程序被加载器加载到内存后,通过/proc/$pid/maps文件,我们可以观测到程序被加载的内存位置。那么,通过打印进程内存的方式,让我们确认程序是不是真的加载到内存,以及加载到内存的程序和硬盘中的文件有没有区别。
编写测试程序:
- #include
- #include
- #include
- #include
-
- int main() {
-
- while(true) {
- sleep(3);
- printf("something\n");
- }
- return 0;
- }
编译启动,然后打印程序的16进制
这里只展示部分16进制,用于与内存中的16进制进行对比。
编写内核代码:
- #include
- #include
- #include
- #include
- #include
- #include
-
- static pte_t *get_pte(struct task_struct *task, unsigned long address) {
-
- pgd_t *pgd;
- p4d_t *p4d;
- pud_t *pud;
- pmd_t *pmd;
- pte_t *pte;
-
- struct mm_struct *mm = task->mm;
- pgd = pgd_offset(mm,address);
- if (pgd_none(*pgd) || pgd_bad(*pgd)) {
- return NULL;
- }
-
- p4d = p4d_offset(pgd, address);
- if (p4d_none(*p4d) || p4d_bad(*p4d))
- return NULL;
-
- pud = pud_offset(p4d, address);
- if (pud_none(*pud) || pud_bad(*pud))
- return NULL;
-
- pmd = pmd_offset(pud, address);
- if (pmd_none(*pmd) || pmd_bad(*pmd))
- return NULL;
-
- pte = pte_offset_kernel(pmd, address);
- if (pte_none(*pte))
- return NULL;
- return pte;
- }
-
- static int hello_init(void) {
- struct task_struct *p;
- struct vm_area_struct *vma;
- int len;
- pte_t *pte;
- struct page *page;
- unsigned long addr;
- printk(KERN_ALERT "init fishing\n");
- for_each_process(p) {
- if (strcmp(p->comm,"a.out") == 0) {
- printk(KERN_ALERT "%s-->%p\n",p->comm, p->mm);
- for(vma = p->mm->mmap;vma!=NULL;vma = vma->vm_next) {
- printk(KERN_ALERT "%lx - %lx\n",vma->vm_start, vma->vm_end);
-
- pte = get_pte(p, vma->vm_start);
- if (pte == NULL)
- break;
- page = pte_page(*pte);
- addr = page_address(page);
- len = vma->vm_end - vma->vm_start;
- print_hex_dump(KERN_NOTICE,"",0,16,1,addr,len,false);
- break;
- }
- }
- }
- return 0;
- }
-
- static void hello_exit(void) {
- printk(KERN_ALERT "exit fishing\n");
- }
- subsys_initcall(hello_init);
- module_exit(hello_exit);
-
- MODULE_LICENSE("GPL");
- MODULE_AUTHOR("shakespeare");
此处只打印了进程第一个vm_area_struct表达的内存。
通过上述截图对比可知,程序的16进制被严格的加载到进程的内存空间,并且从进程的第一个vm_area_struct结构表达的内存处开始保存。