读取进程中某块内存区域的内容

最新推荐文章于 2023-09-25 09:00:58 发布
最新推荐文章于 2023-09-25 09:00:58 发布
阅读量779 收藏 1
点赞数
分类专栏: 学习笔记 Linux使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/choumin/article/details/111311337
版权

以下python 脚本可以读取一个进程的某个内存区域的内容:

#!/usr/bin/env python

import re
import sys

def dump_memory_region_by_pid(pid, region, of):
    print "PID = %d, find region ..." % pid
    with open("/proc/%d/maps" % pid, 'r') as maps_file:
        with open("/proc/%d/mem" % pid, 'r') as mem_file:
            for line in maps_file.readlines():  # for each mapped region
                m = re.match(r'([0-9A-Fa-f]+)-([0-9A-Fa-f]+) ([-rw][-rw])(.*)\[(.*)\]', line)
                if m == None:
                    continue

                if m.group(5) == region:
                    print "find region " + m.group(5)

                    start = int(m.group(1), 16)
                    end = int(m.group(2), 16)
                    if start > 0xFFFFFFFFFFFF:
                        print "start too big: " + str(start) + ", skip"
                        continue
                    print "start = " + str(start) + ", end = " + str(end)

                    mem_file.seek(start)  # seek to region start
                    chunk = mem_file.read(end - start)  # read region contents

                    with open(of, 'w') as of_file:
                        of_file.write(chunk)
                    print "dumped " + region + " to file " + of

                    break
                else:
                    print "skip region " + m.group(5)

if __name__ == '__main__':
    try:
        assert len(sys.argv) == 2, "Provide exactly 1 PID (process ID)"
        pid = int(sys.argv[1])
        dump_memory_region_by_pid(pid, "vdso", "vdso.dd")

    except (AssertionError, ValueError) as e:
        print "Please provide 1 PID as a commandline argument."
        print "You entered: %s" % ' '.join(sys.argv)
        raise e

其实通过以下命令也可以手动来dump,但我在使用的过程中遇到dd报skip的错。

1)查看内存区域的起始位置和长度,从下面的输出可以知道xxx区域的起始位置为0xffffffc000,长度是0x4000

$ cat /proc/xxx/maps |grep xxxx
ffffffc000-10000000000 r-xp 00000000 00:00 0 [xxxx]

2)使用dd读取内存区域的内容,其中的skip就是该内存区域的起始位置,count为长度,都是10进制

$ dd if=/proc/xxx/mem of=xxx.dd bs=1 skip=1099511611392 count=16384

 

 

参考资料

1 https://stackoverflow.com/questions/12977179/reading-living-process-memory-without-interrupting-it

