程序被加载器加载到内存后,通过/proc/$pid/maps文件,我们可以观测到程序被加载的内存位置。那么,通过打印进程内存的方式,让我们确认程序是不是真的加载到内存,以及加载到内存的程序和硬盘中的文件有没有区别。
编写测试程序:
#include <stdio.h>
#include <stdbool.h>
#include <unistd.h>
#include <stdlib.h>
int main() {
while(true) {
sleep(3);
printf("something\n");
}
return 0;
}编译启动,然后打印程序的16进制
这里只展示部分16进制,用于与内存中的16进制进行对比。
编写内核代码:
#include <linux/module.h>
#include <linux/init.h>
#include <linux/kernel.h>
#include <linux/string.h>
#include <linux/netdevice.h>
#include <linux/printk.h>
static pte_t *get_pte(struct task_struct *task, unsigned long address) {
pgd_t *pgd;
p4d_t *p4d;
pud_t *pud;
pmd_t *pmd;
pte_t *pte;
struct mm_struct *mm = task->mm;
pgd = pgd_offset(mm,address);
if (pgd_none(*pgd) || pgd_bad(*pgd)) {
return NULL;
}
p4d = p4d_offset(pgd, address);
if (p4d_none(*p4d) || p4d_bad(*p4d))
return NULL;
pud = pud_offset(p4d, address);
if (pud_none(*pud) || pud_bad(*pud))
return NULL;
pmd = pmd_offset(pud, address);
if (pmd_none(*pmd) || pmd_bad(*pmd))
return NULL;
pte = pte_offset_kernel(pmd, address);
if (pte_none(*pte))
return NULL;
return pte;
}
static int hello_init(void) {
struct task_struct *p;
struct vm_area_struct *vma;
int len;
pte_t *pte;
struct page *page;
unsigned long addr;
printk(KERN_ALERT "init fishing\n");
for_each_process(p) {
if (strcmp(p->comm,"a.out") == 0) {
printk(KERN_ALERT "%s-->%p\n",p->comm, p->mm);
for(vma = p->mm->mmap;vma!=NULL;vma = vma->vm_next) {
printk(KERN_ALERT "%lx - %lx\n",vma->vm_start, vma->vm_end);
pte = get_pte(p, vma->vm_start);
if (pte == NULL)
break;
page = pte_page(*pte);
addr = page_address(page);
len = vma->vm_end - vma->vm_start;
print_hex_dump(KERN_NOTICE,"",0,16,1,addr,len,false);
break;
}
}
}
return 0;
}
static void hello_exit(void) {
printk(KERN_ALERT "exit fishing\n");
}
subsys_initcall(hello_init);
module_exit(hello_exit);
MODULE_LICENSE("GPL");
MODULE_AUTHOR("shakespeare");此处只打印了进程第一个vm_area_struct表达的内存。
通过上述截图对比可知,程序的16进制被严格的加载到进程的内存空间,并且从进程的第一个vm_area_struct结构表达的内存处开始保存。
