写代码的时候,发现声明为保护的内存区域也可以访问。
   第一个程序,创建各种内存变量。第二个程序直接访问。
=========================================================
#include<stdio.h>
#include<unistd.h>
#include<sys/mman.h>
#include<stdlib.h>
/*这些变量被access_mem.c程序访问*/
int var1=10;
static int var2=20;
int main(int argc,char **argv)
{
int var3=30;
static int var4=40;
int *var5=malloc(sizeof(int));
*var5=50;
int *var6=sbrk(0);
brk(var6+1);
*var6=60;
int *var7=mmap(0,sizeof(int),PROT_READ|PROT_WRITE,MAP_SHARED|MAP_ANONYMOUS,0,0);
*var7=70;
printf("进程 ID:%d\n",getpid());
printf("var1:%p\n",&var1);
printf("var2:%p\n",&var2);
printf("var3:%p\n",&var3);
printf("var4:%p\n",&var4);
printf("var5:%p\n",var5);
printf("var6:%p\n",var6);
printf("var7:%p\n",var7);
while(1);
return 0;
 }
=========================================================
#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
#include<sys/mman.h>
#include<fcntl.h>
#include<string.h>
#include<sys/ptrace.h>
/*该程序直接访问accessed_mem.c程序的内存空间*/
int main(int argc,char **argv)
{
/*
char buf[200];
bzero(buf,200);
sprintf(buf,"/proc/%d/mem",getpid());
int fd=open(buf,O_RDONLY);
ptrace(PTRACE_ATTACH,28515,0,0);/*跟踪某进程的内存*/
int var1=0;
off_t r=lseek64(fd,0x80497e4,SEEK_SET);/*其中的定位使用64位定位方式,才能读取*/
if(r==-1)printf("lseek error:%m\n");
printf("位置:%x\n",r);
ssize_t size=read(fd, &var1, sizeof(int));
if(size==-1) printf("read error:%m\n");
printf("var1的值:%d\n",var1);
close(fd);
return 0;
 }
=========================================================
在读取本进程代码段数据的时候,使用pread读取和使用lseek都没有问题。读取其他进程就有问题。
深入理解/proc/pid进程目录
悦分享
10-17 179
Linux 内核提供了一种通过 proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc 文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过 proc 得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取 proc 文件时,proc 文件系统是动态从系统内核读出所需信息并提交的。
Linux下/proc进程映射虚拟文件系统各目录描述
SHELLCODE_8BIT的博客
09-20 251
Proc是一个虚拟文件系统,在Linux系统中它被挂载于/proc目录之上。Proc有多个功能 ,这其中包括用户可以通过它访问内核信息或用于排错,这其中一个非常有 用的功能,也是Linux变得更加特别的功能就是以文本流的形式来访问进程信息。很Linux命令(比如 ps、toPpstree等)都需要使用这个文件系统的信息。在/proc文件系统中,每一个进程都有一个相应的文件夹:/proc/pid,在该文件夹下会进程的相关信息。
Memdump:转储内存进程procpidmem
04-09
梅登普 用pid转储某些进程内存区域。 用法 使用-h或--help参数。 usage: memdump.py [-h] -p PID [-o OUT] [-f] Used for dump memory process. optional arguments: -h, --help show this help message and exit -p PID, --pid PID select process id of the target -o OUT, --out OUT select output file for dumped raw data (default: none) -f, --force if maps/mem file is readable 如果用户具有对mem和maps文件的读取权限,请使用sudo或fo
proc-pid-mem
多特店影的专栏
09-11 954
linxu下proc是个很重要的文件系统,很多和内核相关的信息都存在这里.  伦理片 http://www.dotdy.com/ maps Txt代码   40000000-40009000 r-xp 00000000 ca:01 12550177                 /opt/java/jdk-1.6.0_32/bin/java   401080
python读取进程内存_Python读取Linux内存进程错误(/ proc / $pid / mem...
weixin_40008920的博客
12-04 492
我已经在某些Linux发行版(Debian,Linux Mint …)上测试了以下代码,并且可以正常工作,但是在CentOS下,即使我以root身份运行,也会出现错误:#!/usr/bin/env pythonimport remaps_file = open("/proc/18396/maps", 'r')mem_file = open("/proc/18396/mem", 'r', 0)for...
