Linux 监测内存访问的方法汇总【转】
2022/9/9 5:23:30
本文主要是介绍Linux 监测内存访问的方法汇总【转】,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
转自:https://blog.csdn.net/dianzichongchong/article/details/120133833
1. hw break point
它是 linux kernel 自带的,监测一段内存访问信息的方法。它可以检测一段内存是否被读或写。
具体可见 linux 自带例子:linux/samples/hw_breakpoint/data_breakpoint.c
static int __init hw_break_module_init(void)
{
int ret;
struct perf_event_attr attr;
hw_breakpoint_init(&attr);
attr.bp_addr = kallsyms_lookup_name(ksym_name);
attr.bp_len = HW_BREAKPOINT_LEN_4;
attr.bp_type = HW_BREAKPOINT_W | HW_BREAKPOINT_R;
sample_hbp = register_wide_hw_breakpoint(&attr, sample_hbp_handler, NULL);
if (IS_ERR((void __force *)sample_hbp)) {
ret = PTR_ERR((void __force *)sample_hbp);
goto fail;
}
printk(KERN_INFO "HW Breakpoint for %s write installed\n", ksym_name);
return 0;
fail:
printk(KERN_INFO "Breakpoint registration failed\n");
return ret;
}
static void __exit hw_break_module_exit(void)
{
unregister_wide_hw_breakpoint(sample_hbp);
printk(KERN_INFO "HW Breakpoint for %s write uninstalled\n", ksym_name);
}
register_wide_hw_breakpoint 用来向所有 CPU 注册监测的地址和大小以及访问类型,它们存放在 perf_event_attr 中。
地址是 kernel 虚拟地址,支持监测内存的大小和访问类型详见:linux/include/uapi/linux/hw_breakpoint.h
enum {
HW_BREAKPOINT_LEN_1 = 1,
HW_BREAKPOINT_LEN_2 = 2,
HW_BREAKPOINT_LEN_4 = 4,
HW_BREAKPOINT_LEN_8 = 8,
};
enum {
HW_BREAKPOINT_EMPTY = 0,
HW_BREAKPOINT_R = 1,
HW_BREAKPOINT_W = 2,
HW_BREAKPOINT_RW = HW_BREAKPOINT_R | HW_BREAKPOINT_W,
HW_BREAKPOINT_X = 4,
HW_BREAKPOINT_INVALID = HW_BREAKPOINT_RW | HW_BREAKPOINT_X,
};
当不需要监测该段内存时,调用 unregister_wide_hw_breakpoint 即可。
当监测到指定内存被访问时,会在 dmesg 中打印如下信息:
[ 2295.708755] Call trace:
[ 2295.711234] dump_backtrace+0x0/0x1a0
[ 2295.714929] show_stack+0x14/0x20
[ 2295.718279] dump_stack+0x94/0xb4
[ 2295.721633] sample_hbp_handler+0xc/0x18 [hbp_drv]
[ 2295.725853] __perf_event_overflow+0x54/0x100
[ 2295.730248] perf_swevent_overflow+0x54/0x88
[ 2295.734556] perf_swevent_event+0xc0/0xc8
2. mprotect
mpotect 是 linux 的 API,用来修改一块内存的访问权限。可以用于监测内存的非法访问。
可见如下例子:
#include <sys/mman.h>
#include <unistd.h>
#include <stdint.h>
#include <stdio.h>
static int protect_memory(void *addr, uint64_t len, uint32_t type) {
int ret = 0;
uint64_t start = (uint64_t) addr;
uint64_t end = start + len;
uint64_t page_size = getpagesize();
start = start- start % page_size;
while (start < end) {
ret = mprotect((void *) start, page_size, type);
printf("---0x%llx---0x%llx, type: %d, ret: %d\n",
start, page_size, type, ret);
start += page_size;
}
return ret;
}
调用 mprotect 传入虚拟地址、大小(不能超过PAGE_SIZE),以及新的属性。属性只能取如下4个,可以用 | 复合多个:
1)PROT_READ:表示内存段内的内容可读;
2)PROT_WRITE:表示内存段内的内容可写;
3)PROT_EXEC:表示内存段中的内容可执行;
4)PROT_NONE:表示内存段中的内容根本没法访问
需要监测内存被非法写入时,将内存属性设为只读,然后等待 log 即可,如下所示:
int main() {
int buffer[20] = { 0 };
protect_memory(buffer, 20 * sizeof(int), PROT_READ);
buffer[10] = 1;
return 0;
}
在内存被试图写入时,可以在 kernel log 中看到如下信息:
signal 11 (SIGSEGV), code 2 (SEGV_ACCERR), fault addr 0xffb94228
Cause: stack pointer is not in a rw map; likely due to stack overflow.
r0 00000000 r1 00001000 r2 00000001 r3 00000000
r4 00001000 r5 00000000 r6 ffb94000 r7 00000000
r8 ffb94288 r9 eed55124 r10 00000000 r11 00000001
ip 00000000 sp ffb94228 lr 00a4d477 pc 00a4d476
backtrace:
#00 pc 00001476 /system/bin/mprotect_demo (main+130) (BuildId: ...)
参考:C语言之 mprotect - Max_hhg - 博客园
————————————————
版权声明:本文为CSDN博主「孤独的小鱼<---<」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/dianzichongchong/article/details/120133833
这篇关于Linux 监测内存访问的方法汇总【转】的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-12如何创建可引导的 ESXi USB 安装介质 (macOS, Linux, Windows)
- 2024-11-08linux的 vi编辑器中搜索关键字有哪些常用的命令和技巧?-icode9专业技术文章分享
- 2024-11-08在 Linux 的 vi 或 vim 编辑器中什么命令可以直接跳到文件的结尾?-icode9专业技术文章分享
- 2024-10-22原生鸿蒙操作系统HarmonyOS NEXT(HarmonyOS 5)正式发布
- 2024-10-18操作系统入门教程:新手必看的基本操作指南
- 2024-10-18初学者必看:操作系统入门全攻略
- 2024-10-17操作系统入门教程:轻松掌握操作系统基础知识
- 2024-09-11Linux部署Scrapy学习:入门级指南
- 2024-09-11Linux部署Scrapy:入门级指南
- 2024-08-21【Linux】分区向左扩容的方法