choumin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 进程最大虚拟内存,在Linux访问另一个进程虚拟内存(调试)
weixin_39878247的博客
04-28 296
小编典典gdb如何在Linux上访问另一个进程虚拟内存?全部通过/ proc完成吗?在Linux上读取内存 :1)如字节数来读取比更少3 * sizeof(long)或文件系统/proc不可用或从读取/proc/PID/mem不成功则ptrace使用具有PTRACE_PEEKTEXT读取数据。这些是函数的这些条件linux_proc_xfer_partial():/* Don't bother ...
android trap攻防
随笔日志
03-13 2837
android trap攻防                                                                      图/文 h_one 0x01 反编译出错 1.插入无效指令是部分逆向工具崩溃 原理:大部分逆向工具都是线性读取字节码并解析, 如dex2jar,baksmali,apktool等,当遇到无效字节码时,就会引起反编译工具
使用/proc/${pid}/mem访问其他进程的内存变量
一头雾水的Blog
07-24 1万+
在Linux/Unix内存采用保护模式,每个进程都有独立的内存地址。可以访问/proc/${pid}/maps看到。 一、进程的内存结构认识: [root@dev 28515]# pwd /proc/28515 [root@dev 28515]# cat maps 003ee000-00407000 r-xp 00000000
游戏作弊-内存读写原理
热门推荐
qq_38944721的博客
08-02 1万+
第一课我们浅解安卓ROOT手机如何修改游戏内存 在当前流行的FPS,MOBA游戏,我们几乎都能看到游戏外挂的身影,在FPS游戏,可见变态功能层出不穷,例如加速,锁血 遁地,飞天,路飞,无后座,范围伤害等…,然而在MOBA游戏,最常见的只有透视和自瞄。 切入正题,如何操作内存?在安卓,我们可直接操作/proc/${pid}/mem 使用C语言pread函数 ssize_t pread(int fd, void *buf, size_t count, off_t offset); 简单解释下这个函数
OJ
mikon_lee的专栏
05-14 662
最近闲的无聊,就做起OJ ,通过多进程。 架构为:服务器开绑定一个ip,接收代码。(直接开了一个很大的buffer接收一次,有点敷衍)。 每接到一个请求,在一个函数解决。 此函数的任务先用system()函数编译该程序。如果编译成功fork()一个子进程。通过 if(pid>0) { FILE *f_time; FILE *f_mem; sprintf(path_t
7.7 实现进程内存读写
最新发布
CSDN
09-25 5021
内存进程读写可以让我们访问其他进程的内存空间并读取或修改其的数据。这种技术通常用于各种调试工具、进程监控工具和反作弊系统等场景。在`Windows`系统,内存进程读写可以通过一些`API`函数来实现,如`OpenProcess`、`ReadProcessMemory`和`WriteProcessMemory`等。这些函数提供了一种通用的方式来访问其他进程的内存,并且可以用来读取或写入不同类型的数据,例如整数、字节集、浮点数等。
如何实现C++读写进程内存值
Meta.Qing的博客
08-02 6681
ReadProcessMemory是一个内存操作函数,其作用为根据进程句柄读入该进程的某个内存空间;由布尔声明可以看出,当函数读取成功时返回1,失败则返回0,具体参数含义将在下文指出。WriteProcessMemory是计算机语言的一种函数。此函数能写入某一进程的内存区域(直接写入会出AccessViolation错误),故需此函数入口区必须可以访问,否则操作将失败。.........
修改任意Linux进程地址空间实施代码注入
Netfilter
09-16 6365
提到进程注入,常规的方案就是使用ptrace,其POKEDATA,POKETEXT命令选项单从名字上就知道是干什么的,这里不再赘述。 然而ptrace是个系统化的东西,太复杂,不适合玩手艺,有没有什么适合手工玩的东西呢?当然有! 正如读写/dev/mem可以手工完成crash+gdb的功能hack内核一样,每一个用户态进程也有一个mem文件,即 /proc/$pid/mem 。 我不敢保证每一个系统该文件都可写,但一旦它可写就好玩了。 /proc/$pid/mem文件抽象的一个进程的地址空间,直接写该文
[ Linux ] 进程地址空间
CSDN博客
10-12 1238
进程地址空间Linux
Android 4.4 meminfo 实现分析
THINK . DESIGN . CODE
03-24 1万+
Android提供了一个名为meminfo的小工具帮助应用分析自身的内存占用,并且在4.4还新增了memtrack HAL模块,SoC厂商通过实现memtrack模块,让meminfo可以获取GPU相关的一些内存分配状况。了解meminfo的实现,对我们更深入了解应用的内存占用状况是很有帮助的。而这篇文章的目的就是分析Android 4.4 meminfo的内部实现源码,让开发者通过这些信息可以更了解自己应用的内存占用状况。
Linux-02
weixin_30954607的博客
09-04 209
vimtutorvimtutor (小写的)进入学习教程,这是英文版本的vimtutor zh_CN这个进入是文版本的:set nu (冒号 set nu)显示行号hjkl 光标左下上右移动,w下个单词,b上个单词:q! (冒号q感叹号)不保存退出 x 删除指定位置字母小写i进入编辑,esc退出,从光标当前位置开始添加 大写I行首a进入编辑,esc退出,从光标右边开始添加,大写A行尾控...
