通过读取maps信息获取可执行文件头装载的地址

最新推荐文章于 2023-05-23 08:02:56 发布
最新推荐文章于 2023-05-23 08:02:56 发布
阅读量557 收藏
点赞数
分类专栏: linux linux安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bunner_/article/details/118034876
版权

1. 通过maps文件获取进程的文件头和段表

想要实现这一功能,根据书上所写,首先要找到代码段的首地址BaseVaddr,然后文件头就从这个地址开始,用ptrace从这个地址读一个sizeof(Elf64_Ehdr)大小的数据出来就可以了

但是,我在实现的时候遇到的一个问题,读出来的结果压根不对,其结果如下所示

$ sudo ./reconstruct 12127
BaseVaddr: 0x401000
ELF header:

magic:    f3 f 1e fa ff ff ff ff 48 8b 5 e9 ff ff ff ff 
 Type:                               c085
 Machine:                            274
 Version:                            0
 Entry point address:                c308c4
 Start of Program header:            2fe235ff
 Size of program header:             65535 (bytes)
 Number of Program headers:          61952
 Size of section header:             57833 (bytes)
 N
最低0.47元/天 解锁文章
bunner_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从操作系统角度看可执行文件装载执行
01-20
读取执行文件,并且建立虚拟空间与可执行文件的映射关系。  3.将cpu的指令寄存器设置为可执行文件的入口地址,启动运行。  1.创建虚拟地址空间  创建一个虚拟地址空间并不是真正地创建空间而是创建映射...
linux 内存查看方法:meminfo\maps\smaps\status 文件解析
11-11 1273
linux 下面查看内存有多种渠道,比如通过命令 ps ,top,free 等,比如通过/proc系统,一般需要比较详细和精确地知道整机内存/某个进程内存的使用情况,最好通过/proc 系统,下面介绍/proc系统下内存相关的几个文件maps 文件可以查看某个进程的代码段、栈区、堆区、动态库、内核区对应的虚拟地址,如果你还不了解linux进程的内存空间,可以参考。maps文件只能显示简单的分区,smap文件可以显示每个分区的更详细的内存占用数据。可以看到,linux下内存占用是一个比较复杂的概念,不能。
[内存管理] /proc/<pid>/maps 简要分析
老农民娃哈哈的博客
07-06 5740
https://www.cnblogs.com/arnoldlu/p/10272466.html
linux进程maps,了解Linux / proc / id / maps
weixin_31523833的博客
05-11 817
泛舟湖上清波郎朗每行/proc/$PID/maps描述进程或线程中连续虚拟内存的区域。每行都有以下字段:addresspermsoffsetdevinodepathname08048000-08056000r-xp0000000003:0c64593/usr/sbin/gpmaddress- 这是进程地址空间中区域的起始和结束地址permis...
linux /proc/pid/maps,linux下/proc/pid/maps和pmap命令详解
weixin_36076907的博客
05-15 770
一.示例代码:1.创建pmap.c文件:vi pmap.c12.输入如下内容:#inculde int main(){ char *str; str = (char *) malloc(15); while(1) { ; } return 0;}12345678910113.编译pmap.c文件:gcc pmap.c -o pmap14.运行pmap可执行文件./pmap1二.查看/proc/pi...
Linux程序coredump地址显示问号的调试方法 - 基于map文件
学一点IOT
04-22 4545
coredump即Linux系统上,应用程序崩溃时的运行栈快照,已便于定位崩溃问题 正确使用coredump需要几个条件: 第一,coredump本身的配置 设置coredump文件路径及名称 echo "$dir/core-%e-%p-%t" > /proc/sys/kernel/core_pattern 记录pid echo 1 > /proc/sys/kernel/core_uses_pid 设置coredump文件大小: ulimit -c unlimited
linux static变量地址输出至map文件
qq_34157534的博客
07-21 347
文转载自菜鸟编程的一篇公众号[转侵删] Linux 下 static 变量地址输出到 map 文件的方法。在 CMakeLists.txt 文件中设置编译参数: set(CMAKE_C_FLAGS “-fdata-sections”) set(CMAKE_CXX_FLAGS “-fdata-sections”) 转载:菜鸟编程 bug复盘 ...
易语言通过读取文件获取WIFI信息的代码
08-26
今天小编就为大家分享一篇关于易语言通过读取文件获取WIFI信息的代码,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
IIS7 设置读取、脚本和可执行文件执行权限的步骤
09-30