【转载】How do I read from /proc/$pid/mem under Linux?
think_ycx的专栏
11-13 1020
/proc/$pid/maps /proc/$pid/memshows the contents of $pid's memory mapped the same way as in the process, i.e., the byte at offsetxin the pseudo-file is the same as the byte at addressxin the pro...
linux的进程详细信息(转)
anzuo0211的专栏
05-19 161
/proc/pid/是进程目录,存放的是当前运行进程的信息。 譬如apache进程 ls -al /proc/23597: -r——– 1 root root 0 2009-05-26 15:00 auxv-r–r–r– 1 root root 0 2009-05-26 02:03 cmdline-r–r–r– 1 root root 0 2009-05-26 15:00...
Linux - 深入理解/proc及一些使用场景
Deegue
03-10 2041
文章目录前言背景一、二、使用场景1.文件恢复① 文件被删除时,有进程访问2.文件被删除时,没有进程访问总结 前言 本文主要关于Linux下/proc目录的理解及一些用法。 背景 在做YARN改造优化时,需要自动判断NM是否部署在docker上,采用的方法是读/proc/1/cgroup文件,发现在/proc下有很多对NM改造有用的信息如meminfo, cpuinfo,并且即使是root用户也是无法手动修改这些内容。 一、 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任
Linux的/proc/self学习
unexpectedthing的博客
11-15 3037
前言 本文就之前看到的linux的/prof/self进行学习,并写关于这个知识点的wp。 Linux的/proc/self/学习 可以通过/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程pid访问/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程pid访问/proc/pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程
linux proc 目录清理_Linux系统的/proc目录
weixin_28916013的博客
01-17 848
1. /proc目录Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过 proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,pr...
深度剖析Linux进程的内部机制:一探/proc/pid的奥秘
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
03-28 4551
深度剖析Linux进程的内部机制:一探/proc/pid的奥秘
linux 下/proc/pid文件内容详解
xiyangxixia39的专栏
12-16 4731
/proc文件系统,不是普通的文件系统,而是系统内核的映像,该目录中的文件时存放在系统内存中的,它以文件系统的形式为访问系统内核数据的操作提供接口。 查看内核版本命令: uname - 或者:cat /proc/version  或者:lsb_release -a,可以列出所有版本信息。 /proc文件下有根据进程号排列的信息: 查看进程详细信息到/proc/pid/statu
【Android 逆向】Android 系统文件分析 ( /proc/pid 进程号对应进程目录 | oom_adj | maps | smaps | mem | task | environ )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-19 6741
一、/proc/pid_num 进程号对应进程信息文件、 1、进程查询、 2、进程目录、 3、进程启动命令 / 包名、 4、oom_adj 进程优先级、 5、maps 进程内存使用概况、 6、smaps 进程内存使用详情、 7、mem 进程内存映射、 8、task 子线程、 9、environ 环境变量
Linux系统下/proc/meminfo详解
wzb56的资料库
10-27 9511
/proc/meminfo Explained "Free," "buffer," "swap," "dirty." What does it all mean? If you said, "something to do with the Summer of '68", you may need a primer on 'meminfo'. T
如何从外部读取局部变量
LKAK117的博客
06-12 634
如何从外部读取局部变量
proc/pid/fd
MyDriverC
12-17 2578
http://unix.stackexchange.com/questions/123602/portability-of-file-descriptor-links Linux Under Linux, /proc/PID/fd/NUM is a slightly magic symbolic link to the file that the process with
Linux /proc/pid目录下相应文件的信息说明和含义
aliaichidantong的博客
11-27 2554
Proc是一个虚拟文件系统,在Linux系统中它被挂载于/proc目录之上。Proc有多个功能 ,这其中包括用户可以通过它访问内核信息或用于排错,这其中一个非常有 用的功能,也是Linux变得更加特别的功能就是以文本流的形式来访问进程信息。很Linux命令(比如 ps、toPpstree等)都需要使用这个文件系统的信息。注意,本文就是向用户介绍一些访问这些信息的方法 。需要说明的是,本文所述的内容...
/proc/meminfo详解 = /nmon analysis --MEM
weixin_34410662的博客
07-20 115
memtotal hightotal lowtotal swaptotal memfree highfree lowfree swapfree memshared cached active bigfree buffers swapcached inactive   /proc/meminfo详细 (2010-10-13 04:10:2...
Linux 遍历读取/proc目录下的pid文件夹
guoguangwu的专栏
10-08 1117
#include <dirent.h> #include <string.h> #include <stdio.h> #include <stdlib.h> int main() { DIR *dp; struct dirent *entry; dp = opendir("/proc"); if (dp) { ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值