লিনাক্সের অধীনে / প্রো / / পিড / মেম থেকে কীভাবে পড়ব?

লিনাক্স proc(5)man পৃষ্ঠা আমাকে বলে যে /proc/$pid/mem"একটি প্রক্রিয়া স্মৃতিতে পাতায় অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।" তবে এটি ব্যবহারের জন্য একটি সহজ প্রচেষ্টা কেবল আমাকে দেয়

$ cat /proc/$$/mem /proc/self/mem
cat: /proc/3065/mem: No such process
cat: /proc/self/mem: Input/output error

কেন catতার নিজস্ব স্মৃতি মুদ্রণ করতে সক্ষম নয় /proc/self/mem? এবং যখন আমি শেলের স্মৃতি মুদ্রণ করার চেষ্টা করি (তখন /proc/$$/memস্পষ্টত প্রক্রিয়াটি বিদ্যমান) তত অদ্ভুত "এ জাতীয় কোনও প্রক্রিয়া" ত্রুটিটি কী? /proc/$pid/memতাহলে আমি কীভাবে পড়তে পারি ?

/proc/$pid/maps

/proc/$pid/memid পিডের মেমরির বিষয়বস্তু প্রক্রিয়াটির মতোই ম্যাপযুক্ত দেখায়, অর্থাৎ সিউডো-ফাইলে অফসেট এক্স -এ বাইট প্রসেসের অ্যাড্রেস x এর বাইটের সমান । যদি কোনও প্রক্রিয়াটিতে কোনও ঠিকানা আনম্যাপ করা না থাকে তবে ফাইলটি সম্পর্কিত অফসেট থেকে পাঠানো EIO(ইনপুট / আউটপুট ত্রুটি)। উদাহরণস্বরূপ, যেহেতু কোনও প্রক্রিয়ার প্রথম পৃষ্ঠাটি কখনই ম্যাপ করা হয় না (যাতে কোনও NULLপয়েন্টারকে অবজ্ঞা করা প্রকৃত স্মৃতিতে অজ্ঞাতীতভাবে অ্যাক্সেস করার চেয়ে পরিষ্কারভাবে ব্যর্থ হয়), তাই /proc/$pid/memসর্বদা প্রথম বাইট পড়ার সাথে I / O ত্রুটি পাওয়া যায়।

প্রক্রিয়া মেমরির কোন অংশ ম্যাপ করা হয়েছে তা জানার উপায়টি হ'ল /proc/$pid/maps। এই ফাইলটিতে ম্যাপ করা অঞ্চলে প্রতি লাইন রয়েছে, এটির মতো দেখতে:

08048000-08054000 r-xp 00000000 08:01 828061     /bin/cat
08c9b000-08cbc000 rw-p 00000000 00:00 0          [heap]

প্রথম দুটি সংখ্যা হ'ল অঞ্চলের সীমানা (প্রথম বাইটের ঠিকানা এবং শেষের পরে বাইট, হেক্সায়)। পরবর্তী কলামে অনুমতিগুলি অন্তর্ভুক্ত রয়েছে, তারপরে যদি ফাইলটি ম্যাপিং হয় তবে ফাইল সম্পর্কে কিছু তথ্য রয়েছে (অফসেট, ডিভাইস, ইনোড এবং নাম)। আরও তথ্যের জন্য proc(5)ম্যান পৃষ্ঠা বা বোধগম্য লিনাক্স / প্রোক / আইডি / মানচিত্রগুলি দেখুন।

এখানে একটি প্রুফ-অফ কনসেপ্ট স্ক্রিপ্ট রয়েছে যা তার নিজস্ব স্মৃতিতে থাকা সামগ্রীকে ফেলে দেয়।

#! /usr/bin/env python
import re
maps_file = open("/proc/self/maps", 'r')
mem_file = open("/proc/self/mem", 'r', 0)
for line in maps_file.readlines():  # for each mapped region
    m = re.match(r'([0-9A-Fa-f]+)-([0-9A-Fa-f]+) ([-r])', line)
    if m.group(3) == 'r':  # if this is a readable region
        start = int(m.group(1), 16)
        end = int(m.group(2), 16)
        mem_file.seek(start)  # seek to region start
        chunk = mem_file.read(end - start)  # read region contents
        print chunk,  # dump contents to standard output
maps_file.close()
mem_file.close()

/proc/$pid/mem

আপনি যদি memঅন্য কোনও প্রক্রিয়ার সিউডো-ফাইল থেকে পড়ার চেষ্টা করেন তবে এটি কার্যকর হয় না: আপনি একটি ESRCH(এরকম কোনও প্রক্রিয়া নয়) ত্রুটি পান।

