मैं लिनक्स के तहत / proc / $ pid / mem से कैसे पढ़ूं?

लिनक्स proc(5)आदमी पेज मुझसे कहता है कि /proc/$pid/mem"एक प्रक्रिया की स्मृति के पृष्ठों पर पहुंचने के लिए इस्तेमाल किया जा सकता है"। लेकिन इसका उपयोग करने का एक सीधा प्रयास केवल मुझे देता है

$ cat /proc/$$/mem /proc/self/mem
cat: /proc/3065/mem: No such process
cat: /proc/self/mem: Input/output error

catअपनी स्वयं की मेमोरी ( /proc/self/mem) प्रिंट करने में सक्षम क्यों नहीं है ? और यह अजीब "ऐसी कोई प्रक्रिया नहीं" त्रुटि है जब मैं शेल की मेमोरी को प्रिंट करने की कोशिश करता हूं ( /proc/$$/mem, जाहिर है कि प्रक्रिया मौजूद है)? मैं /proc/$pid/memतब से कैसे पढ़ सकता हूं ?

/proc/$pid/maps

/proc/$pid/mem$ pid की मेमोरी की सामग्री को उसी तरह से दिखाता है जैसे प्रक्रिया में, यानी, छद्म फ़ाइल में ऑफसेट x पर बाइट प्रक्रिया में पता x पर बाइट के समान है। यदि कोई पता प्रक्रिया में बंद है, तो फाइल रिटर्न EIO(इनपुट / आउटपुट त्रुटि) में संबंधित ऑफसेट से पढ़ना । उदाहरण के लिए, चूँकि किसी प्रक्रिया में पहला पृष्ठ कभी मैप नहीं किया जाता है (ताकि एक NULLसंकेतक को निष्क्रिय करने से अनायास ही वास्तविक स्मृति तक पहुँचने में असफलता मिलती है), /proc/$pid/memहमेशा I / O त्रुटि प्राप्त करने के पहले बाइट को पढ़ना ।

यह पता लगाने का तरीका है कि मेमोरी की प्रक्रिया के किन हिस्सों को मैप किया जाता है /proc/$pid/maps। इस फ़ाइल में प्रति मैप की गई एक पंक्ति है, जो इस प्रकार है:

08048000-08054000 r-xp 00000000 08:01 828061     /bin/cat
08c9b000-08cbc000 rw-p 00000000 00:00 0          [heap]

पहले दो नंबर क्षेत्र की सीमाएं हैं (पहले बाइट के पते और आखिरी के बाद बाइट, हेक्सा में)। अगले कॉलम में अनुमतियाँ हैं, फिर फ़ाइल (ऑफ़सेट, डिवाइस, इनोड और नाम) के बारे में कुछ जानकारी है यदि यह फ़ाइल मैपिंग है। देखें proc(5)आदमी पेज या समझौता लिनक्स / proc / आईडी / नक्शे और जानकारी के लिए।

यहां एक प्रूफ-ऑफ-कॉन्सेप्ट स्क्रिप्ट है जो अपनी मेमोरी की सामग्री को डंप करता है।

#! /usr/bin/env python
import re
maps_file = open("/proc/self/maps", 'r')
mem_file = open("/proc/self/mem", 'r', 0)
for line in maps_file.readlines():  # for each mapped region
    m = re.match(r'([0-9A-Fa-f]+)-([0-9A-Fa-f]+) ([-r])', line)
    if m.group(3) == 'r':  # if this is a readable region
        start = int(m.group(1), 16)
        end = int(m.group(2), 16)
        mem_file.seek(start)  # seek to region start
        chunk = mem_file.read(end - start)  # read region contents
        print chunk,  # dump contents to standard output
maps_file.close()
mem_file.close()

/proc/$pid/mem

यदि आप memकिसी अन्य प्रक्रिया के छद्म फ़ाइल से पढ़ने की कोशिश करते हैं , तो यह काम नहीं करता है: आपको कोई ESRCH(ऐसी कोई प्रक्रिया नहीं) त्रुटि मिलती है ।

