Linux x64 -- 内核程序(驱动程序)读取任意进程数据实现
四级页表结构
现在的64位Linux系统中,并没有使用全部的64位地址空间,而是使用其低48位,高16位并没有使用.
其中
39至47这9位用于索引PGD(page global directory),其中读取的值是PUD(page upper directory)的地址
30至38这9位用于索引PUD以获取PMD(page middle directory)的地址
21至29这9位用于索引PMD以获取PTE(the lowest level page table)的地址
12至20这9位用于索引PTE以获数据所在物理page frame的地址
最后的12位是page frame 的偏移,用于定位具体的数据所在地址
图形表示如图:
注:
原来的三级页表为:PGD-->PMD-->PTE
二级页表为:PGD(PGD)-->PTE
获取系统的page size
$ getconf PAGE_SIZE
获取当前内核使用多少级的页表结构
通过编译内核的config文件,搜索CONFIG_PGTABLE_LEVELS,既可以知道使用的是多少级的页表结构
内核地址空间中物理地址与虚拟地址的转换
#include <asm/io.h>
static inline void *phys_to_virt(phys_addr_t address);//__pa
static inline phys_addr_t virt_to_phys(volatile void *address)__va
读取任意程序内存实现
#include <linux/init.h>
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/sched.h>
#include <linux/sched/signal.h>
#include <linux/mm_types.h>
#include <asm/pgtable.h>
static ulong data_addr = 0;
static int data_len = 0;
static int target_pid = 0;
module_param(data_addr,ulong,S_IRUGO);
module_param(data_len,int,S_IRUGO);
module_param(target_pid,int,S_IRUGO);
static int __init main_init(void)
{
struct task_struct *task;
char *vaddr;
int retval = 0;
int i = 0;
pgd_t *pgd = NULL;
pud_t *pud = NULL;
pmd_t *pmd = NULL;
pte_t *pte = NULL;
unsigned long paddr = 0;
unsigned long page_addr = 0;
unsigned long page_offset = 0;
if(data_addr == 0 || data_len == 0 || target_pid == 0){
printk("insmod main <data_addr=?> <data len=?> <target_pid=?>\n");
return 0;
}
printk("data_addr:0x%lX, data_len:%d, target_pid:%d\n",data_addr,data_len,target_pid);
for_each_process(task){
if(task->pid == target_pid)
{
printk("find task:%s\n",task->comm);
retval = 1;
break;
}
}
if(retval == 0){
printk("not find task\n");
return -1;
}
pgd = pgd_offset(task->mm,data_addr);
if(pgd_none(*pgd)){
printk("not mapped in pgd\n");
return -1;
}
pud = pud_offset((p4d_t*)pgd,data_addr);
if(pud_none(*pud)){
printk("not mapped in pud\n");
return -1;
}
pmd = pmd_offset(pud,data_addr);
if(pmd_none(*pmd)){
printk("not mapped in pmd\n");
return -1;
}
pte = pte_offset_kernel(pmd,data_addr);
if(pte_none(*pte)){
printk("not mapped in pte\n");
return -1;
}
page_addr = pte_val(*pte) & PTE_PFN_MASK;
page_offset = (data_addr) & (0xFFF);
paddr = page_addr | page_offset;
vaddr = __va(paddr);
for(i = 0;i<data_len;i++){
printk("0x%X('%c')\n",vaddr[i],vaddr[i]);
}
return 0;
}
static void __exit main_exit(void)
{
}
module_init(main_init);
module_exit(main_exit);
MODULE_LICENSE("GPL");
makefile:
obj-m := main.o
all:
make -C /usr/src/linux-headers-$(shell uname -r) M=$(shell pwd) modules
clean:
make -C /usr/src/linux-headers-$(shell uname -r) M=$(shell pwd) clean
参考资料
How The Kernel Manages Your Memory:
https://manybutfinite.com/post/how-the-kernel-manages-your-memory/
Five-level page tables:
https://lwn.net/Articles/717293/
Page Table Management:
https://www.kernel.org/doc/gorman/html/understand/understand006.html
Page table
https://github.com/lorenzo-stoakes/linux-vm-notes/blob/master/sections/page-tables.md
Virtual memory map
https://www.kernel.org/doc/Documentation/x86/x86_64/mm.txt
Linux 内存管理分析
https://www.jianshu.com/p/fc719d1cfbc2
Linux中的虚拟地址转换物理地址实现
http://lzz5235.github.io/2014/12/10/linux.html
Linux x64 -- 内核程序(驱动程序)读取任意进程数据实现的更多相关文章
- 12_通过 CR3 切换_读取指定进程数据
注意: cr3 切换 ,导致eip 指向的页面,改变为对应cr3 的页面:所以代码也变了:这里需要将这部分代码放入公共区域. 解决: 使用 类似前面 山寨 systemfastcallentry 的方 ...
