Nano Code扩展之获取进程task_struct结构体的信息

最新推荐文章于 2023-04-08 21:06:37 发布
最新推荐文章于 2023-04-08 21:06:37 发布
阅读量385 收藏
点赞数
分类专栏: GDK7从入门到入狱 文章标签: 链表 linux 调试器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/birdring_0xx0/article/details/119959079
版权
本文介绍了如何在Linux中通过调试器获取进程的task_struct结构体信息,包括利用链表结构遍历任务,使用Nano Code或WinDBG的GetExpressionEx、GetFieldValue、GetFieldOffset等API获取结构体字段数据。
摘要由CSDN通过智能技术生成

基本概念的说明

        在Linux中task_struct结构体内存储着进程的信息;在Nano Code或WinDBG中可以通过[dt task_struct]命令查看task_struct结构体中存储的信息,当然也可以通过[dt task_struct 地址]查看进程对应的task_struct结构体内存储的信息。

        list_head结构体是Linux中提供的双向循环链表;list_head结构体的定义在下方能看到。

struct list_head {

    struct list_head *next, *prev;

};

       进程的task_struct结构体都是由sched.h文件中的定义task_struct结构体虚拟出来的。

       如何通过一个进程的task_struct结构体找到另一个进程的task_struct结构体?这显然需要借助task_strcut结构体中的相关字段,在task_strcut结构体内的tasks字段完成了不同进程task_struct结构体间的相互链接。

        tasks字段通过list_head结构体所实现的双向循环链表使得进程task_struct结构体的地址一个接着一个的串联起来,最头上的是无疑是init进程的task_struct结构体init_task,在之后每新创建一个进程就会先虚拟出该进程的task_struct结构体,然后再把该task_struct结构体对应的地址插入链表当中,只要我们进行正向/反向遍历即可找出所有进程的task_struct结构体的地址,并根据这个地址获取相关信息。

杂项问题

       在给Nano Code编写插件,并且当我们需要从被调试系统中获取信息的话,需要使用到wdbgExts.h中定义的API,这些API的定义及说明可以在微软的官方文档中看到;关于符号相关的API的定义及说明,可以通过下方链接直达微软的官方文档页面。

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/wdbgexts-symbols

       以Linux系统为例,如果我们需要获取task_struct结构体中的信息,那么是要向在Linux下编程一样导入相关的头文件吗,显然不能,如果我们这么样去导入的话,IDE会告诉你,你缺少一个又一个的头文件。这个过程会相当的繁琐且复杂(毕竟你还有找到它们),最重要的是,你还不一定能成功…………;因此我们应该去调用合适的API去解决问题。

