将运行Linux进程中的内存地址范围转换为目标文件中的符号?

这是文件/ proc / self / smaps的片段:

00af8000-00b14000 r-xp 00000000 fd:00 16417      /lib/ld-2.8.so
Size:                112 kB
Rss:                  88 kB
Pss:                   1 kB
Shared_Clean:         88 kB
Shared_Dirty:          0 kB
Private_Clean:         0 kB
Private_Dirty:         0 kB
Referenced:           88 kB
Swap:                  0 kB
00b14000-00b15000 r--p 0001c000 fd:00 16417      /lib/ld-2.8.so
Size:                  4 kB
Rss:                   4 kB
Pss:                   4 kB
Shared_Clean:          0 kB
Shared_Dirty:          0 kB
Private_Clean:         0 kB
Private_Dirty:         4 kB
Referenced:            4 kB
Swap:                  0 kB

它表明这个进程(self)链接到/lib/ld-2.8.so和两个(中的很多)字节范围映射到内存中.

第一个88kb(22个4kb页面)的范围是共享和干净的,这是它没有被写入.这可能是代码.

第二个4kb范围(单页)不是共享的,它是脏的 – 进程已写入它,因为它是从磁盘上的文件映射的内存.这可能是数据.

但那段记忆里有什么?

如何将内存范围00b14000-00b15000转换为有用的信息,例如声明大型静态结构的文件的行号?

该技术需要考虑prelinkingaddress space randomization,例如execshieldseparate debugging symbols.

(动机是识别流行的库,这些库也会创建脏内存并修复它们,例如通过声明结构const).

解决方法:

smaps的格式是:

[BOTTOM] – [TOP] [PERM] [FILE OFFSET]

b80e9000-b80ea000 rw-p 0001b000 08:05 605294 /lib/ld-2.8.90.so

因此文件偏移量为0x0001b000的文件’/lib/ld-2.8.90.so’的实际内容映射到该程序内存中的0xb80e9000.

要提取映射地址的行号或C代码,需要将其与可执行文件或库文件的ELF部分匹配,然后提取GDB符号(如果所述可执行文件或库仍具有它们).

GDB文件格式在http://sourceware.org/gdb/current/onlinedocs/gdbint_7.html#SEC60处被记录(表面上)

上一篇:EF CORE学习笔记(一) 配置Dbcontext


下一篇:pwntools出现的一些问题