проверка анализа памяти файла ядра - PullRequest
Новая
       73

проверка анализа памяти файла ядра

6 голосов
/ 14 февраля 2020

Приложение генерирует основной файл.

Вот основная информация.

Получен стек ошибок, и цель состоит в том, чтобы проверить содержимое данных в переменной myStruct, поскольку именно это передается в myFunction при возникновении ядра. 

(gdb) where
#0  0x000000000041bba1 in myFunction (myStruct=0x7ffff9dd0c20) at myTest.c:344
        :
        :
        :

Исходя из вышеизложенного, я получил адрес myStruct по адресу 0x7ffff9dd0c20 и выгрузил 200 слов. 

(gdb) x/200x 0x7ffff9dd0c20
0x7ffff9dd0c20: 0x01938640      0x00000000      0x00001c34      0x000002c8
0x7ffff9dd0c30: 0x00000400      0x00000000      0x01939760      0x00000000
0x7ffff9dd0c40: 0x00000014      0x00000000      0x00000000      0x00000000
0x7ffff9dd0c50: 0x00000000      0x0005000c      0x00000000      0x000d0000
0x7ffff9dd0c60: 0x00000004      0x00000000      0x00000000      0x00000000
0x7ffff9dd0c70: 0x00000000      0x00000000      0x00040000      0x00000000
0x7ffff9dd0c80: 0x0001000c      0x00000000      0x00000000      0x00000000
0x7ffff9dd0c90: 0x00000000      0x00000000      0x00000009      0x00000000
0x7ffff9dd0ca0: 0x00000000      0x00000000      0x410d999a      0x418d999a
0x7ffff9dd0cb0: 0x40b80000      0x41380000      0x000010cc      0x00000000
0x7ffff9dd0cc0: 0x0192edd0      0x00000000      0x00000a30      0x00000158
   :
   :
   :

Теперь я хочу убедиться, что я правильно читаю вывод данных.

Вот информация о структуре. 

typedef struct 
    {
    char *a;            
    unsigned int b; 
    unsigned int c; 
    int d;          
    } structA;

typedef struct
    {
    structA e;
    char *f;
    } myStruct;  <----------This is what gets passed in and what I am trying to examine.

Работает на Linux была запущена программа для проверки размера типа данных. 

Size of char* : 8
Size of int : 4

Зная адрес 0x7ffff9dd0c20 и структуру myStruct, я предполагаю, что начну с анализа structA, поскольку он первый.

Поскольку char * a - это первая часть structA, а char * - это 2 слова, я посмотрю на это: 

  0x01938640      0x00000000

Далее, по сути, 3 целых (2 без знака int и 1 int), который я рассматривал из вывода: 

0x00001c34      
0x000002c8
0x00000400

Это возвращает меня в structB и к атрибуту char * f, который должен состоять из 2 слов.
Это означает, что это правильный адрес : 

0x00000000      0x01939760

Я снова скопировал информацию о памяти, чтобы было легче ссылаться на нее. 

(gdb) x/200x 0x7ffff9dd0c20
0x7ffff9dd0c20: 0x01938640      0x00000000      0x00001c34      0x000002c8
0x7ffff9dd0c30: 0x00000400      0x00000000      0x01939760      0x00000000
0x7ffff9dd0c40: 0x00000014      0x00000000      0x00000000      0x00000000
0x7ffff9dd0c50: 0x00000000      0x0005000c      0x00000000      0x000d0000
0x7ffff9dd0c60: 0x00000004      0x00000000      0x00000000      0x00000000
0x7ffff9dd0c70: 0x00000000      0x00000000      0x00040000      0x00000000
0x7ffff9dd0c80: 0x0001000c      0x00000000      0x00000000      0x00000000
0x7ffff9dd0c90: 0x00000000      0x00000000      0x00000009      0x00000000
0x7ffff9dd0ca0: 0x00000000      0x00000000      0x410d999a      0x418d999a
0x7ffff9dd0cb0: 0x40b80000      0x41380000      0x000010cc      0x00000000
0x7ffff9dd0cc0: 0x0192edd0      0x00000000      0x00000a30      0x00000158

Это правильный способ проверки и анализа данных?

Вот определение еще одной структуры. 

typedef struct
    {
    short w;                    
    unsigned long x;            
    short y;                    
    short z;                    
    } otherStruct;

Это то, что, как ожидается, будет сохранено в f. 

    char *f;

В GDB я попытался сделать следующее: 

 p (otherStruct *)0x1939760

и он печатает: 

 $12 = (otherStruct *) 0x1939760

Странная часть, когда я первоначально распечатал данные, это показало * f как следующее, что не похоже на структуру: 

  f = 0x1939760 "\315\314\274@"

1 Ответ

3 голосов
/ 14 февраля 2020

Вы читаете данные трудным способом. GDB знает определения структуры, поэтому вы можете указать ему печатать структуру напрямую с помощью команды p.

Например, если этот код использует ваши структуры: 

int main()
{
    myStruct s = { { "aaa", 4, 5, 6 }, "bbb" };
    printf("hello\n");
}

Запуск код под GDB: 

(gdb) start
Temporary breakpoint 1 at 0x400535: file x1.c, line 19.
Starting program: /home/dbush/./x1 

Temporary breakpoint 1, main () at x1.c:19
19      myStruct s = { { "aaa", 4, 5, 6 }, "bbb" };
Missing separate debuginfos, use: debuginfo-install glibc-2.17-292.el7.x86_64
(gdb) step
20      printf("hello\n");
(gdb) p s
$1 = {e = {a = 0x400600 "aaa", b = 4, c = 5, d = 6}, f = 0x400604 "bbb"}
(gdb)

Что касается поля f, фактически содержащего otherStruct *, вы можете напечатать, что это содержит, приведя f и разыменовав результат: 

p *(otherStruct *)myStruct->f

При этом вы не учли отступы внутри структур. Поскольку structA содержит char * размером 8 байтов, структура должна быть выровнена по границе 8 байтов. Если посмотреть на компоновку, это означает, что 4 байта заполнения находятся в конце структуры.

Таким образом, шестое 32-битное слово в вашем дампе (0x00000000) на самом деле является этим заполнением. Таким образом, байты, составляющие f, на самом деле 0x01939760 0x00000000.

Глядя на дамп приведенного выше примера кода: 

(gdb) p s
$1 = {e = {a = 0x400600 "aaa", b = 4, c = 5, d = 6}, f = 0x400604 "bbb"}
(gdb) p &s
$5 = (myStruct *) 0x7fffffffde50
(gdb) x/20x 0x7fffffffde50
0x7fffffffde50: 0x00400600  0x00000000  0x00000004  0x00000005
0x7fffffffde60: 0x00000006  0x00007fff  0x00400604  0x00000000
0x7fffffffde70: 0x00000000  0x00000000  0xf7a2f505  0x00007fff
0x7fffffffde80: 0x00000000  0x00000000  0xffffdf58  0x00007fff
0x7fffffffde90: 0x00000000  0x00000001  0x0040052d  0x00000000

Вы можете видеть, что значения в полях e соответствует сырому дампу. Далее вы видите байты заполнения, которые в этом случае имеют значение 0x00007fff. Следующие 8 байтов после этого соответствуют значению f.

...