GetExpressionEx

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PIC-struct.rar_pic struct_pic的struct_单片机结构体
09-21
在标题“PIC-struct.rar_pic struct_pic的struct_单片机结构体”中,我们可以推测内容可能涉及以下几个关键点: 1. **PIC单片机**:PIC单片机是由Microchip Technology公司生产的一系列高性能、低功耗的微控制器,...
Nanocode的插件开发(一)
qq_38843883的博客
01-27 1365
什么是Nanocode Nanocode是一款非常好用的调试器,界面友好且功(随)能(意)丰(调)富(教),前几天我用Nanocode调试DLL装载函数时想着能不能整一个自动显示地址链表的功能,于是就动手了,以下是全过程: 1.安装pykd Nanocode支持python并兼容windbg,我们可以用py写这个小插件 先pip3 install pykd,然后把https://githomelab.ru/pykd/pykd-ext的release中x64下的pykd.dll拷贝到Nonocode/exts
GDK7+NanoCode调试学习系列5--调试Ubuntu应用程序
henly1217的专栏
08-21 539
前几篇都是讲述了使用GDK7和NanoCode来调试内核的方法,请参考“GDK7+NanoCode调试学习系列”(https://blog.csdn.net/henly1217/category_10244945.html) 本篇继续学习: -使用NanoCode来远程调试目标机GDK7的应用程序 准备工作: 1.目标价GDK7需要使用新版本的ndsrv模块,请至http://advdbg.org/gdk/resource.aspx下载新版本,安装到目标机; 2.主机NanoC...
Nano Code扩展(一)-简单说明
birdring_0xx0的博客
08-05 488
Nano Code扩展说明 扩展也可以被称为是插件,通过DLL以导出函数的形式供调试器加载扩展扩展用于实现用户自定义的功能,便于用户基于自己的调试需求去扩展调试功能。 无论是Nano Code还是WinDBG都拥有着丰富的扩展命令;但即使是这样,也难免也会有一些不足之处,让用户在调试过程中觉得现有的命令并不大够用,扩展也因此而出现。 Nano Code是一款功能强大的调试器,它兼容WinDBG;因此在WinDBG上可以使用的扩展Nano Code上也可以照常使用。 在调试器中以!开...
内核中查看task_struct结构体教程
melody_1016的博客
12-03 2620
linux下,路径:/usr/src/kernels/3.10.0-327.el7.x86_64(这个是自己kernels目录下的)/include/linux/sched.h 用管道命令查找: [lk@localhost linux]$ grep -n task_struct sched.h  结果显示出来很多,不好找 直接打开sched.h文件 [lk@localhost...
Linux进程管理之通过pid号找到struct task_struct
小立仔
11-03 2580
Linux 内核态通过pid号找到struct task_struct的简介
linux-task_struct
11-05
深入解析task_struct 结构体的几个字段
task_struct在内核态堆栈的位置
09-09
例如,在处理中断或系统调用时,内核需要能够快速访问到`task_struct`来获取当前任务的状态信息。此外,在多处理器环境下,为了提高性能,Linux内核会为每个CPU维护一个`current_task`指针,以便于快速定位到当前CPU...
file_to_struct.rar_结构体
09-23
在C语言中,结构体struct)是一种复合数据类型,它允许我们将不同类型的数据组合到一个单一的实体中。本示例“file_to_struct.rar_结构体”探讨了如何将结构体存储到文件中,然后从文件中读取,这是在进行数据持久...
task_struct 数据结构1
08-08
task_struct 数据结构是 Linux 操作系统中每个进程的核心数据结构,负责存储进程的所有信息。它是进程控制的唯一手段,也是最有效的手段。了解 task_struct 结构是理解 Linux 任务调度的关键。 task_struct 结构...
GDK7+NanoCode调试学习系列1--环境搭建
henly1217的专栏
07-29 2846
本系列学习主要以GDK7为目标机,以NanoCode为调试工具来学习调试linux,windows内核,以及应用程序。 介绍 从高端调试(http://advdbg.org/gdk/)注册并入手GDK7机器,从NanoCode官网(https://www.nanocode.cn/#/download)下载了NanoCode。 调试主机使用win10,通过USB3线连接到目标机GDK7,然后主机使用NanoCode工具来调试目标GDK7。 目标GDK7预装了Ubuntu和Win10(未激活),可以分别
Nano内网穿透部署Code-Server
xiangfengbingzhi的博客
12-09 1588
