Discover程序在內存中的圖像

Question

這裏的東西不那麼重要了，我最近一直在沉思一下：

我知道，我的程序的虛擬地址空間包含（每個線程）的棧和堆和一些靜態分配內存等等。但是它是否包含程序的所有圖像？是否有可能以某種方式（無論平臺如何依賴這個技巧）找出我自己的圖像的地址範圍？內存是隻讀的嗎？

總之：我可以製作一個打印自己的程序嗎？

如果無法完成，問題會更少，我可以打印自己的堆棧嗎？我想是這樣的：

const char * BASE; 

void print_stack(); 

int main(int argc, char * argv[]) { 
    BASE = &argc; 
    /* do stuff */ 
    print_stack(); 
    return 0; 
} 

void print_stack() { 
    int sentinel; 
    const char * bottom = &sentinel; 
    while (bottom < BASE) 
    printf("%02X ", *bottom++); 
} 

Answer 1

要回答你的第一個問題，當然也包含了你的程序的說明：你只能執行您可以訪問什麼。要查看說明的地址，您可以獲取功能的地址並從那裏開始打印。然後你可以使用像udis86這樣的庫來拆卸它們。但請注意，編譯器不需要以任何特定方式對函數進行排序，因此從main開始並從中讀取並不能保證獲得所有內容，可能會對未分配的內存進行踐踏。要在整個指令內存範圍內（您正在尋找.text段），可以從操作系統中查找地址+大小（在Linux中，該信息將在/proc/[pid]/maps，在OS X中爲可以使用vmmap或通過mach_vm_region()內核陷阱詢問內核），然後直接讀取內存。您也可以使用nm轉儲程序的符號，將所有指向0123'段（它們應標記爲T,nm輸出）並將其轉儲。這不是一個好的方法，因爲你必須拆卸所有的東西，以確定它們之間有填充的情況下它們結束的位置。

所有映射的內存都可以訪問，但並非全部都是可寫的（.text段不會）。有一點要記住，如果你的操作系統實現ASLR，這些地址可能不會穩定地調用調用。

要解決您的第二個問題，是的，您可以打印自己的堆棧並在第三方庫的幫助下對其進行打印，但不是您嘗試這樣做的方式。作爲讀者的練習，可以通過gdb或其他反彙編器反彙編你的一個函數，並查看在你的函數序言期間堆棧中的內存是如何分配的） ，因此您的for-loop將永遠不會運行，因爲BASE可能總是大於sentinel的地址。

Answer 2

是的，代碼字節（通常在此上下文中稱爲程序「文本」）是虛擬地址空間的一部分。

您可以確定函數的地址，例如， main()，並用它來確定一系列文本頁面中的單個有效地址。您將不得不調用虛擬內存特定的API來確定該地址映射的範圍。

共享庫（.so文件）將其文本映射到不連續的VM區域。