- 一个I/O线程可以并发处理N个客户端连接和读写操作 I/O复用模型 基于Buf操作NIO可以读取任意位置的数据 Channel中读取数据到Buffer中或将数据 Buffer 中写入到 Channel 事件驱动消息通知观察者模式
Tomcat那些事儿 https://mp.weixin.qq.com/s?__biz=MzI3MTEwODc5Ng==&mid=2650860016&idx=2&sn=549 ...
- linux服务器开发二(系统编程)--进程相关
进程相关的概念 程序与进程 程序,是指编译好的二进制文件,在磁盘上,不占用系统资源(CPU.内存.打开的文件.设备.锁等等). 进程,是一个抽象的概念,与操作系统原理联系紧密.进程是活跃的程序,占用系 ...
- Linux下触摸屏驱动程序分析
[摘要: 本文以linux3.5--Exynos4412仄台,剖析触摸屏驱动焦点内容.Linux下触摸屏驱动(以ft5x06_ts为例)须要懂得以下学问: 1. I2C协定 2. Exynos4412 ...
- Linux中的两种守护进程stand alone和xinetd
Linux中的两种守护进程stand alone和xinetd --http://www.cnblogs.com/itech/archive/2010/12/27/1914846.html#top 一 ...
- Linux内核分析(四)----进程管理|网络子系统|虚拟文件系统|驱动简介
原文:Linux内核分析(四)----进程管理|网络子系统|虚拟文件系统|驱动简介 Linux内核分析(四) 两天没有更新了,上次博文我们分析了linux的内存管理子系统,本来我不想对接下来的进程管理 ...
- 【转载】 java利用snmp4j包来读取snmp协议数据(Manager端)
https://www.cnblogs.com/xdp-gacl/p/4187089.html http://doc.okbase.net/yuanfy008/archive/265663.html ...
- [转帖]Linux系统进程的知识总结,进程与线程之间的纠葛...
Linux系统进程的知识总结,进程与线程之间的纠葛... https://cloud.tencent.com/developer/article/1500509 当一个程序开始执行后,在开始执行到执行 ...
- Linux的启动过程及init进程
Linux下有三个特殊进程: idle进程(pid=0)idle进程其前身是系统创建的第一个进程,0号进程,也唯一一个没有通过fork()或者kernel_thread产生的进程,由系统自动创建,运行 ...
随机推荐
- 【Dubbo&&Zookeeper】5、dubbo总结和学习资料汇总
Dubbo学习资料 阿里巴巴分布式服务框架 Dubbo 团队成员梁飞专访 RPC介绍 什么是RPC? RPC(Remote Procedure Call)远程过程调用.见名知意 - 从远程主机调用一个 ...
- svg简介与使用
什么是svg SVG是"Scalable Vector Graphics"的简称.中文可以理解成"可缩放矢量图形". 可缩放矢量图形是基于可扩展标记语言(标准通 ...
- 长文本溢出显示省略号(…) text-overflow: ellipsis
text-overflow 属性规定当文本溢出包含元素时发生的事情. 默认值: clip 继承性: no 版本: CSS3 JavaScript 语法: object .style.textOverf ...
- DHCP协议总结
1.DHCP用于分配ip地址给主机. 2.DHCP报文也分为请求.应答. 3.DHCP请求报文,第一次是广播报文,因为还不知道DHCP server的MAC地址.后续续约的报文是单播发送.但是,到了7 ...
- 使用Visual Studio Team Services进行压力和性能测试(二)——压力测试执行
使用Visual Studio Team Services进行压力和性能测试(二)--压力测试执行 1.点击Run test将会该压力测试进行排队,我们将看到等待测试代理屏幕.Visual Studi ...
- Java获取数据库表 字段 存储的部分数据
在浏览器页面,选中图片(可多选) >单击删除按钮. 重点是, 本数据库表TabHeBeiTianQi中 存在 同一id,对应的picLocalPath字段 存储了多张图片,图片地址用 逗号 ...
- Win10 + MASM32 + EditPlus 汇编语言编程环境设置
下载安装MASM32汇编环境 官方下载站:MASM32 环境变量配置 配置MasmHome变量,值为masm32的安装目录: 配置include和lib变量 include : %MasmHome%\ ...
- vue-cli在控制台创建vue项目时乱码的问题
新装的win10系统,使用vue-cli在控制台创建项目时出现乱码,请问如何处理? 解决: 打开cmd,在控制台输入CHCP 65001,按回车键即可将编码格式设成utf-8,再创建就不会乱码了. 执 ...
- zabbix监控磁盘IO
我这里有两种方法,感觉都不错.我这里主要是写一下监控的脚本. 1.使用iostat命令监控 1)首先打开配置文件的自定义脚本功能,然后编写脚本. #!/bin/bash ];then echo &qu ...
- Alpha冲刺! Day1 - 磨刀
Alpha冲刺! Day1 - 磨刀 序章 Alpha冲刺开始的比印象中的计划早,翻回去看系统设计那篇作业博客的实践时间安排表格发现不!见!了!! 因为计划提前,但又必须在编码开始之前把所有逻辑讨论清 ...