अनुमतियाँ /proc/$pid/mem( r--------) मामले की तुलना में अधिक उदार हैं। उदाहरण के लिए, आपको एक सेट्युइड प्रक्रिया की मेमोरी पढ़ने में सक्षम नहीं होना चाहिए। इसके अलावा, एक प्रक्रिया की मेमोरी को पढ़ने की कोशिश करते हुए, प्रक्रिया को संशोधित करते हुए यह पाठक को स्मृति का एक असंगत दृश्य दे सकता है, और इससे भी बदतर, ऐसी दौड़ स्थितियां थीं जो लिनक्स कर्नेल के पुराने संस्करणों का पता लगा सकती थीं ( इस lkml थ्रेड के अनुसार , हालांकि मैं विवरण नहीं जानते)। तो अतिरिक्त जांच की जरूरत है:

• जिस प्रक्रिया से पढ़ना चाहता है , उसे ध्वज के साथ /proc/$pid/memप्रक्रिया का उपयोग करना चाहिए । यह तब होता है जब डिबगर किसी प्रक्रिया को डीबग करना शुरू करते हैं; यह एक प्रक्रिया के सिस्टम कॉल के लिए क्या करता है। एक बार पाठक से पढ़ना समाप्त कर लेने के बाद , उसे ध्वज के साथ बुलाकर अलग करना चाहिए ।ptracePTRACE_ATTACHstrace/proc/$pid/memptracePTRACE_DETACH
• देखी गई प्रक्रिया चल नहीं रही होगी। आम तौर पर कॉल ptrace(PTRACE_ATTACH, …)करने से लक्ष्य प्रक्रिया बंद हो जाएगी (यह एक STOPसंकेत भेजता है ), लेकिन एक दौड़ की स्थिति है (संकेत वितरण अतुल्यकालिक है), इसलिए ट्रेसर को कॉल करना चाहिए wait(जैसा कि दस्तावेज में है ptrace(2))।

रूट के रूप में चल रही एक प्रक्रिया किसी भी प्रक्रिया की मेमोरी को पढ़ सकती है, बिना कॉल किए ptrace, लेकिन देखी गई प्रक्रिया को रोकना होगा, या रीड अभी भी वापस आ जाएगा ESRCH।

लिनक्स कर्नेल स्रोत में, प्रति-प्रक्रिया प्रविष्टियाँ प्रदान करने वाला कोड /procहै fs/proc/base.c, और इससे पढ़ने के लिए फ़ंक्शन /proc/$pid/memहै mem_read। द्वारा अतिरिक्त जाँच की जाती है check_mem_permission।

यहाँ कुछ नमूना C कोड एक प्रक्रिया से जुड़ा है और इसकी memफ़ाइल का एक हिस्सा पढ़ने के लिए है (त्रुटि की जाँच छोड़ दी गई):

sprintf(mem_file_name, "/proc/%d/mem", pid);
mem_fd = open(mem_file_name, O_RDONLY);
ptrace(PTRACE_ATTACH, pid, NULL, NULL);
waitpid(pid, NULL, 0);
lseek(mem_fd, offset, SEEK_SET);
read(mem_fd, buf, _SC_PAGE_SIZE);
ptrace(PTRACE_DETACH, pid, NULL, NULL);

मैंने पहले से ही एक /proc/$pid/memऔर थ्रेड पर डंपिंग के लिए एक प्रूफ-ऑफ-कॉन्सेप्ट स्क्रिप्ट पोस्ट की है ।

यह कमांड (जीडीबी से) मेमोरी को मज़बूती से डंप करती है:

gcore pid

डंप बड़े हो सकते हैं, -o outfileयदि आपकी वर्तमान निर्देशिका में पर्याप्त जगह नहीं है तो उपयोग करें।

जब आप cat /proc/$$/memचर $$को निष्पादित करते हैं तो बैश द्वारा मूल्यांकन किया जाता है जो अपना स्वयं का पिड सम्मिलित करता है। यह तब निष्पादित catहोता है जिसमें एक अलग पिड होता है। आप इसकी मूल प्रक्रिया catकी स्मृति को पढ़ने की कोशिश कर रहे हैं bash। चूंकि गैर-विशेषाधिकार प्राप्त प्रक्रियाएं केवल अपने स्वयं के मेमोरी स्थान को पढ़ सकती हैं, यह कर्नेल द्वारा अस्वीकृत हो जाता है।

यहाँ एक उदाहरण है:

