每次将linux上的图像加载到内存中时,我都会尝试跟踪信息。理想情况下,我需要
我已经设法使用linux上可用的open_exec跟踪点来获取pid,时间戳和路径,但是我在跟踪加载映像的内存位置时遇到了问题。任何建议(跟踪点,标记,系统调用等)我如何追踪这个?
答案 0 :(得分:1)
一个想法可能是跟踪所有mmap(2)调用,方式类似于strace(1)跟踪调用的方式(srace使用ptrace(2)API)。您可以通过查看使用strace (some command) 2> FOO然后grep mmap FOO看到的strace来尝试自己:
mmap2(NULL, 40654, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb80e5000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb80e4000
mmap2(0x724000, 37456, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x724000
mmap2(0x72c000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x7) = 0x72c000
mmap2(0x27e000, 117704, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x27e000
mmap2(0x299000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1a) = 0x299000
mmap2(0x697000, 17008, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x697000
mmap2(0x69b000, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x3) = 0x69b000
每个描述符都有相应的文件名(来自open(2)),mmap(2)的返回值将是图像在内存中映射的地址。
根据你如何截取进程,你也可以在dlopen上注入一个钩子,虽然上面应该足够了