文章目录
一、读取进程内存数据
二、读取流程
三、完整代码
一、读取进程内存数据
使用 ptrace 函数读取内存数据 :
ptrace(PTRACE_PEEKTEXT, m_nPid, (void*)pRemoteAddr, 0);
传入的第一个参数可以是 PTRACE_PEEKTEXT / PTRACE_PEEKDATA / PTRACE_PEEKUSER , 这三个参数效果相同 ;
传入的第二个参数是 进程号 PID , ptrace 函数可以同时调试多个进程 ;
传入的第三个参数是内存地址 , void* 指针类型的 ;
传入的第四个参数默认为 0 ;
上述读取进程内存数据的 ptrace 方法的返回值是一个 4 字节数据 , 32 位的设备上 , 最长只能读取 4 字节 ; 可以在 for 循环中读取内存中的数据 ;
二、读取流程
读取进程内存数据时 , 每次最多只能读取 4 字节数据 , 先根据读取的大小 , 计算出读取次数 ,
// 每次读取 4 字节 , 读取次数为 nSize / 4 j = nSize / 4;
然后再计算出最后不足 4 字节的部分 ,
// 读取最后不满 4 个字节的数据 remain = nSize % 4;
读取数据时 , 先循环 j 次 , 读取 j x 4 字节数据 ,
for (i = 0; i < j; i++) { // 32 位的设备上 , 最长只能读取 4 字节 d.val = ptrace(PTRACE_PEEKTEXT, m_nPid, (void*)pRemoteAddr, 0); // 将读取的数据拷贝到 laddr 地址中 memcpy(laddr, d.chars, 4); pRemoteAddr += 4; laddr += 4; }
最后再读取一次末尾不足 4 字节的数据 ;
// 读取最后不足 4 字节的数据 if (remain > 0) { d.val = ptrace(PTRACE_PEEKTEXT, m_nPid, (void*)pRemoteAddr, 0); memcpy(laddr, d.chars, remain); }
三、完整代码
使用 ptrace 函数读取内存完整代码示例 :
int CPtrace::read(char* pRemoteAddr, char* pBuf, size_t nSize) { uint32_t i = 0, j = 0, remain = 0; // 拷贝数据的目的地址 , 该指针需要不断累加计算 , 记录已经读取的数据 char *laddr; // 联合体 , 在同一个内存地址上 , 既可以以 long 类型解析这块数据 , 也可以以 char 数组类型解析这块数据 union u { long val; char chars[sizeof(long)]; } d; // 每次读取 4 字节 , 读取次数为 nSize / 4 j = nSize / 4; // 读取最后不满 4 个字节的数据 remain = nSize % 4; // 设置读取数据的最终存放地址 laddr = pBuf; for (i = 0; i < j; i++) { // 32 位的设备上 , 最长只能读取 4 字节 d.val = ptrace(PTRACE_PEEKTEXT, m_nPid, (void*)pRemoteAddr, 0); // 将读取的数据拷贝到 laddr 地址中 memcpy(laddr, d.chars, 4); pRemoteAddr += 4; laddr += 4; } // 读取最后不足 4 字节的数据 if (remain > 0) { d.val = ptrace(PTRACE_PEEKTEXT, m_nPid, (void*)pRemoteAddr, 0); memcpy(laddr, d.chars, remain); } return PTERR_SUCCESS; }
