linux /proc/kcore

于 2023-09-08 15:47:23 发布
阅读量601 收藏
点赞数
文章标签: linux 内核安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SGchi/article/details/132760502
版权

文章目录

前言

/proc/kcore 是 vmlinux在内存中的动态映像,可以使用gdb,objdump,crash等工具对其进行调试,从而获取当前系统内存中的数据。

一、简介

  1. Linux /proc/kcore详解(一)

二、读取/proc/kcore数据

下面我们将介绍如何从/proc/kcore中找到想要的数据。
首先和大多数ELF文件一样,/proc/kcore中也包含了ELF Header, Program Headers等信息。
使用readelf -l查看程序头信息,

root@A029129-PC:~# readelf -l /proc/kcore

Elf file type is CORE (Core file)
Entry point 0x0
There are 10 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  NOTE           0x0000000000000270 0x0000000000000000 0x0000000000000000
                 0x0000000000001d24 0x0000000000000000         0x0
  LOAD           0x00007fff81002000 0xffffffff81000000 0x0000000001000000
                 0x0000000002a2c000 0x0000000002a2c000  RWE    0x1000
  LOAD           0x0000490000002000 0xffffc90000000000 0xffffffffffffffff
                 0x00001fffffffffff 0x00001fffffffffff  RWE    0x1000
  LOAD           0x00007fffc0002000 0xffffffffc0000000 0xffffffffffffffff
                 0x000000003f000000 0x000000003f000000  RWE    0x1000
  LOAD           0x0000088000003000 0xffff888000001000 0x0000000000001000
                 0x000000000009f000 0x000000000009f000  RWE    0x1000
  LOAD           0x00006a0000002000 0xffffea0000000000 0xffffffffffffffff
                 0x0000000000003000 0x0000000000003000  RWE    0x1000
  LOAD           0x0000088000202000 0xffff888000200000 0x0000000000200000
                 0x00000000f7e00000 0x00000000f7e00000  RWE    0x1000
  LOAD           0x00006a000000a000 0xffffea0000008000 0xffffffffffffffff
                 0x0000000003df8000 0x0000000003df8000  RWE    0x1000
  LOAD           0x0000088100002000 0xffff888100000000 0x0000000100000000
                 0x0000000105000000 0x0000000105000000  RWE    0x1000
  LOAD           0x00006a0004002000 0xffffea0004000000 0xffffffffffffffff
                 0x0000000004140000 0x0000000004140000  RWE    0x1000

通过程序头信息我们可以得到VirtAddr和Offset之间的对应关系。
计算出符号在对应程序段之间的偏移,加上该程序段在文件中的偏移即可得到该符号在文件中的地址。
现在假设我们想要查看ext4_readdir在内存中的数据,

  1. 首先我们通过/proc/kallsyms查看ext4_readdir在内存中的地址
root@A029129-PC:~# cat /proc/kallsyms | grep ext4_readdir
ffffffff813bd750 t ext4_readdir
  1. 计算符号在程序段中的偏移:vOffset = ffffffff813bd750 - 0xffffffff81000000(VirtAddr)
  2. 计算符号在文件中的地址:addr = vOffset + 0x00007fff81002000(FileSiz)