按照文档中的步骤进行配置即可使用域名访问 Nano 上的 Code-Server,使用宝塔面板理论上可以简化 Code-Server 网站的搭建过程,但本人在使用时发现在 Nano 重启后 Code-Server 的端口会被宝塔占用,目前没有找到解决方法。进入 SakuraFrp 选择节点创建HTTP隧道,隧道名和备注可自己填写,本地 IP 填写 127.0.0.1 ,端口填写之前在 Code-Server 配置文件中配置的端口,在绑定域名处填入自己的域名,HTTP 用户名和密码可留空。
获取当前进程task_struct指针------current宏
qq_33921804的博客
12-04 2919
转载自:http://blog.sina.com.cn/s/blog_6b610d1401012hcf.html Linux内核怎样获取进程任务结构   今天Linux是一个一体化内核(monolithic kernel)系统。设备驱动程序可以完全访问硬件。Linux内的设备驱动程序可以方便地以模块化(modularize)的形式设置,并在系统运行期间可直接装载或卸载。我
Linux内核中获取虚拟机KVM结构体信息以及vCPU个数
ibless的博客
01-14 1037
Linux内核中获取虚拟机KVM信息以及vCPU个数1 问题2 解决方案2.1 过程实现2.2 代码实现2.3 原理分析 1 问题 目的: 想要在内核中获取一个虚拟机进程配置的vCPU个数。 已知的信息: 虚拟机进程进程结构体(即task_struct结构体)。 2 解决方案 2.1 过程实现 首先在进程task_struct结构体中找到struct files_struct,里面记录了所有打开的文件。 遍历files_struct中所有文件,找到一个路径为“anon_inode:kvm-vm”的st
linux通过进程虚拟地址找到物理地址
YLSnowy的博客
11-04 910
通过进程id找到对应的task_struct,就得到了cr3中存储着的页表首地址,然后同ing过页表找到最后页的物理地址 static pte_t *get_pte(struct task_struct *task, unsigned long address) { pgd_t* pgd; p4d_t* p4d; pud_t* pud; pmd_t* pmd; pte_t* pte; struct mm_struct *mm = task->mm; // mm里面存储了最高级页
Linux虚拟机--进程
樱桃气质丸的博客
01-15 6103
进程概念 在LINUX中,每个执行的程序都称为一个进程。每一个进程都分配一个ID号(pid,进程号)。 每个进程都可能以两种方式存在的。前台与后台,所谓前台进程就是用户目前的屏幕上可以进行操作的。后台进程则是实际在操作,但由于屏幕上无法看到的进程,通常使用后台方式执行。 一般系统的服务都是以后台进程的方式存在,而且都会常驻在系统中。直到关机才才结束。 显示系统执行进程 基本介绍 ps命令是用来查看目前系统中,有哪些正在执行,以及它们执行的状况。可以不加任何参数. 带参数: ...
task_struct
sunshineywz的博客
10-27 1442
1、进程的基本信息 1.1 标识一个进程——PID 每个进程都必须拥有它自己的进程描述符; 因此,即使共享内核大部分数据结构的轻量级进程(后面会提到), 也有它们自己的task_struct结构。 进程进程描述符之间有非常严格的一一对应关系,所以我们可以方便地使用32位进程描述符地址标识进程进程描述符指针(task_struct*)指向这些地址。内核对进程的大部份引用都是通过进程描述符指针...
Linux内核:进程管理——进程数据结构
m0_74282605的博客
04-08 560
Linux内核中使用 task_struct 结构来表示一个进程,这个结构体保存了进程的所有信息,所以它非常庞大,在讲解Linux内核的进程管理,我们有必要先分析这个 task_struct 中的各项成员。在进程从用户态变成内核态的时候,内核需要将用户态运行时寄存器的值保存下来,然后修改寄存器,当内核代码执行完之后,又将寄存器的值恢复,这些寄存器的值保存在哪里呢?Linux中发生系统调用时,会从用户态变成内核态,然后执行内核代码,当内核代码执行完之后,又会回到用户态执行用户代码。
编写内核模块,读取所有进程task_struct结构信息
帮助别人等于帮助自己 ——MXi4oyu
03-05 1083
内核模块代码如下,hello.c #include <linux/kernel.h> #include <linux/module.h> #include <linux/proc_fs.h> #include<linux/sched/signal.h> #include <linux/init.h> static int __init...
struct task_struct结构体路径
最新发布
07-28
task_struct结构体的定义路径在 Linux 内核源代码中可以找到,具体路径取决于你所使用的内核版本和源代码的组织结构。 在常见的 Linux 内核版本中,task_struct结构体的定义通常位于`include/linux/sched.h`文件中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值