主要介绍了IIS7 设置读取、脚本和可执行文件执行权限的步骤,需要的朋友可以参考下
getFileHead.py(用于读取文件信息的python脚本)
09-23
用于读取文件信息的python脚本。
商业编程-源码-从可执行文件读取版本信息.zip
06-22
商业编程-源码-从可执行文件读取版本信息.zip
android 代码分析运行逻辑,Android免Root权限通过Hook系统函数修改程序运行时内存指令逻辑...
weixin_39969060的博客
05-25 397
一、知识回顾在之前一篇文章中,已经介绍了Android中如何修改内存指令改变方法执行逻辑,当时那篇文章的大致流程很简单,在程序运行起来,dex文件被加载到内存中之后,通过读取maps文件获取dex文件的内存其实地址,然后通过文件信息找到指定dex在内存中的数据结构,这里还需要详细了解Dex文件的格式,不了解的同学可以看这篇文章:Android中Dex文件格式解析,然后使用系统函数修改内存读写属...
【二进制分析】获取进程PID和maps信息
WangKL_learner
05-23 290
文件的第一行就是进程名称,可以通过查找这个信息实现。进程的maps信息会在进程被创建后,在。文件中存储了进程的各种信息,其中这个。路径下,每个数字都代表一个进程,路径下被创建,名称为。
linux下定位崩溃,backtrace + addr2line + maps
chenzhjlf的专栏
05-07 1999
一、导读 Backtrace中,一般都只有一些地址。但是利用addr2line这个工具,就可以找到对应的代码行。前提条件是可执行程序或者动态链接库编译的时候带-g选项。 具体来说,分两种情况: 如果关注的一行backtrace位于一个可执行文件中,那么直接addr2line -e <executable> <address> 如果关注的backtrace位于一个动态链接库中,那么麻烦一些,因为动态链接库的基地址不是固定的。这个时候,首先要把进程的memory ma
malloc 是如何分配内存的?
热门推荐
小林coding
04-07 1万+
大家好,我是小林。 很早之前写了一篇图解虚拟内存的文章:真棒!20 张图揭开内存管理的迷雾,瞬间豁然开朗 最近想多写一些内存管理的文章,这次我们就以 malloc 动态内存分配为切入点,我在文中也做了小实验: malloc 是如何分配内存的? malloc 分配的是物理内存吗? malloc(1) 会分配多大的内存? free 释放内存,会归还给操作系统吗? free() 函数只传入一个内存地址,为什么能知道要释放多大的内存? 发车! Linux 进程的内存分布长什么样? 在 Linux 操作系统中,
含大量图文解析及例程 | Linux下的ELF文件、链接、加载与库(中)
Peter的专栏
07-29 829
执行文件装载进程和装载的基本概念的介绍程序(可执行文件)和进程的区别程序是静态的概念,它就是躺在磁盘里的一个文件。进程是动态的概念,是动态运行起来的程序。现代操作系统如何装载执行文件给进程分配独立的虚拟地址空间将可执行文件映射到进程的虚拟地址空间(mmap)将CPU指令寄存器设置到程序的入口地址,开始执行执行文件装载的过程中实际上如我们所说的那样是映射的虚拟地址...
linux crash在动态库中,通过map查找crash位置
Hsnitx 的专栏
04-23 2480
linux进程crash时,通常我们可以通过gdb+core或addr2line解析出进程crash在哪一个函数中,有时crash在动态链接库中,解析出的core可能只有一个地址,而不能知道是在哪一个函数,这时可以尝试通过/proc/进程ID/maps的方法找到crash的位置。 一个动态库的实现: 文件sample_fun.h #ifndef _SAMPLE_FUN_H_ #d
游戏基础—Android平台进程模块信息获取
douluo998的博客
04-18 326
记得学习编程时的第一个helloworld程序:return 0;打印” Hello World”,使用的是printf函数。但是,我们并没有去实现printf函数的功能,而是由C语言标准库去实现,我们直接加载该库就可以了。像这样的例子,还有很多。在开发软件时,我们通常只实现软件的核心逻辑功能,而把基础的功能交给第三方完成,这样的好处是代码体积更小、占用更小的存储空间,而且更方便管理。如果我们想要知道软件加载了哪些库,就需要进行内存模块遍历。
查看进程加载的so
warcraftzhaochen的专栏
11-14 1万+
AIX 可以使用procldd命令查看。例如: # procldd 12345 Solaris 可以使用pldd命令查看。例如: # pldd 12345 Linux 楼上已经提到lsof了。 另外一个方法是查看 /proc/PID/maps 文件。例如: # cat /proc/12345/maps | awk '{print $6}' | grep '\.so' | so
执行文件和待读取文件
最新发布
12-07
执行文件是一种包含可由操作系统直接执行的程序代码的文件。它通常包含.text和.data两个段,其中.text段包含可执行代码,.data段包含全局和静态变量。而待读取文件则是指需要被读取或处理的文件。以下是两个例子: 1. 读取文本文件 ```python with open('example.txt', 'r') as f: data = f.read() print(data) ``` 这个例子中,我们打开了名为example.txt的文本文件,并使用read()方法读取文件中的所有内容,最后将其打印出来。 2. 读取二进制文件 ```python with open('example.bin', 'rb') as f: data = f.read() print(data) ``` 这个例子中,我们打开了名为example.bin的二进制文件,并使用read()方法读取文件中的所有内容,最后将其打印出来。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值