读取addr数据,即为ext4_readdir在内存中的真实数据,该数据可以判断系统内存中是否存在攻击。

SGchi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过Linux系统的内核观察/proc/pid/statm
07-09
本文介绍了通过Linux系统的内核观察/proc/pid/statm,文中解释了输出内容的参数,通过内核代码,我们可以更加清楚的了解proc的机制。
kcore_dump:从用户空间创建物理内存转储的简单工具
05-30
一个简单的linux内存获取工具 kcore_dump 是一个简单的工具,用于从用户空间创建正在运行的 x86-64 Linux 系统的物理内存转储。 它通过从 /proc/kcore 中提取相关内存范围来实现。 转储以写入磁盘。 有关详细信息,请参阅。 用法 建造 git clone https://github.com/schlafwandler/kcore_dump.git cd kcore_dump/ gcc -o kcore_dump kcore_dump.c 用 sudo ./kcore_dump <outfile> 项目状态 编写此工具是为了演示从 /proc/kcore 提取内存转储的过程。 它仅经过了最少的测试(如:在我的机器上工作),因此不应被视为即用型取证工具。 让我重复一遍: 此工具尚未进行任何测试! 需要您自担风险使用它!
Linux /proc/kcore详解(二)
小立仔
06-09 2054
/proc/kcore文件源码解析
关于/proc/kcore 128T内存爆满问题的解决
weixin_34383618的博客
06-18 4730
为什么80%的码农都做不了架构师?>>> ...
关于/proc/kcore文件
weixin_33894992的博客
12-26 2276
关于/proc/kcore文件:首先看来自:http://unixguide.net/linux/faq/04.16.shtml的原贴:大意就是 /proc目录下的文件不真实存在、不占用实际存储设备空间(这个毋庸置疑),/proc/kcore的大小等于内存的大小!有人也觉得此文的件的大小是真实物理内存大小,看帖看我的真实机子:内存大小2g,与文件大小不符!再看贴:结...
Linux的内存映像导出接口—kcore
Netfilter
02-09 6381
/proc/kcore文件提供了整个机器的内存映像,和vmcore不同的是,它提供了一个运行时的内存映像,为此和vmcore一样,内核提供了一个类似的但是稍显简单的kcore_list结构体,我们比较一下它们: struct kcore_list {          struct kcore_list *next;          unsigned long addr;
Linux /proc/kcore详解(一)
小立仔
06-07 1万+
linux /proc/kcore简介
/proc下的kcore文件过大,能变小吗?
热门推荐
驽马十驾 才定不舍
11-11 3万+
iamlaosong文 今天服务器很慢,所以我在机器上搜大于800M的文件: find . -type f -size +800M 结果搜出了一个“大”文件:/proc/kcore,有18个G,赶紧找文档看,似乎这个文件/proc/kcore的大小就是机器的物理内存,就是系统内存的一个map,并不真正占物理内存那么大的硬盘空间。下面是查到的关于该文件的描述: /proc/kcore is
Linux生成core文件相关配置,core文件调试示例
最新发布
cesheng3410的博客
04-12 3957
Linux生成core文件相关配置,core文件调试示例
驱动篇:设备驱动的调试(三)(摘录)
zytgg123456的博客
11-27 251
驱动篇:设备驱动的调试(三)(摘录) 监视工具 在 Linux 系统中,strace 是一种相当有效的跟踪工具,它的主要特点是可以被用来监视系统调用。我们不仅可以用 strace 调试一个新开始的程序,也可以调试一个已经在运行的程序(这意味着把 strace 绑定到一个已有的 PID 上) 。对于第 6 章的globalmem 字符设备文件,以 strace 方式运行如代码清单 22.9 所示的用户空间应用程序 globalmem_test 输出的每一行对应一次 Linux 系统调用,其格式为“左边=右边”
linux /proc 文件 系统监控器 GTK
02-24
通过读取/proc文件,获得系统信息 监控系统状态,显示系统中若干部件的使用情况。 用GTK库的图形界面显示系统监控状态。
linux 操作系统 GTK /proc文件 系统监视器
02-24
linux下读取/proc获得系统信息 监控系统状态,显示系统中若干部件的使用情况。 用GTK库实现图形界面显示系统监控状态
Qt实现的基于/procLinux资源管理器
01-08
基于Ubuntu下/proc虚拟文件系统实现的类似Windows的资源管理器,文章介绍:https://blog.csdn.net/z18223345669/article/details/122377005;内含项目文件和设计报告
读取/proc/cmdline 文件中的标志位信息
10-09
读取/proc/cmdline 文件中的标志位信息。。
/proc/kcore失效,调试其文件系统相关模块,使重新正常工作
weixin_30780221的博客
05-23 354
为分析内核,在有限的机器上用虚拟机装了CentOS.6.9.i386.minimal,重新编译了3.19.8内核并克隆。当使用/proc/kcore进行内核动态映像调试时,发现与kgdb远程调试端读到的内存数据不一样。运行内核的测试机上的/proc/kcore里面的数据大多都为0,几乎没有一处用途。不管我进行多少次core-file去刷新/proc/kcore,结果也是无功而返。开始以为gdb与新...
kcore 文件
jason的笔记
12-05 3825
/proc/kcore 提供了整个机器的内存镜像,这样可以通过gdb vmlinux /proc/kcore 来debug kernel. kcore的实现在fs/proc/kcore.c中。 为什么说kcore代表整个机器的内存镜像呀,这点从kcore的初始化函数就可以看到 static int __init proc_kcore_init(void) { #在proc下创建kcore文件 ...
LinuxCORE文件简述
peakerli的专栏
06-11 899
LinuxCORE文件简述  在一个程序崩溃时,linux一般会在您的主目录下转储一个core文件core文件仅仅是一个内存映象(同时加上调试信息),主要是用来调试的。如果您根本就不想去调试它,只需要简单地用以下命令将它删除即可:    $ rm core    如果不做任何处理,这个core文件会被下一次生成的core文件覆盖。    您也可以用以下命令来阻止系统生成core文件。    $
ubuntu备份与恢复
This is bill的专属博客
07-25 1万+
在 使用Ubuntu之前,相信很多人都有过使用Windows系统的经历。如果你备份过Windows系统,那么你一定记忆犹新:首先需要找到一个备份工 具(通常都是私有软件),然后重启电脑进入备份工具提供的软件环境,在这里备份或者恢复Windows系统。Norton Ghost是备份Windows系统时经常使用的备份工具。 在备份Windows系统的时候你可能想过,我能不能把整个C盘都放到一个Z
gdb 调试ko驱动 转载
weixin_30487317的博客
09-20 1137
GDB基本用法 GDB是GNU开源组织发布的一项强大的UNIX下的程序调试工具,GDB主要完成下面4个方面的功能 1.启动程序,可以按照工程师自定义的要求运行程序 2.让被调试的程序在工程师的指定端点处停住,断点可以是条件表达式 3.当程序被停止时,可以检查此程序中所发生的事,并追踪上文 4.动态地改变程序的执行环境 不管是调试Linux内核空间的驱动程序还是调试用户空间的应...
linux /proc/kcore 文件大小达到TB
02-06
/proc/kcore 文件Linux 系统中是一个虚拟文件,其大小等于内存大小。如果内存大小达到 TB 级别,那么 /proc/kcore 文件的大小也将达到 TB 级别。这通常只会在大型服务器或超级计算机上出现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值