linux上内存进程的读写

Question

我写了一个小程序来读写进程的内存，但我不明白为什么它不起作用。 这是我的代码：

#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <sys/stat.h>
#include <sys/ptrace.h>
#include <errno.h>
#include <string.h>
#include <fcntl.h>


int main()
{
pid_t pid=3169;
char mem_file_name[2048];
 int mem_fd;
 int offset=0;
 char buf[1005128];

sprintf(mem_file_name, "/proc/%d/mem", pid);
mem_fd = open(mem_file_name, O_RDWR,S_IRWXU);
printf("1 %s\n",strerror(errno));
ptrace(PTRACE_ATTACH, pid, NULL, NULL);
printf("2 %s\n",strerror(errno));
waitpid(pid, NULL, 0);
printf("3 %s\n",strerror(errno));
lseek(mem_fd, offset, SEEK_SET);
printf("4 %s\n",strerror(errno));
read(mem_fd, buf, _SC_PAGE_SIZE);
printf("5 %s\n",strerror(errno));
ptrace(PTRACE_DETACH, pid, NULL, NULL);
printf("6 %s\n",strerror(errno));
printf("%s\n",buf );
}

这是我的输出：

1 Success
2 Success
3 Success
4 Success
5 Input/output error
6 Input/output error

我用

编译

gcc -Wall -Wextra main.c

我以 root 权限运行

sudo ./a.out

在此示例中，我仅尝试从进程中读取，但它不起作用。 我的想法是dump一个进程的内存，但是不知道为什么读不出来。

ps 我知道有一些工具可以转储进程的内存，但是我想创建一个小程序来练习。

Answer 1

您的代码有几个问题。

您的主要问题是您尝试从偏移量 0 读取，这是未映射到您的进程的进程地址 0x00000000。

int offset=0;
...
lseek(mem_fd, offset, SEEK_SET);

这就像在地址零处从你的记忆中读取：

int offset=0;
char* p = 0x0;
printf("%d data",p[offset]);

您只能通过 /proc/PID/mem 在您的进程中有效和映射地址的偏移处读取内存。

例如，如果你想通过这个 API 读取你 buf 变量的内存，你可以通过寻找它的地址来读取它：

lseek(mem_fd, (off_t)buf, SEEK_SET); /* note that on 64 bit you need to use lseek64 and off64_t */
read(mem_fd, buf, _SC_PAGE_SIZE); /* this should work */

注意事项：

• PID 不应该是硬编码的，要么你从getpid 读取它，要么你使用/proc/self/mem
• 打开文件描述符进行写入没有意义（proc API 是只读的）
• 建议你也阅读http://man7.org/linux/man-pages/man5/proc.5.html