我正在使用vm_region_recurse_64来映射给定进程的内存,即vmmap样式。
尝试通过检查内存中每个库的Mach-O头来获取应用程序加载的共享库的完整列表,但是,vm_region_recurse似乎不同意vmmap命令行工具,特别是某些特定内存部分的开头和结束。
在90000000-a0000000系统子图中尤其如此,其中加载了大多数os共享库。
现在我有点难过了。我可以列出内存段,通常告诉它们是什么类型,并使用vm_read从中读取。但是列出它们并获得正确和特定区域信息证明是困难的。
vmmap如何获取加载库的特定位置的列表?我的方法似乎无效。
编辑:这是我正在使用的基本代码。它返回一个与vmmap相似但不完全相同的内存映射。没有特定库的内存区域。
kern_return_t krc = KERN_SUCCESS;
vm_address_t address = 0;
vm_size_t size = 0;
uint32_t depth = 1;
while (1) {
struct vm_region_submap_info_64 info;
mach_msg_type_number_t count = VM_REGION_SUBMAP_INFO_COUNT_64;
krc = vm_region_recurse_64(port, &address, &size, &depth, (vm_region_info_64_t)&info, &count);
if (krc == KERN_INVALID_ADDRESS){
break;
}
if (info.is_submap){
depth++;
}
else {
//do stuff
printf ("Found region: %08x to %08x\n", (uint32_t)address, (uint32_t)address+size);
address += size;
}
}
答案 0 :(得分:4)
vmmap调用mach_vm_region_recurse()列出内存区域。
为了在0x90000000..0xa0000000处查看dyld共享缓存等子图的内容,您需要查找设置了is_submap的区域,然后再次使用相同的地址和更深的nesting_depth调用mach_vm_region_recurse()。
答案 1 :(得分:2)
vmmap(1)实际上通过检查目标地址空间中留下的DYLD表来获取进程中加载的Mach-O图像的列表。