$ echo $$
17823

ध्यान दें कि $$17823 का मूल्यांकन करता है। आइए देखें कि कौन सी प्रक्रिया है।

$ ps -ef | awk '{if ($2 == "17823") print}'
bahamat  17823 17822  0 13:51 pts/0    00:00:00 -bash

यह मेरा वर्तमान कवच है।

$ cat /proc/$$/mem
cat: /proc/17823/mem: No such process

यहाँ फिर $$से 17823 का मूल्यांकन किया गया, जो कि मेरा खोल है। catमेरे शेल की मेमोरी स्पेस नहीं पढ़ सकते।

यहाँ एक छोटा प्रोग्राम है जो मैंने C में लिखा है:

उपयोग:

memdump <pid>
memdump <pid> <ip-address> <port>

प्रोग्राम प्रक्रिया के मैप किए गए मेमोरी क्षेत्रों को खोजने के लिए / खरीद / $ pid / मैप्स का उपयोग करता है, और फिर उन क्षेत्रों को / proc / $ pid / mem, एक समय में एक पृष्ठ से पढ़ता है। उन पृष्ठों को स्टडआउट या आपके द्वारा निर्दिष्ट आईपी पते और टीसीपी पोर्ट के लिए लिखा जाता है।

कोड (Android पर परीक्षण किया गया, सुपरसिर की अनुमति की आवश्यकता है):

#include <stdio.h>
#include <stdlib.h>
#include <limits.h>
#include <sys/ptrace.h>
#include <sys/socket.h>
#include <arpa/inet.h>

void dump_memory_region(FILE* pMemFile, unsigned long start_address, long length, int serverSocket)
{
    unsigned long address;
    int pageLength = 4096;
    unsigned char page[pageLength];
    fseeko(pMemFile, start_address, SEEK_SET);

    for (address=start_address; address < start_address + length; address += pageLength)
    {
        fread(&page, 1, pageLength, pMemFile);
        if (serverSocket == -1)
        {
            // write to stdout
            fwrite(&page, 1, pageLength, stdout);
        }
        else
        {
            send(serverSocket, &page, pageLength, 0);
        }
    }
}

int main(int argc, char **argv) {

    if (argc == 2 || argc == 4)
    {
        int pid = atoi(argv[1]);
        long ptraceResult = ptrace(PTRACE_ATTACH, pid, NULL, NULL);
        if (ptraceResult < 0)
        {
            printf("Unable to attach to the pid specified\n");
            return;
        }
        wait(NULL);

        char mapsFilename[1024];
        sprintf(mapsFilename, "/proc/%s/maps", argv[1]);
        FILE* pMapsFile = fopen(mapsFilename, "r");
        char memFilename[1024];
        sprintf(memFilename, "/proc/%s/mem", argv[1]);
        FILE* pMemFile = fopen(memFilename, "r");
        int serverSocket = -1;
        if (argc == 4)
        {   
            unsigned int port;
            int count = sscanf(argv[3], "%d", &port);
            if (count == 0)
            {
                printf("Invalid port specified\n");
                return;
            }
            serverSocket = socket(AF_INET, SOCK_STREAM, 0);
            if (serverSocket == -1)
            {
                printf("Could not create socket\n");
                return;
            }
            struct sockaddr_in serverSocketAddress;
            serverSocketAddress.sin_addr.s_addr = inet_addr(argv[2]);
            serverSocketAddress.sin_family = AF_INET;
            serverSocketAddress.sin_port = htons(port);
            if (connect(serverSocket, (struct sockaddr *) &serverSocketAddress, sizeof(serverSocketAddress)) < 0)
            {
                printf("Could not connect to server\n");
                return;
            }
        }
        char line[256];
        while (fgets(line, 256, pMapsFile) != NULL)
        {
            unsigned long start_address;
            unsigned long end_address;
            sscanf(line, "%08lx-%08lx\n", &start_address, &end_address);
            dump_memory_region(pMemFile, start_address, end_address - start_address, serverSocket);
        }
        fclose(pMapsFile);
        fclose(pMemFile);
        if (serverSocket != -1)
        {
            close(serverSocket);
        }

        ptrace(PTRACE_CONT, pid, NULL, NULL);
        ptrace(PTRACE_DETACH, pid, NULL, NULL);
    }
    else
    {
        printf("%s <pid>\n", argv[0]);
        printf("%s <pid> <ip-address> <port>\n", argv[0]);
        exit(0);
    }
}