我编写了一个工具,可以将特定部分从基于远程 mach-o 的进程转储到文件中。
但是,升级到 El Capitan (10.11) 后,由于 SIP 功能阻止我使用task_for_pid. 这是为了防止代码注入到远程签名的进程中。
但是,我只需要它来读取远程进程的内存空间。以下代码在 10.11 上是否存在某种替代方案?
task_for_pid(mach_task_self(), pid, &target);
mach_vm_read(target, virtual_offset, xfer_vmsize, &local_address, &local_size);