每次将 linux 上的图像加载到内存中时,我都会尝试跟踪信息。理想情况下,我需要
- 进程的pid,
- 事件的时间戳,
- 加载图像的路径,
- 以及加载图像的内存位置。
我已经设法使用open_execlinux 上可用的跟踪点获取 pid、时间戳和路径,但是在跟踪加载图像的内存位置时遇到问题。有什么建议(跟踪点、标记、系统调用等)我可以如何跟踪这个?
问问题
909 次
1 回答
1
一个想法可能是跟踪所有 mmap(2) 调用,其方式类似于 strace(1) 跟踪调用的方式(srace 使用 ptrace(2) API)。strace (some command) 2> FOO您可以通过检查使用然后 grep看到的 strace 来尝试自己mmap FOO:
mmap2(NULL, 40654, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb80e5000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb80e4000
mmap2(0x724000, 37456, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x724000
mmap2(0x72c000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x7) = 0x72c000
mmap2(0x27e000, 117704, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x27e000
mmap2(0x299000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1a) = 0x299000
mmap2(0x697000, 17008, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x697000
mmap2(0x69b000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x3) = 0x69b000
每个描述符都有对应的文件名(来自 open(2)),mmap(2) 的返回值将是图像在内存中映射的地址。
根据你如何拦截进程,你也可以在 dlopen 上注入一个钩子,尽管上面应该足够了
于 2013-04-12T15:21:49.847 回答