/proc/$pid/mem( r--------) এর অনুমতিগুলি কী হওয়া উচিত তার চেয়ে বেশি উদার। উদাহরণস্বরূপ, আপনি কোনও সেটুইড প্রক্রিয়াটির স্মৃতি পড়তে সক্ষম হবেন না। তদ্ব্যতীত, প্রক্রিয়াটির মেমোরিটি পড়ার সময় কোনও প্রক্রিয়ার স্মৃতি পড়ার চেষ্টা করা পাঠককে মেমরির একটি বেমানান দৃষ্টিভঙ্গি দিতে পারে এবং আরও খারাপ এটি ছিল যে জাতিগুলির শর্ত ছিল যে লিনাক্স কার্নেলের পুরানো সংস্করণগুলি সনাক্ত করতে পারে ( যদিও এই lkml থ্রেড অনুসারে , আমি বিশদটি জানেন না)। সুতরাং অতিরিক্ত চেক প্রয়োজন:

• যে প্রক্রিয়াটি থেকে পড়তে চায় তা /proc/$pid/memঅবশ্যই পতাকাটির সাহায্যে প্রক্রিয়াটির ptraceসাথে সংযুক্ত করতে হবে PTRACE_ATTACH। ডিবাগাররা যখন কোনও প্রক্রিয়া ডিবাগ করা শুরু করেন এটিই; এটি straceএকটি প্রক্রিয়া সিস্টেম কল করতে কি। পাঠক একবার থেকে পড়া শেষ করার পরে, পতাকাটির সাথে /proc/$pid/memডাক ptraceদিয়ে এটি পৃথক করা উচিত PTRACE_DETACH।
• পর্যবেক্ষণ প্রক্রিয়া চলমান হবে না। সাধারণত কলিং ptrace(PTRACE_ATTACH, …)লক্ষ্য প্রক্রিয়া বন্ধ করে দেয় (এটি একটি STOPসংকেত প্রেরণ করে ), তবে একটি রেসের শর্ত রয়েছে (সিগন্যাল বিতরণটি অ্যাসিনক্রোনাস হয়), সুতরাং ট্রেসারকে কল করা উচিত wait(ডকুমেন্টেড হিসাবে ptrace(2))।

রুট হিসাবে চলমান একটি প্রক্রিয়া কল করার প্রয়োজন ছাড়াই কোনও প্রক্রিয়ার স্মৃতি পড়তে পারে ptrace, তবে পর্যবেক্ষণ প্রক্রিয়াটি অবশ্যই বন্ধ করা উচিত, বা পড়ার পরেও ফিরে আসবে ESRCH।

লিনাক্স কার্নেল উত্সে, প্রতি-প্রক্রিয়াতে প্রবেশের কোড সরবরাহ /procকরা রয়েছে fs/proc/base.cএবং সেগুলি পড়তে /proc/$pid/memহবে mem_read। অতিরিক্ত চেক দ্বারা সম্পাদিত হয় check_mem_permission।

কোনও প্রক্রিয়াতে সংযুক্ত করার জন্য এবং এর memফাইলটির একটি অংশ পড়ার জন্য এখানে কিছু নমুনা সি কোড দেওয়া হয়েছে (বাদ দেওয়াতে ত্রুটি):

sprintf(mem_file_name, "/proc/%d/mem", pid);
mem_fd = open(mem_file_name, O_RDONLY);
ptrace(PTRACE_ATTACH, pid, NULL, NULL);
waitpid(pid, NULL, 0);
lseek(mem_fd, offset, SEEK_SET);
read(mem_fd, buf, _SC_PAGE_SIZE);
ptrace(PTRACE_DETACH, pid, NULL, NULL);

আমি /proc/$pid/memঅন্য থ্রেডে ডাম্প করার জন্য ইতিমধ্যে একটি প্রুফ-অফ-কনসেপ্ট স্ক্রিপ্ট পোস্ট করেছি ।

এই কমান্ডটি (জিডিবি থেকে) মেমরিটিকে নির্ভরযোগ্যভাবে ফেলে দেয়:

gcore pid

ডাম্পগুলি বড় হতে পারে, -o outfileআপনার বর্তমান ডিরেক্টরিটিতে পর্যাপ্ত জায়গা না থাকলে ব্যবহার করুন ।

আপনি যখন cat /proc/$$/memভেরিয়েবলটি এক্সিকিউট করেন $$তা বাশ দ্বারা মূল্যায়ন করা হয় যা এর নিজস্ব পিড inোকায়। এটি তখন কার্যকর করে catযার একটি আলাদা পিড রয়েছে। আপনি এর মূল প্রক্রিয়াটির catমেমোরিটি পড়ার চেষ্টা করে শেষ করেন bash। যেহেতু অ-সুবিধাযুক্ত প্রক্রিয়াগুলি কেবল তাদের নিজস্ব মেমরির জায়গা পড়তে পারে এটি কার্নেল দ্বারা অস্বীকৃত হয়।

