Linux 监测内存访问的方法汇总【转】
2022/9/9 5:23:30
本文主要是介绍Linux 监测内存访问的方法汇总【转】,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
转自:https://blog.csdn.net/dianzichongchong/article/details/120133833
1. hw break point
它是 linux kernel 自带的,监测一段内存访问信息的方法。它可以检测一段内存是否被读或写。
具体可见 linux 自带例子:linux/samples/hw_breakpoint/data_breakpoint.c
static int __init hw_break_module_init(void)
{
int ret;
struct perf_event_attr attr;
hw_breakpoint_init(&attr);
attr.bp_addr = kallsyms_lookup_name(ksym_name);
attr.bp_len = HW_BREAKPOINT_LEN_4;
attr.bp_type = HW_BREAKPOINT_W | HW_BREAKPOINT_R;
sample_hbp = register_wide_hw_breakpoint(&attr, sample_hbp_handler, NULL);
if (IS_ERR((void __force *)sample_hbp)) {
ret = PTR_ERR((void __force *)sample_hbp);
goto fail;
}
printk(KERN_INFO "HW Breakpoint for %s write installed\n", ksym_name);
return 0;
fail:
printk(KERN_INFO "Breakpoint registration failed\n");
return ret;
}
static void __exit hw_break_module_exit(void)
{
unregister_wide_hw_breakpoint(sample_hbp);
printk(KERN_INFO "HW Breakpoint for %s write uninstalled\n", ksym_name);
}
register_wide_hw_breakpoint 用来向所有 CPU 注册监测的地址和大小以及访问类型,它们存放在 perf_event_attr 中。
地址是 kernel 虚拟地址,支持监测内存的大小和访问类型详见:linux/include/uapi/linux/hw_breakpoint.h
enum {
HW_BREAKPOINT_LEN_1 = 1,
HW_BREAKPOINT_LEN_2 = 2,
HW_BREAKPOINT_LEN_4 = 4,
HW_BREAKPOINT_LEN_8 = 8,
};
enum {
HW_BREAKPOINT_EMPTY = 0,
HW_BREAKPOINT_R = 1,
HW_BREAKPOINT_W = 2,
HW_BREAKPOINT_RW = HW_BREAKPOINT_R | HW_BREAKPOINT_W,
HW_BREAKPOINT_X = 4,
HW_BREAKPOINT_INVALID = HW_BREAKPOINT_RW | HW_BREAKPOINT_X,
};
当不需要监测该段内存时,调用 unregister_wide_hw_breakpoint 即可。
当监测到指定内存被访问时,会在 dmesg 中打印如下信息:
[ 2295.708755] Call trace:
[ 2295.711234] dump_backtrace+0x0/0x1a0
[ 2295.714929] show_stack+0x14/0x20
[ 2295.718279] dump_stack+0x94/0xb4
[ 2295.721633] sample_hbp_handler+0xc/0x18 [hbp_drv]
[ 2295.725853] __perf_event_overflow+0x54/0x100
[ 2295.730248] perf_swevent_overflow+0x54/0x88
[ 2295.734556] perf_swevent_event+0xc0/0xc8
2. mprotect
mpotect 是 linux 的 API,用来修改一块内存的访问权限。可以用于监测内存的非法访问。
可见如下例子:
#include <sys/mman.h>
#include <unistd.h>
#include <stdint.h>
#include <stdio.h>
static int protect_memory(void *addr, uint64_t len, uint32_t type) {
int ret = 0;
uint64_t start = (uint64_t) addr;
uint64_t end = start + len;
uint64_t page_size = getpagesize();
start = start- start % page_size;
while (start < end) {
ret = mprotect((void *) start, page_size, type);
printf("---0x%llx---0x%llx, type: %d, ret: %d\n",
start, page_size, type, ret);
start += page_size;
}
return ret;
}
调用 mprotect 传入虚拟地址、大小(不能超过PAGE_SIZE),以及新的属性。属性只能取如下4个,可以用 | 复合多个:
1)PROT_READ:表示内存段内的内容可读;
2)PROT_WRITE:表示内存段内的内容可写;
3)PROT_EXEC:表示内存段中的内容可执行;
4)PROT_NONE:表示内存段中的内容根本没法访问
需要监测内存被非法写入时,将内存属性设为只读,然后等待 log 即可,如下所示:
int main() {
int buffer[20] = { 0 };
protect_memory(buffer, 20 * sizeof(int), PROT_READ);
buffer[10] = 1;
return 0;
}
在内存被试图写入时,可以在 kernel log 中看到如下信息:
signal 11 (SIGSEGV), code 2 (SEGV_ACCERR), fault addr 0xffb94228
Cause: stack pointer is not in a rw map; likely due to stack overflow.
r0 00000000 r1 00001000 r2 00000001 r3 00000000
r4 00001000 r5 00000000 r6 ffb94000 r7 00000000
r8 ffb94288 r9 eed55124 r10 00000000 r11 00000001
ip 00000000 sp ffb94228 lr 00a4d477 pc 00a4d476
backtrace:
#00 pc 00001476 /system/bin/mprotect_demo (main+130) (BuildId: ...)
参考:C语言之 mprotect - Max_hhg - 博客园
————————————————
版权声明:本文为CSDN博主「孤独的小鱼<---<」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/dianzichongchong/article/details/120133833
这篇关于Linux 监测内存访问的方法汇总【转】的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-18git仓库有更新,jenkins 自动触发拉代码怎么配置的?-icode9专业技术文章分享
- 2024-12-18Jenkins webhook 方式怎么配置指定的分支?-icode9专业技术文章分享
- 2024-12-13Linux C++项目实战入门教程
- 2024-12-13Linux C++编程项目实战入门教程
- 2024-12-11Linux部署Scrapy教程:新手入门指南
- 2024-12-11怎么将在本地创建的 Maven 仓库迁移到 Linux 服务器上?-icode9专业技术文章分享
- 2024-12-10Linux常用命令
- 2024-12-06谁看谁服! Linux 创始人对于进程和线程的理解是…
- 2024-12-04操作系统教程:新手入门及初级技巧详解
- 2024-12-04操作系统入门:新手必学指南