【Android 逆向】代码调试器开发 ( ptrace 函数 | 读取进程内存数据 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-30 1748
一、读取进程内存数据、 二、读取流程、 三、完整代码
python从内存读取数据,python-从特定内存地址读取数据/对对象的引用
weixin_42366533的博客
03-26 2556
如何读取(并放入新的变量)存储在特定内存地址的数据?例如,我知道: >我希望将数据存储在新变量的0xabd2b00处,以便我可以工作和使用对象的所有功能.假设我无权访问创建此对象的原始变量.更新:以上问题已得到回答,所以我更新了我的问题.假设我有两个python文件:file1.py和file2.pyFile1.py:.... rest of the code ....class ne...
linux用top和ps命令查看指定进程的内存
weixin_56919585的博客
01-01 1155
查看一个正在运行的程序的内存使用情况
修改 login的串口重定向
weixin_33895657的博客
03-26 156
 1 在console-telnet 使用vi工具编辑 /etc/inittab 文件  vi /etc/inittab (回车)2 按 i 进入编辑模式;3 将文件的ttyS0  改为 ttyS34 按esc退出编辑模式;5 按:wq! 保存修改;6 reboot 重新启动;...
通过ReadProcessMemory读取进程内存
zz_strive_2012的专栏
11-08 8629
修改一个程序的过程如下:1、获得进程的句柄 2、以一定的权限打开进程 3、调用ReadProcessMemory读取内存,WriteProcessMemory修改内存,这也是内存补丁的实现过程。下面贴出的是调用ReadProcessMemory的例程 #include<windows.h> #include<tlhelp32.h> BOOLCALLBACKEnum...
python异常处理_Python下的异常处理及错误日志记录
weixin_39646970的博客
10-14 714
Python使用被称为异常的特殊对象来表达执行期间发现的错误。当这些异常没有被捕获并处理时,程序将停止,并向控制台打印错误信息。这个错误信息通常是一个traceback,包含了异常的类型,以及诱发这个异常的代码位置及调用栈细节。本文节选自作者的《Python编程基础及应用》视频教程。Python编程基础及应用_哔哩哔哩 (゜-゜)つロ 干杯~-bilibili​www.bilibili.com1....
Python(2)
xiaohang20103的专栏
05-27 488
sys模块 sys模块包含系统对应的功能。我们已经学习了sys.argv列表,它包含命令行参数。 在Python程序运行的时候,即不是在交互模式下,在sys.argv列表总是至少有一个项目。它就是当前运行的程序名称,作为sys.argv[0](由于Python从0开始计数)。其他的命令行参数在这个项目之后。 为了使这个程序对用户更加友好,我们提供了一些用户可以指定的选项来了解更多程序的内容
读取其他进程内存数据
zhoutianyou的专栏
05-28 9773
1. 读取进程内存数据   读取其他进程内存数据,需要用到的windows API函数: BOOL ReadProcessMemory( HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesRead ); 参数比较简
在子进程怎么读取共享内存
05-25
在子进程读取共享内存,需要先使用`shmat()`函数将共享内存区域映射到子进程的地址空间,然后再进行读取操作。 具体步骤如下: 1. 使用`shmget()`函数获取共享内存标识符。 2. 使用`shmat()`函数将共享内存区域映射到子进程的地址空间,并返回指向共享内存区域的指针。 3. 读取共享内存区域的数据。 4. 使用`shmdt()`函数将共享内存区域从子进程的地址空间解除映射。 下面是一个示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <sys/ipc.h> #include <sys/shm.h> #define SHM_SIZE 100 int main() { int shmid; char *shm_ptr; // 获取共享内存标识符 if ((shmid = shmget(IPC_PRIVATE, SHM_SIZE, IPC_CREAT | 0666)) < 0) { perror("shmget"); exit(1); } // 映射共享内存区域到子进程的地址空间 if ((shm_ptr = shmat(shmid, NULL, 0)) == (char *) -1) { perror("shmat"); exit(1); } // 读取共享内存区域的数据 printf("Shared memory content: %s\n", shm_ptr); // 解除共享内存区域的映射 if (shmdt(shm_ptr) == -1) { perror("shmdt"); exit(1); } // 删除共享内存区域 if (shmctl(shmid, IPC_RMID, NULL) == -1) { perror("shmctl"); exit(1); } return 0; } ``` 在示例代码,我们首先使用`shmget()`函数获取了一个共享内存标识符,然后使用`shmat()`函数将共享内存区域映射到子进程的地址空间,接着读取了共享内存区域的数据,最后使用`shmdt()`函数将共享内存区域从子进程的地址空间解除映射,以及使用`shmctl()`函数删除共享内存区域
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值