এখানে একটি উদাহরণ:

$ echo $$
17823

নোট করুন যে $$মূল্যায়ন 17823. আসুন দেখুন যে প্রক্রিয়া।

$ ps -ef | awk '{if ($2 == "17823") print}'
bahamat  17823 17822  0 13:51 pts/0    00:00:00 -bash

এটি আমার বর্তমান শেল।

$ cat /proc/$$/mem
cat: /proc/17823/mem: No such process

এখানে আবার $$17823 মূল্যায়ন করে, এটি আমার শেল। catআমার শেলের স্মৃতি স্থান পড়তে পারে না।

আমি সিতে একটি ছোট প্রোগ্রাম লিখেছি:

ব্যবহার:

memdump <pid>
memdump <pid> <ip-address> <port>

প্রক্রিয়াটির সমস্ত ম্যাপযুক্ত মেমরি অঞ্চলগুলি অনুসন্ধান করার জন্য প্রোগ্রামটি / proc / $ pid / মানচিত্রগুলি ব্যবহার করে এবং সেগুলি একবারে / পৃষ্ঠা / proc / id পিড / মেম থেকে পড়বে one এই পৃষ্ঠাগুলি stdout বা IP ঠিকানা এবং টিসিপি পোর্ট আপনি লিখেছেন।

কোড (অ্যান্ড্রয়েডে পরীক্ষিত, সুপারসারের অনুমতি প্রয়োজন):

#include <stdio.h>
#include <stdlib.h>
#include <limits.h>
#include <sys/ptrace.h>
#include <sys/socket.h>
#include <arpa/inet.h>

void dump_memory_region(FILE* pMemFile, unsigned long start_address, long length, int serverSocket)
{
    unsigned long address;
    int pageLength = 4096;
    unsigned char page[pageLength];
    fseeko(pMemFile, start_address, SEEK_SET);

    for (address=start_address; address < start_address + length; address += pageLength)
    {
        fread(&page, 1, pageLength, pMemFile);
        if (serverSocket == -1)
        {
            // write to stdout
            fwrite(&page, 1, pageLength, stdout);
        }
        else
        {
            send(serverSocket, &page, pageLength, 0);
        }
    }
}

int main(int argc, char **argv) {

    if (argc == 2 || argc == 4)
    {
        int pid = atoi(argv[1]);
        long ptraceResult = ptrace(PTRACE_ATTACH, pid, NULL, NULL);
        if (ptraceResult < 0)
        {
            printf("Unable to attach to the pid specified\n");
            return;
        }
        wait(NULL);

        char mapsFilename[1024];
        sprintf(mapsFilename, "/proc/%s/maps", argv[1]);
        FILE* pMapsFile = fopen(mapsFilename, "r");
        char memFilename[1024];
        sprintf(memFilename, "/proc/%s/mem", argv[1]);
        FILE* pMemFile = fopen(memFilename, "r");
        int serverSocket = -1;
        if (argc == 4)
        {   
            unsigned int port;
            int count = sscanf(argv[3], "%d", &port);
            if (count == 0)
            {
                printf("Invalid port specified\n");
                return;
            }
            serverSocket = socket(AF_INET, SOCK_STREAM, 0);
            if (serverSocket == -1)
            {
                printf("Could not create socket\n");
                return;
            }
            struct sockaddr_in serverSocketAddress;
            serverSocketAddress.sin_addr.s_addr = inet_addr(argv[2]);
            serverSocketAddress.sin_family = AF_INET;
            serverSocketAddress.sin_port = htons(port);
            if (connect(serverSocket, (struct sockaddr *) &serverSocketAddress, sizeof(serverSocketAddress)) < 0)
            {
                printf("Could not connect to server\n");
                return;
            }
        }
        char line[256];
        while (fgets(line, 256, pMapsFile) != NULL)
        {
            unsigned long start_address;
            unsigned long end_address;
            sscanf(line, "%08lx-%08lx\n", &start_address, &end_address);
            dump_memory_region(pMemFile, start_address, end_address - start_address, serverSocket);
        }
        fclose(pMapsFile);
        fclose(pMemFile);
        if (serverSocket != -1)
        {
            close(serverSocket);
        }

        ptrace(PTRACE_CONT, pid, NULL, NULL);
        ptrace(PTRACE_DETACH, pid, NULL, NULL);
    }
    else
    {
        printf("%s <pid>\n", argv[0]);
        printf("%s <pid> <ip-address> <port>\n", argv[0]);
        exit(0);
    }
}